Hai Habr!
Baru-baru ini satu artikel muncul di sini di mana masalah yang sama telah diselesaikan menggunakan cara fosil. Dan walaupun tugas itu benar-benar tipikal, tidak ada yang serupa mengenainya pada HabrΓ©. Saya berani menawarkan basikal saya kepada komuniti IT yang dihormati.
Ini bukan basikal pertama untuk tugas sedemikian. Pilihan pertama telah dilaksanakan beberapa tahun lalu kembali ansible versi 1.x.x. Basikal itu jarang digunakan dan oleh itu sentiasa berkarat. Dalam erti kata bahawa tugas itu sendiri tidak timbul sekerap versi dikemas kini ansible. Dan setiap kali anda perlu memandu, rantai terputus atau roda terputus. Walau bagaimanapun, bahagian pertama, menjana konfigurasi, sentiasa berfungsi dengan sangat jelas, mujurlah jinja2 Enjin sudah lama bertapak. Tetapi bahagian kedua - melancarkan konfigurasi - biasanya membawa kejutan. Dan kerana saya perlu melancarkan konfigurasi dari jauh kepada setengah ratus peranti, beberapa daripadanya terletak beribu-ribu kilometer jauhnya, menggunakan alat ini agak membosankan.
Di sini saya harus mengakui bahawa ketidakpastian saya kemungkinan besar terletak pada kurangnya kebiasaan saya ansibledaripada kekurangannya. Dan ini, dengan cara ini, adalah perkara penting. ansible adalah bidang pengetahuan tersendiri yang berasingan dengan DSL (Bahasa Khusus Domain) sendiri, yang mesti dikekalkan pada tahap yakin. Nah, saat itu ansible Ia berkembang agak cepat, dan tanpa mengambil kira keserasian ke belakang, ia tidak menambah keyakinan.
Oleh itu, tidak lama dahulu versi kedua basikal telah dilaksanakan. Kali ini pada ular sawa, atau lebih tepat pada rangka kerja yang ditulis dalam ular sawa dan untuk ular sawa dipanggil
Jadi - Nornir ialah rangka kerja mikro yang ditulis dalam ular sawa dan untuk ular sawa dan direka untuk automasi. Sama seperti dalam kes dengan ansible, untuk menyelesaikan masalah di sini, penyediaan data yang cekap diperlukan, i.e. inventori hos dan parameternya, tetapi skrip tidak ditulis dalam DSL yang berasingan, tetapi dalam p[i|i]tan yang sama tidak terlalu lama, tetapi sangat baik.
Mari lihat apakah ia menggunakan contoh langsung berikut.
Saya mempunyai rangkaian cawangan dengan beberapa dozen pejabat di seluruh negara. Setiap pejabat mempunyai penghala WAN yang menamatkan beberapa saluran komunikasi daripada operator yang berbeza. Protokol penghalaan ialah BGP. Penghala WAN terdapat dalam dua jenis: Cisco ISG atau Juniper SRX.
Sekarang tugas: anda perlu mengkonfigurasi subnet khusus untuk Pengawasan Video pada port berasingan pada semua penghala WAN rangkaian cawangan - iklankan subnet ini dalam BGP - konfigurasikan had laju port khusus.
Pertama, kita perlu menyediakan beberapa templat, berdasarkan konfigurasi yang akan dijana secara berasingan untuk Cisco dan Juniper. Ia juga perlu menyediakan data untuk setiap titik dan parameter sambungan, i.e. mengumpul inventori yang sama
Templat sedia untuk Cisco:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyTemplat untuk Juniper:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterTemplat, sudah tentu, tidak keluar dari udara nipis. Ini pada asasnya adalah perbezaan antara konfigurasi kerja yang telah dan telah diselesaikan selepas menyelesaikan tugas pada dua penghala khusus model berbeza.
