اې حبره!
پدې وروستیو کې یوه مقاله خپره شوه چیرې چې ورته ستونزه د فوسیل وسیلو په کارولو سره حل شوې. او که څه هم دنده په بشپړ ډول عادي ده، په هابري کې د دې په اړه ورته هیڅ شی شتون نلري. زه جرئت کوم چې خپل بایسکل د IT ټولنې ته وړاندې کړم.
دا د داسې دندې لپاره لومړی بایسکل نه دی. لومړی انتخاب څو کاله وړاندې په افغانستان کې پلی شو ځواب ویونکی نسخه 1.x.x. بایسکل په ندرت سره کارول کیده او له همدې امله په دوامداره توګه زنګ وهل. په دې معنی چې دنده پخپله نه راپورته کیږي څومره چې نسخې تازه کیږي ځواب ویونکی. او هرکله چې تاسو موټر چلولو ته اړتیا لرئ، زنځیر له مینځه ځي یا څرخ له مینځه ځي. په هرصورت، لومړۍ برخه، د تشکیلاتو تولید، تل په روښانه توګه کار کوي، خوشبختانه jinja2 انجن د اوږدې مودې لپاره جوړ شوی دی. مګر دویمه برخه، د تشکیلاتو رولول، معمولا حیرانتیا راوړي. او له هغه وخته چې زه باید ترتیب نیم سوه وسیلو ته له لرې څخه راوباسئ ، چې ځینې یې په زرهاو کیلومتره لرې موقعیت لري ، د دې وسیلې کارول یو څه ستړي و.
دلته زه باید اعتراف وکړم چې زما ناڅرګندتیا ډیری احتمال زما د پیژندنې نشتوالی دی ځواب ویونکید خپلو نیمګړتیاوو په پرتله. او دا، په لاره کې، یو مهم ټکی دی. ځواب ویونکی په بشپړ ډول جلا دی، د خپل DSL (ډومین ځانګړې ژبه) سره د پوهې ساحه، چې باید د باور کچه وساتل شي. ښه، هغه شیبه چې ځواب ویونکی دا په چټکۍ سره وده کوي، او د شاته مطابقت لپاره د ځانګړې پاملرنې پرته، دا باور نه زیاتوي.
له همدې امله، د بايسکل دوهم نسخه نه دومره موده وړاندې پلي شو. دا ځل پيډون، یا بلکه په یوه چوکاټ کې لیکل شوي پيډون او لپاره پيډون د نوم لاندې
نو - نورنیر یو مایکرو فریم ورک دی چې په کې لیکل شوی پيډون او لپاره پيډون او د اتومات کولو لپاره ډیزاین شوی. په قضیه کې ورته ورته ځواب ویونکیدلته د ستونزو د حل لپاره، د وړ معلوماتو چمتو کولو ته اړتیا ده، د بیلګې په توګه. د کوربه او د دوی پیرامیټونو لیست، مګر سکریپټونه په جلا DSL کې ندي لیکل شوي، مګر په ورته ډول ډیر زاړه ندي، مګر ډیر ښه p[i|i]ton.
راځئ وګورو چې دا د لاندې ژوندي مثال په کارولو سره څه کوي.
زه په ټول هیواد کې د څو درجن دفترونو سره د څانګې شبکه لرم. هر دفتر د WAN روټر لري چې د مختلف آپریټرانو څخه څو ارتباطي چینلونه ختموي. د روټینګ پروتوکول BGP دی. د WAN روټرونه په دوه ډوله راځي: سیسکو ISG یا Juniper SRX.
اوس دنده: تاسو اړتیا لرئ د څانګې شبکې په ټولو WAN روټرونو کې په جلا پورټ کې د ویډیو څارنې لپاره وقف شوي فرعي نیټ تنظیم کړئ - په BGP کې دا فرعي نیټ اعلان کړئ - د وقف شوي بندر سرعت حد تنظیم کړئ.
لومړی، موږ اړتیا لرو یو څو ټیمپلیټونه چمتو کړو، چې پر بنسټ به یې د سیسکو او جونیپر لپاره په جلا توګه ترتیبونه جوړ شي. دا هم اړینه ده چې د هرې نقطې او پیوستون پیرامیټونو لپاره ډاټا چمتو کړئ، د بیلګې په توګه. ورته لیست راټول کړئ
د سیسکو لپاره چمتو ټیمپلیټ:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyد جونیپر لپاره کينډۍ:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterټیمپلیټونه، البته، د پتلی هوا څخه نه راځي. دا په لازمي ډول د کاري تشکیلاتو ترمینځ توپیرونه دي چې د مختلف ماډلونو دوه ځانګړي روټرونو کې د دندې حل کولو وروسته وو او وو.
