Хеј Хабр!
Недавно се овде појавио чланак где је сличан проблем решен фосилним средствима. И иако је задатак сасвим типичан, на Хабреу нема ничег сличног. Усуђујем се да свој бицикл понудим угледној ИТ заједници.
Ово није први бицикл за такав задатак. Прва опција је спроведена пре неколико година уназад ансибле верзија 1.к.к. Бицикл се ретко користио и због тога је стално рђао. У смислу да се сам задатак не јавља толико често колико се верзије ажурирају ансибле. И сваки пут када треба да возите, ланац отпада или точак отпада. Међутим, први део, генерисање конфигурација, увек ради веома јасно, на срећу јиња2 Мотор је одавно успостављен. Али други део, објављивање конфигурација, обично је доносио изненађења. А пошто морам даљински да пренесем конфигурацију на пола стотине уређаја, од којих су неки удаљени хиљадама километара, коришћење овог алата је било мало досадно.
Овде морам признати да моја несигурност највероватније лежи у недостатку познавања ансибленего у својим недостацима. А ово је, иначе, важна тачка. ансибле је потпуно одвојена, сопствена област знања са сопственим ДСЛ-ом (Домаин Специфиц Лангуаге), који се мора одржавати на поузданом нивоу. Па, тај тренутак то ансибле Развија се прилично брзо и без посебног обраћања пажње на компатибилност уназад, не додаје самопоуздање.
Стога је не тако давно имплементирана друга верзија бицикла. Овај пут даље питон, тачније на оквиру написаном у питон и за питон звао
Тако - Норнир је микрооквир написан у питон и за питон и дизајниран за аутоматизацију. Исто као у случају са ансибле, за решавање проблема овде је потребна компетентна припрема података, тј. инвентар хостова и њихових параметара, али скрипте нису написане у посебном ДСЛ-у, већ на истом не баш старом, али веома добром п[и|и]тону.
Погледајмо шта је то користећи следећи живи пример.
Имам мрежу експозитура са неколико десетина канцеларија широм земље. Свака канцеларија има ВАН рутер који прекида неколико комуникационих канала различитих оператера. Протокол рутирања је БГП. ВАН рутери долазе у два типа: Цисцо ИСГ или Јунипер СРКС.
Сада је задатак: потребно је да конфигуришете наменску подмрежу за Видео надзор на посебном порту на свим ВАН рутерима мреже филијала - рекламирајте ову подмрежу у БГП-у - конфигуришите ограничење брзине наменског порта.
Прво треба да припремимо неколико шаблона, на основу којих ће се посебно генерисати конфигурације за Цисцо и Јунипер. Такође је потребно припремити податке за сваку тачку и параметре везе, тј. прикупити исти инвентар
Спреман шаблон за Цисцо:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyШаблон за Јунипер:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterШаблони, наравно, не настају из ваздуха. То су у суштини разлике између радних конфигурација које су биле и биле након решавања задатка на два специфична рутера различитих модела.
Из наших шаблона видимо да су нам за решавање проблема потребна само два параметра за Јунипер и 3 параметра за Цисцо. Ево их:
- ифнаме
- ипсуфикс
- асн
Сада треба да подесимо ове параметре за сваки уређај, тј. уради исту ствар инвентар.
За инвентар Стриктно ћемо пратити документацију
то јест, хајде да направимо исти костур датотеке:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlДатотека цонфиг.иамл је стандардна норнир конфигурациона датотека
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"У датотеци ћемо навести главне параметре хостс.иамл, група (у мом случају то су логин/лозинке) у групе.иамл, и у дефаултс.иамл Нећемо ништа назначити, али треба да унесете три минуса - што значи да јесте иамл датотека је ипак празна.
Овако изгледа хостс.иамл:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111А ево група.иамл:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Ево шта се десило инвентар за наш задатак. Током иницијализације, параметри из датотека инвентара се мапирају у објектни модел ИнвенториЕлемент.
Испод спојлера је дијаграм модела ИнвенториЕлемент
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Овај модел може изгледати мало збуњујуће, посебно у почетку. Да бисте то схватили, интерактивни режим у ипитхон.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
И на крају, пређимо на сам сценарио. Овде немам чиме да се посебно поносим. Управо сам узео готов пример из и користио га готово непромењеног. Овако изгледа готова радна скрипта:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Обратите пажњу на параметар дри_рун=Тачно у иницијализацији линијског објекта nr.
Овде исто као у ансибле имплементиран је пробни рад у коме се врши конекција са рутером, припрема се нова модификована конфигурација коју уређај затим потврђује (али то није сигурно; зависи од подршке уређаја и имплементације драјвера у НАПАЛМ-у) , али се нова конфигурација не примењује директно. За борбену употребу, морате уклонити параметар дри_рун или промените његову вредност у Лажан.
Када се скрипта изврши, Норнир шаље детаљне евиденције на конзолу.
Испод спојлера је резултат борбеног трчања на два пробна рутера:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^Скривање лозинки у ансибле_ваулт
На почетку чланка сам мало претерао ансибле, али није све тако лоше. стварно ми се свиђају трезор попут, који је дизајниран да сакрије осетљиве информације од очију. И вероватно су многи приметили да имамо све логин/лозинке за све борбене рутере који светлуцају у отвореном облику у датотеци горупс.иамл. Није лепо, наравно. Заштитимо ове податке са трезор.
Пренесимо параметре из гроупс.иамл у цредс.иамл и шифрујемо их помоћу АЕС256 са 20-цифреном лозинком:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435То је тако једноставно. Остаје да научимо наше Норнир-скрипта за преузимање и примену ових података.
Да бисте то урадили, у нашој скрипти након линије за иницијализацију нр = ИнитНорнир(цонфиг_филе=… додајте следећи код:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Наравно, ваулт.пассвд не би требало да се налази поред цредс.иамл као у мом примеру. Али у реду је за играње.
То је све за сада. Стиже још неколико чланака о Цисцо + Заббик-у, али ово није нешто о аутоматизацији. А у блиској будућности планирам да пишем о РЕСТЦОНФ-у у Цисцо-у.
Извор: ввв.хабр.цом