Hej Habr!
Kohët e fundit një artikull doli këtu ku një problem i ngjashëm u zgjidh duke përdorur mjete fosile. Dhe megjithëse detyra është krejtësisht tipike, nuk ka asgjë të ngjashme në lidhje me të në Habré. Unë guxoj t'i ofroj biçikletën time komunitetit të respektuar të IT.
Kjo nuk është biçikleta e parë për një detyrë të tillë. Opsioni i parë u zbatua disa vite më parë në ansible versioni 1.x.x. Biçikleta përdorej rrallë dhe për këtë arsye ndryshket vazhdimisht. Në kuptimin që vetë detyra nuk lind aq shpesh sa përditësohen versionet ansible. Dhe sa herë që ju duhet të vozitni, zinxhiri bie ose rrota bie. Sidoqoftë, pjesa e parë, duke gjeneruar konfigurime, funksionon gjithmonë shumë qartë, për fat të mirë xhinja2 Motori është krijuar prej kohësh. Por pjesa e dytë - nxjerrja e konfigurimeve - zakonisht solli surpriza. Dhe meqenëse më duhet të hap konfigurimin nga distanca në gjysmëqind pajisje, disa prej të cilave ndodhen mijëra kilometra larg, përdorimi i këtij mjeti ishte pak i mërzitshëm.
Këtu më duhet të pranoj se pasiguria ime ka shumë të ngjarë të qëndrojë në mungesën e njohjes sime ansiblesesa në të metat e tij. Dhe kjo, nga rruga, është një pikë e rëndësishme. ansible është një zonë krejtësisht e veçantë, e vet e njohurive me DSL-në e vet (Gjuha specifike e domenit), e cila duhet të mbahet në një nivel të sigurt. Epo, ai moment ansible Ai po zhvillohet mjaft shpejt dhe pa një vëmendje të veçantë për pajtueshmërinë e prapambetur, nuk shton besim.
Prandaj, jo shumë kohë më parë u zbatua një version i dytë i biçikletës. Këtë herë piton, ose më mirë në një kornizë të shkruar në piton dhe për piton i quajtur
Kështu që - Nornir është një mikrokornizë e shkruar në piton dhe për piton dhe projektuar për automatizim. Njëlloj si në rastin me ansible, për të zgjidhur problemet këtu, kërkohet përgatitja kompetente e të dhënave, d.m.th. inventari i hosteve dhe parametrat e tyre, por skriptet nuk shkruhen në një DSL të veçantë, por në të njëjtin p[i|i]ton jo shumë të vjetër, por shumë të mirë.
Le të shohim se çfarë është duke përdorur shembullin e mëposhtëm të drejtpërdrejtë.
Unë kam një rrjet degësh me disa dhjetëra zyra në të gjithë vendin. Çdo zyrë ka një ruter WAN që përfundon disa kanale komunikimi nga operatorë të ndryshëm. Protokolli i rrugëzimit është BGP. Ruterat WAN vijnë në dy lloje: Cisco ISG ose Juniper SRX.
Tani detyra: duhet të konfiguroni një nënrrjet të dedikuar për Mbikëqyrjen Video në një port të veçantë në të gjithë ruterat WAN të rrjetit të degëve - reklamoni këtë nënrrjet në BGP - konfiguroni kufirin e shpejtësisë së portit të dedikuar.
Së pari, duhet të përgatisim disa shabllone, në bazë të të cilave konfigurimet do të gjenerohen veçmas për Cisco dhe Juniper. Është gjithashtu e nevojshme të përgatiten të dhëna për secilën pikë dhe parametrat e lidhjes, d.m.th. mbledhin të njëjtin inventar
Modeli i gatshëm për Cisco:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyModeli për Juniper:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterModelet, natyrisht, nuk dalin nga ajri i hollë. Këto janë në thelb ndryshime midis konfigurimeve të punës që ishin dhe ishin pas zgjidhjes së detyrës në dy rutera specifikë të modeleve të ndryshme.