زموږ د ټیمپلیټونو څخه موږ ګورو چې د ستونزې حل کولو لپاره، موږ یوازې د جونیپر لپاره دوه پیرامیټرو او د سیسکو لپاره 3 پیرامیټرو ته اړتیا لرو. دلته دوی دي:
- ifname
- ipsuffix
- asn
اوس موږ اړتیا لرو چې دا پیرامیټونه د هرې وسیلې لپاره تنظیم کړو ، د بیلګې په توګه. ورته کار وکړئ انبار.
لپاره انبار موږ به په کلکه اسناد تعقیب کړو
دا دی، راځئ چې ورته فایل کنکال جوړ کړو:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlد config.yaml فایل د معیاري نوریر ترتیب فایل دی
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"موږ به په فایل کې اصلي پیرامیټونه په ګوته کړو hosts.yaml, ګروپ (زما په قضیه کې دا ننوتونه/ پاسورډونه دي) کې group.yaml، او په defaults.yaml موږ به هیڅ شی ونه په ګوته کړو ، مګر تاسو اړتیا لرئ هلته درې نیمګړتیاوې دننه کړئ - دا په ګوته کوي چې دا دی yaml که څه هم فایل خالي دی.
دا هغه څه دي چې hosts.yaml ورته ښکاري:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111او دلته group.yaml دي:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2همداسې وشول انبار زموږ د دندې لپاره. د پیل کولو په جریان کې، د لیست فایلونو پیرامیټونه د اعتراض ماډل ته نقشه شوي InventoryElement.
د سپیلر لاندې د InventoryElement ماډل ډیاګرام دی
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}دا ماډل یو څه مغشوش ښکاري ، په ځانګړي توګه په لومړي سر کې. د دې د موندلو لپاره، د متقابل حالت کې ipython.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
او په نهایت کې ، راځئ چې پخپله سکریپټ ته لاړ شو. زه دلته په ځانګړي ډول د ویاړ لپاره هیڅ نه لرم. ما یوازې یو چمتو شوی مثال واخیست او دا تقریبا بې بدله کارول کیږي. دا هغه څه دي چې بشپړ شوي کاري سکریپټ داسې ښکاري:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)پیرامیټر ته پام وکړئ dry_run = ریښتیا په لاین اعتراض پیل کول nr.
دلته هم لکه څنګه چې په کې ځواب ویونکی د ټیسټ چلول پلي شوي چې پکې د روټر سره پیوستون رامینځته شوی ، یو نوی تعدیل شوی ترتیب چمتو شوی ، کوم چې بیا د وسیلې لخوا تایید شوی (مګر دا ډاډه نده؛ دا په NAPALM کې د وسیلې ملاتړ او ډرایور پلي کولو پورې اړه لري) ، مګر نوی ترتیب په مستقیم ډول نه پلي کیږي. د جنګي کارولو لپاره، تاسو باید پیرامیټر لرې کړئ وچ_چل یا خپل ارزښت ته بدل کړئ غلط.
کله چې سکریپټ اجرا شي، نورنر کنسول ته تفصيلي لاګونه تولیدوي.
د سپیلر لاندې په دوه ټیسټ راؤټرونو کې د جنګي چلولو محصول دی:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^په ansible_vault کې پاسورډونه پټول
د مقالې په پیل کې زه یو څه په تخته لاړم ځواب ویونکی، مګر دا ټول دومره بد ندي. زه واقعیا دوی خوښوم واټ لکه، کوم چې د سترګو څخه د حساس معلوماتو پټولو لپاره ډیزاین شوی. او شاید ډیری په پام کې نیولي وي چې موږ د ټولو جنګي راوټرونو لپاره ټول ننوتل / پاسورډونه لرو چې په خلاص شکل کې په فایل کې روښانه کیږي gorups.yaml. البته دا ښکلی ندی. راځئ چې دا معلومات د دې سره خوندي کړو واټ.
راځئ چې پیرامیټونه له group.yaml څخه creds.yaml ته انتقال کړو، او د AES256 سره یې د 20 عددي پاسورډ سره کوډ کړئ:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435دا دومره ساده ده. دا زموږ د زده کړې لپاره پاتې دي نورنیر- سکریپټ د دې معلوماتو ترلاسه کولو او پلي کولو لپاره.
د دې کولو لپاره، زموږ په سکریپټ کې د پیل کولو کرښې وروسته nr = InitNornir(config_file=… لاندې کوډ اضافه کړئ:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...البته، vault.passwd باید د creds.yaml تر څنګ واقع نه وي لکه زما په مثال کې. مګر دا د لوبې کولو لپاره سمه ده.
د اوس لپاره هم دومره. د سیسکو + زیبکس په اړه یو څو نورې مقالې شتون لري ، مګر دا د اتومات کولو په اړه یو څه ندي. او په نږدې راتلونکي کې زه پلان لرم چې په سیسکو کې د RESTCONF په اړه ولیکم.
سرچینه: www.habr.com