Hej Habra!
Niedawno pojawił się tutaj artykuł gdzie podobny problem rozwiązano przy użyciu środków kopalnych. I choć zadanie jest zupełnie typowe, na Habré nie ma w nim nic podobnego. Odważę się ofiarować swój rower szanowanej społeczności IT.
To nie pierwszy rower do takiego zadania. Pierwsza opcja została wdrożona kilka lat temu ansible wersja 1.x.x. Rower był sporadycznie używany, przez co stale rdzewieje. W tym sensie, że samo zadanie nie pojawia się tak często, jak wersje są aktualizowane ansible. Za każdym razem, gdy musisz jechać, spada łańcuch lub spada koło. Jednak pierwsza część, czyli generowanie konfiguracji, na szczęście zawsze działa bardzo przejrzyście jinja2 Silnik ma długą historię. Ale druga część – wdrażanie konfiguracji – zwykle przynosiła niespodzianki. A ponieważ muszę zdalnie wdrożyć konfigurację na pół setce urządzeń, z których niektóre są oddalone o tysiące kilometrów, korzystanie z tego narzędzia było trochę nudne.
Tutaj muszę przyznać, że moja niepewność wynika najprawdopodobniej z braku znajomości ansibleniż w swoich wadach. A to, nawiasem mówiąc, jest ważnym punktem. ansible to zupełnie odrębny, własny obszar wiedzy z własnym DSL (DomainSpecific Language), który musi być utrzymany na pewnym poziomie. Cóż, ten moment ansible Rozwija się dość szybko i bez szczególnego dbania o kompatybilność wsteczną nie dodaje pewności.
Dlatego nie tak dawno temu wdrożono drugą wersję roweru. Tym razem dalej pyton, a raczej na frameworku napisanym w pyton i dla pyton prawo
Więc - Norn to mikroframework napisany w pyton i dla pyton i zaprojektowany do automatyzacji. To samo co w przypadku ansible, aby rozwiązać tutaj problemy, wymagane jest kompetentne przygotowanie danych, tj. inwentaryzacja hostów i ich parametrów, ale skrypty pisane są nie w osobnym DSL, ale w tym samym niezbyt starym, ale bardzo dobrym p[i|i]tonie.
Przyjrzyjmy się, co to jest, korzystając z następującego przykładu na żywo.
Posiadam sieć oddziałów obejmującą kilkadziesiąt oddziałów na terenie całego kraju. Każde biuro posiada router WAN, który kończy kilka kanałów komunikacyjnych od różnych operatorów. Protokołem routingu jest BGP. Routery WAN występują w dwóch typach: Cisco ISG lub Juniper SRX.
Teraz zadanie: musisz skonfigurować dedykowaną podsieć do nadzoru wideo na osobnym porcie na wszystkich routerach WAN sieci oddziałowej - zareklamuj tę podsieć w BGP - skonfiguruj ograniczenie prędkości dedykowanego portu.
Na początek musimy przygotować kilka szablonów, na podstawie których zostaną wygenerowane konfiguracje oddzielnie dla Cisco i Junipera. Konieczne jest także przygotowanie danych dla każdego punktu i parametrów połączenia, tj. zebrać ten sam ekwipunek
Gotowy szablon dla Cisco:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anySzablon dla Junipera:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterSzablony oczywiście nie biorą się z powietrza. Są to zasadniczo różnice pomiędzy konfiguracjami roboczymi, które były i były po rozwiązaniu zadania na dwóch konkretnych routerach różnych modeli.
Z naszych szablonów widzimy, że aby rozwiązać problem, potrzebujemy tylko dwóch parametrów dla Junipera i 3 parametrów dla Cisco. tutaj są:
- jeślinazwa
- ipsufiks
- asn
Teraz musimy ustawić te parametry dla każdego urządzenia, tj. Zrobić to samo inwentarz.
dla inwentarz Będziemy ściśle przestrzegać dokumentacji
to znaczy utwórzmy ten sam szkielet pliku:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlPlik config.yaml jest standardowym plikiem konfiguracyjnym programu Nornir
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"W pliku wskażemy główne parametry hosts.yaml, grupa (w moim przypadku są to loginy/hasła) w grupy.yamla w defaults.yaml Nic nie wskażemy, ale musisz wpisać tam trzy minusy - wskazując, że tak jamla plik jest jednak pusty.
Tak wygląda plik hosts.yaml:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111A oto groups.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2To jest to, co się stało inwentarz dla naszego zadania. Podczas inicjalizacji parametry z plików inwentaryzacyjnych są odwzorowywane na model obiektowy Element zapasów.
Poniżej spoilera znajduje się schemat modelu InventoryElement
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Ten model może wydawać się nieco mylący, szczególnie na początku. Aby to rozgryźć, tryb interaktywny w pyton.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
I na koniec przejdźmy do samego scenariusza. Nie mam się tu czym szczególnie pochwalić. Po prostu wziąłem gotowy przykład z i używałam go prawie bez zmian. Tak wygląda gotowy działający skrypt:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Zwróć uwagę na parametr dry_run=Prawda inicjalizacja obiektu liniowego nr.
Tutaj tak samo jak w ansible wykonano uruchomienie testowe, podczas którego nawiązano połączenie z routerem, przygotowano nową zmodyfikowaną konfigurację, która następnie jest zatwierdzana przez urządzenie (ale nie jest to pewne; zależy to od obsługi urządzenia i implementacji sterownika w NAPALM) , ale nowa konfiguracja nie jest bezpośrednio stosowana. Aby móc używać w walce, należy usunąć ten parametr próba lub zmień jego wartość na Fałszywy.
Po wykonaniu skryptu Nornir wysyła szczegółowe dzienniki do konsoli.
Poniżej spoilera znajduje się wynik przebiegu bojowego na dwóch routerach testowych:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Ukrywanie haseł w ansible_vault
Na początku artykułu trochę przesadziłem ansible, ale nie jest tak źle. na prawdę ich lubię Sklepienie podobny, który ma na celu ukrycie poufnych informacji poza zasięgiem wzroku. I prawdopodobnie wielu zauważyło, że wszystkie loginy/hasła do wszystkich routerów bojowych mamy w otwartej formie w pliku grupups.yaml. Oczywiście, to nie jest ładne. Chrońmy te dane za pomocą Sklepienie.
Przenieśmy parametry z groups.yaml do creds.yaml i zaszyfrujmy je za pomocą AES256 za pomocą 20-cyfrowego hasła:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435To takie proste. Pozostaje uczyć naszych Norn-script do pobrania i zastosowania tych danych.
Aby to zrobić, w naszym skrypcie po linii inicjującej nr = InitNornir(plik_konfiguracyjny=… dodaj następujący kod:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Oczywiście plik Vault.passwd nie powinien znajdować się obok pliku creds.yaml, jak w moim przykładzie. Ale do grania jest ok.
To wszystko na teraz. Pojawi się jeszcze kilka artykułów na temat Cisco + Zabbix, ale nie będzie tu ani trochę o automatyzacji. A w najbliższym czasie planuję napisać o RESTCONF w Cisco.
Źródło: www.habr.com