Ey Habr!
Geçenlerde burada bir makale çıktı benzer bir sorunun fosil yöntemlerle çözüldüğü yer. Görev tamamen tipik olmasına rağmen Habré'de buna benzer bir şey yok. Bisikletimi saygın BT camiasına sunmaya cesaret ediyorum.
Bu, böyle bir görev için ilk bisiklet değil. İlk seçenek birkaç yıl önce uygulandı yanıtlayıcı ' sürüm 1.x.x. Bisiklet nadiren kullanıldı ve bu nedenle sürekli paslandı. Görevin kendisinin sürümler güncellendiği kadar sık ortaya çıkmaması anlamında yanıtlayıcı '. Ve her sürüş yapmanız gerektiğinde zincir düşer veya tekerlek düşer. Ancak, yapılandırmaları oluşturan ilk bölüm, neyse ki her zaman çok net çalışıyor Jinja2 Motor uzun süredir yerleşiktir. Ancak yapılandırmaların kullanıma sunulduğu ikinci bölüm genellikle sürprizler getirdi. Ve yapılandırmayı, bazıları binlerce kilometre uzakta bulunan yarım yüz cihaza uzaktan dağıtmam gerektiğinden, bu aracı kullanmak biraz sıkıcıydı.
Burada, belirsizliğimin büyük olasılıkla bu konuya aşina olmamamdan kaynaklandığını itiraf etmeliyim. yanıtlayıcı 'eksikliklerinden daha fazla. Ve bu arada, bu önemli bir nokta. yanıtlayıcı ' kendinden emin bir seviyede tutulması gereken kendi DSL'sine (Etki Alanına Özel Dil) sahip, tamamen ayrı, kendi bilgi alanıdır. Peki o an yanıtlayıcı ' Oldukça hızlı gelişiyor ve geriye dönük uyumluluğa özel bir önem verilmediğinde güven katmıyor.
Bu nedenle çok uzun zaman önce bisikletin ikinci versiyonu hayata geçirildi. Bu sefer pitonveya daha doğrusu yazılmış bir çerçeve üzerinde piton ve için piton adlı
Bu yüzden - Nornir yazılmış bir mikro çerçevedir piton ve için piton ve otomasyona uygun olarak tasarlanmıştır. Bu durumda olduğu gibi yanıtlayıcı ', buradaki sorunları çözmek için yetkin veri hazırlığı gereklidir, yani. ana bilgisayarların envanteri ve parametreleri, ancak komut dosyaları ayrı bir DSL'de değil, aynı çok eski olmayan ama çok iyi p[i|i]tonda yazılmıştır.
Aşağıdaki canlı örneği kullanarak ne olduğuna bakalım.
Ülke çapında birkaç düzine ofisi olan bir şube ağım var. Her ofiste, farklı operatörlerin çeşitli iletişim kanallarını sonlandıran bir WAN yönlendiricisi bulunur. Yönlendirme protokolü BGP'dir. WAN yönlendiricileri iki türde gelir: Cisco ISG veya Juniper SRX.
Şimdi görev: Şube ağının tüm WAN yönlendiricilerindeki ayrı bir bağlantı noktasında Video Gözetim için özel bir alt ağ yapılandırmanız gerekiyor - bu alt ağın BGP'de reklamını yapın - özel bağlantı noktasının hız sınırını yapılandırın.
Öncelikle Cisco ve Juniper için ayrı ayrı hangi konfigürasyonların oluşturulacağı birkaç şablon hazırlamamız gerekiyor. Ayrıca her nokta ve bağlantı parametreleri için veri hazırlamak da gereklidir; aynı envanteri topla
Cisco için hazır şablon:
$ cat templates/ios/base.j2
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface {{ host.task_data.ifname }}
description VIDEOSURV
ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp {{ host.task_data.asn }}
network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0
access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 anyArdıç için şablon:
$ cat templates/junos/base.j2
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiterElbette şablonlar yoktan var olmuyor. Bunlar esasen, farklı modellerin iki belirli yönlendiricisinde görevi çözdükten sonra olan ve çözüldükten sonra çalışma yapılandırmaları arasındaki farklardır.
Şablonlarımızdan sorunu çözmek için Juniper için yalnızca iki parametreye, Cisco için ise 3 parametreye ihtiyacımız olduğunu görüyoruz. işte buradalar:
- eğerisim
- ipsonfix
- ASN
Şimdi bu parametreleri her cihaz için ayarlamamız gerekiyor; aynı şeyi yap envanter.
için envanter Belgelere sıkı sıkıya bağlı kalacağız
yani aynı dosya iskeletini oluşturalım:
.