Daripada templat kami, kami melihat bahawa untuk menyelesaikan masalah, kami hanya memerlukan dua parameter untuk Juniper dan 3 parameter untuk Cisco. di sini mereka:
- ifname
- ipsuffix
- keldai
Sekarang kita perlu menetapkan parameter ini untuk setiap peranti, i.e. buat perkara yang sama inventori.
Untuk inventori Kami akan mengikuti dokumentasi dengan ketat
iaitu, mari buat rangka fail yang sama:
.
βββ config.yaml
βββ inventory
β βββ defaults.yaml
β βββ groups.yaml
β βββ hosts.yamlFail config.yaml ialah fail konfigurasi nornir standard
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"Kami akan menunjukkan parameter utama dalam fail tuan rumah.yaml, kumpulan (dalam kes saya ini adalah log masuk/kata laluan) dalam kumpulan.yaml, dan dalam lalai.yaml Kami tidak akan menunjukkan apa-apa, tetapi anda perlu memasukkan tiga tolak di sana - menunjukkan bahawa ia adalah keladi fail itu kosong walaupun.
Inilah rupa hosts.yaml:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111Dan inilah kumpulan.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Inilah yang berlaku inventori untuk tugas kita. Semasa permulaan, parameter daripada fail inventori dipetakan kepada model objek Elemen Inventori.
Di bawah spoiler ialah gambar rajah model InventoryElement
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Model ini boleh kelihatan sedikit mengelirukan, terutamanya pada mulanya. Untuk mengetahuinya, mod interaktif masuk ular sawa.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
Dan akhirnya, mari kita beralih kepada skrip itu sendiri. Saya tidak mempunyai apa-apa yang boleh dibanggakan terutamanya di sini. Saya hanya mengambil contoh yang sudah siap dari dan menggunakannya hampir tidak berubah. Inilah rupa skrip kerja yang telah siap:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Beri perhatian kepada parameter dry_run=Benar dalam permulaan objek baris nr.
Di sini sama seperti dalam ansible larian ujian telah dilaksanakan di mana sambungan kepada penghala dibuat, konfigurasi diubah suai baharu disediakan, yang kemudiannya disahkan oleh peranti (tetapi ini tidak pasti; ia bergantung pada sokongan peranti dan pelaksanaan pemacu dalam NAPALM) , tetapi konfigurasi baharu tidak digunakan secara langsung. Untuk kegunaan pertempuran, anda mesti mengalih keluar parameter kering_lari atau menukar nilainya kepada Palsu.
Apabila skrip dilaksanakan, Nornir mengeluarkan log terperinci ke konsol.
Di bawah spoiler ialah output larian pertempuran pada dua penghala ujian:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Menyembunyikan kata laluan dalam ansible_vault
Pada permulaan artikel saya agak melampaui batas ansible, tetapi ia tidak begitu teruk. Saya sangat menyukai mereka peti besi seperti, yang direka untuk menyembunyikan maklumat sensitif daripada pandangan. Dan mungkin ramai yang perasan bahawa kami mempunyai semua log masuk/kata laluan untuk semua penghala pertempuran berkilauan dalam bentuk terbuka dalam fail gorups.yaml. Ia tidak cantik, sudah tentu. Mari kita lindungi data ini dengan peti besi.
Mari pindahkan parameter daripada groups.yaml ke creds.yaml, dan menyulitkannya dengan AES256 dengan kata laluan 20 digit:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Semudah itu. Ia kekal untuk mengajar kita Nornir-skrip untuk mendapatkan dan menggunakan data ini.
Untuk melakukan ini, dalam skrip kami selepas baris permulaan nr = InitNornir(config_file=β¦ tambah kod berikut:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Sudah tentu, vault.passwd tidak sepatutnya terletak di sebelah creds.yaml seperti dalam contoh saya. Tapi ok untuk bermain.
Itu sahaja buat masa ini. Terdapat beberapa lagi artikel tentang Cisco + Zabbix yang akan datang, tetapi ini bukan sedikit tentang automasi. Dan dalam masa terdekat saya bercadang untuk menulis tentang RESTCONF di Cisco.
Sumber: www.habr.com