Hei Habr!
Nylig dukket det opp en artikkel her hvor et lignende problem ble løst ved hjelp av fossile midler. Og selv om oppgaven er helt typisk, er det ikke noe lignende på Habré. Jeg tør å tilby sykkelen min til det respekterte IT-miljøet.
Dette er ikke den første sykkelen for en slik oppgave. Det første alternativet ble implementert for flere år siden tilbake i ansible versjon 1.x.x. Sykkelen ble lite brukt og rustet derfor hele tiden. I den forstand at selve oppgaven ikke oppstår så ofte som versjoner oppdateres ansible. Og hver gang du skal kjøre, faller kjedet av eller hjulet faller av. Imidlertid fungerer den første delen, som genererer konfigurasjoner, alltid veldig tydelig, heldigvis jinja2 Motoren er lenge etablert. Men den andre delen - å rulle ut konfigurasjoner - brakte vanligvis overraskelser. Og siden jeg må rulle ut konfigurasjonen eksternt til et halvt hundre enheter, hvorav noen er plassert tusenvis av kilometer unna, var det litt kjedelig å bruke dette verktøyet.
Her må jeg innrømme at min usikkerhet mest sannsynlig ligger i min manglende kjennskap til ansibleenn i sine mangler. Og dette er forresten et viktig poeng. ansible er et helt eget, sitt eget kunnskapsområde med sitt eget DSL (Domain Specific Language), som må opprettholdes på et sikkert nivå. Vel, det øyeblikket det ansible Det utvikler seg ganske raskt, og uten spesiell hensyn til bakoverkompatibilitet, gir det ikke tillit.
Derfor ble det for ikke så lenge siden implementert en andre versjon av sykkelen. Denne gangen videre python, eller rettere sagt på et rammeverk skrevet i python og for python rett
Så - Nornir er et mikrorammeverk skrevet i python og for python og designet for automatisering. Det samme som i tilfellet med ansible, for å løse problemer her kreves kompetent dataforberedelse, d.v.s. inventar av verter og deres parametere, men skript er ikke skrevet i en separat DSL, men i samme ikke veldig gamle, men veldig gode p[i|i]ton.
La oss se på hva det er ved å bruke følgende levende eksempel.
Jeg har et filialnett med flere titalls kontorer over hele landet. Hvert kontor har en WAN-ruter som avslutter flere kommunikasjonskanaler fra forskjellige operatører. Rutingprotokollen er BGP. WAN-rutere kommer i to typer: Cisco ISG eller Juniper SRX.
Nå er oppgaven: du må konfigurere et dedikert subnett for videoovervåking på en egen port på alle WAN-rutere i filialnettverket - annonsere dette subnettet i BGP - konfigurere hastighetsgrensen for den dedikerte porten.
Først må vi utarbeide et par maler, på grunnlag av hvilke konfigurasjoner vil bli generert separat for Cisco og Juniper. Det er også nødvendig å forberede data for hvert punkt og tilkoblingsparametere, dvs. samle samme inventar
Klar mal for Cisco:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyMal for Juniper:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterMaler kommer selvfølgelig ikke ut av løse luften. Dette er i hovedsak forskjeller mellom arbeidskonfigurasjonene som var og var etter å ha løst oppgaven på to spesifikke rutere av forskjellige modeller.
Fra malene våre ser vi at for å løse problemet trenger vi bare to parametere for Juniper og 3 parametere for Cisco. her er de:
- ifname
- ipsuffiks
- ASN
Nå må vi stille inn disse parameterne for hver enhet, dvs. gjør det samme inventar.
For inventar Vi vil følge dokumentasjonen strengt
det vil si, la oss lage det samme filskjelettet:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlConfig.yaml-filen er standard nornir-konfigurasjonsfilen
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"Vi vil indikere hovedparametrene i filen hosts.yaml, gruppe (i mitt tilfelle er dette pålogginger/passord) i grupper.yamlog i standardinnstillinger.yaml Vi vil ikke indikere noe, men du må angi tre minuser der - som indikerer at det er det yaml men filen er tom.
Slik ser hosts.yaml ut:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111Og her er groups.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Dette er hva som skjedde inventar for vår oppgave. Under initialisering blir parametere fra inventarfiler tilordnet objektmodellen InventoryElement.
Under spoileren er et diagram over InventoryElement-modellen
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Denne modellen kan se litt forvirrende ut, spesielt i begynnelsen. For å finne ut av det, aktiver den interaktive modusen python.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
Og til slutt, la oss gå videre til selve manuset. Jeg har ingenting å være spesielt stolt av her. Jeg tok bare et ferdig eksempel fra og brukte den nesten uendret. Slik ser det ferdige arbeidsskriptet ut:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Vær oppmerksom på parameteren dry_run=Sant in-line objektinitialisering nr.
Her det samme som i ansible det er implementert en testkjøring der en tilkobling til ruteren opprettes, en ny modifisert konfigurasjon er klargjort, som deretter valideres av enheten (men dette er ikke sikkert; det avhenger av enhetsstøtten og driverimplementeringen i NAPALM) , men den nye konfigurasjonen brukes ikke direkte. For kampbruk må du fjerne parameteren dry_run eller endre verdien til Falsk.
Når skriptet er utført, sender Nornir ut detaljerte logger til konsollen.
Under spoileren er resultatet av en kampkjøring på to testrutere:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Skjuler passord i ansible_vault
I begynnelsen av artikkelen gikk jeg litt over bord ansible, men det er ikke så ille. Jeg liker dem veldig godt hvelv like, som er designet for å skjule sensitiv informasjon ute av syne. Og sikkert mange har lagt merke til at vi har alle login/passord for alle kamprutere glitrende i åpen form i en fil gorups.yaml. Det er ikke pent, selvfølgelig. La oss beskytte disse dataene med hvelv.
La oss overføre parametrene fra groups.yaml til creds.yaml, og kryptere den med AES256 med et 20-sifret passord:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Så enkelt er det. Det gjenstår å lære våre Nornir-script for å hente og bruke disse dataene.
For å gjøre dette, i skriptet vårt etter initialiseringslinjen nr = InitNornir(config_file=... legg til følgende kode:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Selvfølgelig skal ikke vault.passwd være plassert ved siden av creds.yaml som i mitt eksempel. Men det er greit å spille.
Det er alt for nå. Det kommer et par artikler til om Cisco + Zabbix, men dette handler ikke litt om automatisering. Og i nær fremtid planlegger jeg å skrive om RESTCONF i Cisco.
Kilde: www.habr.com