Nga shabllonet tona shohim se për të zgjidhur problemin, na duhen vetëm dy parametra për Juniper dhe 3 parametra për Cisco. këtu ata janë:
- nëse emri
- ipprapashtesë
- asn
Tani duhet të vendosim këto parametra për secilën pajisje, d.m.th. bëni të njëjtën gjë inventar.
Për inventar Do të ndjekim me përpikëri dokumentacionin
domethënë, le të krijojmë të njëjtin skelet skedari:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlSkedari config.yaml është skedari standard i konfigurimit nornir
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"Ne do të tregojmë parametrat kryesorë në skedar pret.yaml, gruponi (në rastin tim këto janë hyrje/fjalëkalime) në grupe.yamldhe në parazgjedhjet.yaml Ne nuk do të tregojmë asgjë, por duhet të futni tre minuse atje - duke treguar që është yaml megjithatë skedari është bosh.
Ja si duket hosts.yaml:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111Dhe këtu janë grupet.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Kjo është ajo që ndodhi inventar për detyrën tonë. Gjatë inicializimit, parametrat nga skedarët e inventarit vendosen në modelin e objektit Elementi i Inventarit.
Poshtë spoilerit është një diagram i modelit InventoryElement
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Ky model mund të duket pak konfuz, veçanërisht në fillim. Për ta kuptuar atë, në modalitetin interaktiv ipython.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
Dhe së fundi, le të kalojmë te vetë skenari. Nuk kam asgjë për të qenë veçanërisht krenare këtu. Thjesht mora një shembull të gatshëm nga dhe e përdori pothuajse të pandryshuar. Kështu duket skenari i përfunduar i punës:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Kushtojini vëmendje parametrit dry_run=E vërtetë në inicializimin e objektit në linjë nr.
Këtu njësoj si në ansible është zbatuar një provë në të cilën është bërë një lidhje me ruterin, përgatitet një konfigurim i ri i modifikuar, i cili më pas vërtetohet nga pajisja (por kjo nuk është e sigurt; varet nga mbështetja e pajisjes dhe zbatimi i drejtuesit në NAPALM) , por konfigurimi i ri nuk zbatohet drejtpërdrejt. Për përdorim luftarak, duhet të hiqni parametrin that_run ose ndryshoni vlerën e tij në I rremë.
Kur skripti ekzekutohet, Nornir nxjerr regjistrat e detajuar në tastierë.
Poshtë spoilerit është rezultati i një vrapimi luftarak në dy rutera provë:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Fshehja e fjalëkalimeve në ansible_vault
Në fillim të artikullit e teprova pak ansible, por nuk është edhe aq keq. Më pëlqejnë shumë qemer si, i cili është krijuar për të fshehur informacione të ndjeshme jashtë syve. Dhe ndoshta shumë kanë vënë re se ne kemi të gjitha hyrjet/fjalëkalimet për të gjithë ruterat luftarakë që shkëlqejnë në formë të hapur në një skedar gorups.yaml. Nuk është e bukur, sigurisht. Le t'i mbrojmë këto të dhëna me qemer.
Le t'i transferojmë parametrat nga group.yaml në creds.yaml dhe ta kodojmë atë me AES256 me një fjalëkalim 20-shifror:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Është kaq e thjeshtë. Mbetet për të mësuar tonë Nornir-skript për të marrë dhe zbatuar këto të dhëna.
Për ta bërë këtë, në skriptin tonë pas linjës së inicializimit nr = InitNornir(file_konfigurimi=… shtoni kodin e mëposhtëm:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Sigurisht, vault.passwd nuk duhet të vendoset pranë creds.yaml si në shembullin tim. Por është në rregull për të luajtur.
Kjo është e gjitha për tani. Ka edhe disa artikuj të tjerë rreth Cisco + Zabbix që vijnë, por kjo nuk ka të bëjë pak me automatizimin. Dhe në të ardhmen e afërt kam në plan të shkruaj për RESTCONF në Cisco.
Burimi: www.habr.com