Pozdravljeni, Habr!
Pred kratkim se je tukaj pojavil članek kjer so podoben problem rešili s pomočjo fosilnih sredstev. In čeprav je naloga povsem tipična, na Habréju ni nič podobnega. Upam si ponuditi svoje kolo spoštovani IT skupnosti.
To ni prvo kolo za takšno nalogo. Prva možnost je bila izvedena pred nekaj leti v odgovoren različica 1.x.x. Kolo je bilo malokrat uporabljeno in zato nenehno zarjavelo. V smislu, da se sama naloga ne pojavi tako pogosto, kot se posodobijo različice odgovoren. In vsakič, ko morate voziti, odpade veriga ali kolo. Vendar pa prvi del, generiranje konfiguracij, na srečo vedno deluje zelo jasno jinja2 Motor je že dolgo uveljavljen. Toda drugi del - uvajanje konfiguracij - je običajno prinesel presenečenja. In ker moram nastaviti konfiguracijo na daljavo na pol sto naprav, od katerih so nekatere na tisoče kilometrov stran, je bila uporaba tega orodja nekoliko dolgočasna.
Tukaj moram priznati, da je moja negotovost najverjetneje v tem, da nisem seznanjena s tem odgovorenkot v svojih pomanjkljivostih. In to je, mimogrede, pomembna točka. odgovoren je popolnoma ločeno, svoje področje znanja z lastnim DSL (Domain Specific Language), ki ga je treba vzdrževati na samozavestni ravni. No, tisti trenutek, ki odgovoren Razvija se precej hitro in brez posebnega upoštevanja združljivosti za nazaj ne dodaja zaupanja.
Zato je bila ne tako dolgo nazaj izvedena druga različica kolesa. Tokrat na python, oziroma na okvir, napisan v python in za python z naslovom
Torej - Nornir je mikroogrodje, napisano v python in za python in zasnovan za avtomatizacijo. Enako kot v primeru z odgovoren, za reševanje težav tukaj je potrebna kompetentna priprava podatkov, tj. inventar gostiteljev in njihovih parametrov, vendar skripti niso napisani v ločenem DSL-ju, ampak v istem ne zelo starem, a zelo dobrem p[i|i]tonu.
Poglejmo, kaj je to z naslednjim primerom v živo.
Imam mrežo poslovalnic z več desetimi poslovalnicami po vsej državi. Vsaka pisarna ima WAN usmerjevalnik, ki zaključuje več komunikacijskih kanalov različnih operaterjev. Usmerjevalni protokol je BGP. Usmerjevalniki WAN so na voljo v dveh vrstah: Cisco ISG ali Juniper SRX.
Zdaj naloga: konfigurirati morate namensko podomrežje za videonadzor na ločenih vratih na vseh WAN usmerjevalnikih podružničnega omrežja - oglaševati to podomrežje v BGP - konfigurirati omejitev hitrosti namenskih vrat.
Najprej moramo pripraviti par predlog, na podlagi katerih bomo generirali konfiguracije ločeno za Cisco in Juniper. Prav tako je potrebno pripraviti podatke za vsako točko in parametre priključka, t.j. zbrati isti inventar
Pripravljena predloga za Cisco:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyPredloga za Juniper:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterŠablone seveda ne pridejo iz nič. To so v bistvu razlike med delovnimi konfiguracijami, ki so bile in so bile po rešitvi naloge na dveh specifičnih usmerjevalnikih različnih modelov.
Iz naših predlog vidimo, da za rešitev problema potrebujemo samo dva parametra za Juniper in 3 parametre za Cisco. tukaj so:
- ifname
- ipsuffix
- asn
Zdaj moramo te parametre nastaviti za vsako napravo, tj. naredi isto stvar inventar.
Za inventar Strogo bomo upoštevali dokumentacijo
se pravi, ustvarimo isto okostje datoteke:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlDatoteka config.yaml je standardna konfiguracijska datoteka nornir
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"V datoteki bomo navedli glavne parametre gostitelji.yaml, združite (v mojem primeru so to prijave/gesla) v skupine.yaml, in v privzete vrednosti.yaml Ne bomo ničesar označili, vendar morate tam vnesti tri minuse - kar pomeni, da je yaml datoteka pa je prazna.
Tako izgleda hosts.yaml:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111In tukaj je group.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2To se je zgodilo inventar za našo nalogo. Med inicializacijo se parametri iz datotek inventarja preslikajo v objektni model InventoryElement.
Pod spojlerjem je diagram modela InventoryElement
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Ta model je lahko videti nekoliko zmeden, še posebej na začetku. Da bi to ugotovili, interaktivni način v python.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
In končno, pojdimo k samemu scenariju. Tukaj nimam biti na kaj posebej ponosen. Pravkar sem vzel pripravljen primer iz in jo uporabljal skoraj nespremenjeno. Tako izgleda dokončan delujoč skript:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Bodite pozorni na parameter dry_run=Res inicializacija linijskega objekta nr.
Tukaj je enako kot v odgovoren izveden je testni zagon, v katerem se vzpostavi povezava z usmerjevalnikom, pripravi se nova spremenjena konfiguracija, ki jo naprava nato validira (vendar to ni gotovo; odvisno je od podpore naprave in implementacije gonilnika v NAPALM) , vendar nova konfiguracija ni neposredno uporabljena. Za bojno uporabo morate odstraniti parameter dry_run ali spremenite njegovo vrednost v False.
Ko se skript izvede, Nornir izpiše podrobne dnevnike v konzolo.
Pod spojlerjem je rezultat bojne vožnje na dveh testnih usmerjevalnikih:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Skrivanje gesel v ansible_vault
Na začetku članka sem malo pretiraval odgovoren, vendar ni vse tako slabo. Res so mi všeč trezor like, ki je zasnovan tako, da skrije občutljive informacije izven pogleda. In verjetno so mnogi opazili, da imamo vse prijave/gesla za vse bojne usmerjevalnike, ki se svetijo v odprti obliki v datoteki gorups.yaml. Seveda ni lepo. Zaščitimo te podatke z trezor.
Prenesimo parametre iz groups.yaml v creds.yaml in jih šifrirajmo z AES256 z 20-mestnim geslom:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Tako preprosto je. Ostaja še poučevanje našega Nornir-script za pridobivanje in uporabo teh podatkov.
Če želite to narediti, v našem skriptu po inicializacijski vrstici nr = InitNornir(config_file=… dodajte naslednjo kodo:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Seveda se vault.passwd ne sme nahajati poleg creds.yaml kot v mojem primeru. Ampak za igranje je v redu.
To je vse za zdaj. Prihaja še nekaj člankov o Cisco + Zabbix, vendar to ni malo o avtomatizaciji. In v bližnji prihodnosti nameravam pisati o RESTCONF v Ciscu.
Vir: www.habr.com