├── config.yaml
├── inventory
│ ├── defaults.yaml
│ ├── groups.yaml
│ └── hosts.yamlConfig.yaml dosyası standart nornir yapılandırma dosyasıdır
$ cat config.yaml
---
core:
num_workers: 10
inventory:
plugin: nornir.plugins.inventory.simple.SimpleInventory
options:
host_file: "inventory/hosts.yaml"
group_file: "inventory/groups.yaml"
defaults_file: "inventory/defaults.yaml"Dosyadaki ana parametreleri göstereceğiz hosts.yaml, grup (benim durumumda bunlar oturum açma bilgileri/şifrelerdir) group.yamlVe içinde defaults.yaml Hiçbir şey belirtmeyeceğiz, ancak oraya üç eksi girmeniz gerekiyor - bunun olduğunu belirtmek tatlım dosya boş ama.
hosts.yaml şöyle görünür:
---
srx-test:
hostname: srx-test
groups:
- juniper
data:
task_data:
ifname: fe-0/0/2
ipsuffix: 111
cisco-test:
hostname: cisco-test
groups:
- cisco
data:
task_data:
ifname: GigabitEthernet0/1/1
ipsuffix: 222
asn: 65111Ve işte group.yaml:
---
cisco:
platform: ios
username: admin1
password: cisco1
juniper:
platform: junos
username: admin2
password: juniper2Olan şey bu envanter görevimiz için. Başlatma sırasında envanter dosyalarındaki parametreler nesne modeliyle eşlenir Envanter Öğesi.
Spoylerin altında InventoryElement modelinin bir diyagramı var
print(json.dumps(InventoryElement.schema(), indent=4))
{
"title": "InventoryElement",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"groups": {
"title": "Groups",
"default": [],
"type": "array",
"items": {
"type": "string"
}
},
"data": {
"title": "Data",
"default": {},
"type": "object"
},
"connection_options": {
"title": "Connection_Options",
"default": {},
"type": "object",
"additionalProperties": {
"$ref": "#/definitions/ConnectionOptions"
}
}
},
"definitions": {
"ConnectionOptions": {
"title": "ConnectionOptions",
"type": "object",
"properties": {
"hostname": {
"title": "Hostname",
"type": "string"
},
"port": {
"title": "Port",
"type": "integer"
},
"username": {
"title": "Username",
"type": "string"
},
"password": {
"title": "Password",
"type": "string"
},
"platform": {
"title": "Platform",
"type": "string"
},
"extras": {
"title": "Extras",
"type": "object"
}
}
}
}
}Bu model özellikle ilk başta biraz kafa karıştırıcı görünebilir. Bunu anlamak için etkileşimli mod piton.
$ ipython3
Python 3.6.9 (default, Nov 7 2019, 10:44:02)
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.
In [1]: from nornir import InitNornir
In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)
In [3]: nr.inventory.hosts
Out[3]:
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}
In [4]: nr.inventory.hosts['srx-test'].data
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}
In [5]: nr.inventory.hosts['srx-test']['task_data']
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}
In [6]: nr.inventory.hosts['srx-test'].platform
Out[6]: 'junos'
Ve son olarak senaryonun kendisine geçelim. Burada özellikle gurur duyacağım hiçbir şey yok. Az önce hazır bir örnek aldım ve neredeyse hiç değişmeden kullandım. Bitmiş çalışma komut dosyası şöyle görünür:
from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result
def config_and_deploy(task):
# Transform inventory data to configuration via a template file
r = task.run(task=text.template_file,
name="Base Configuration",
template="base.j2",
path=f"templates/{task.host.platform}")
# Save the compiled configuration into a host variable
task.host["config"] = r.result
# Save the compiled configuration into a file
with open(f"configs/{task.host.hostname}", "w") as f:
f.write(r.result)
# Deploy that configuration to the device using NAPALM
task.run(task=networking.napalm_configure,
name="Loading Configuration on the device",
replace=False,
configuration=task.host["config"])
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)Parametreye dikkat edin Dry_run=Doğru satır içi nesne başlatma nr.
Burada da aynı yanıtlayıcı ' yönlendiriciye bağlantının yapıldığı bir test çalıştırması uygulandı, değiştirilmiş yeni bir konfigürasyon hazırlandı ve bu daha sonra cihaz tarafından doğrulandı (ancak bu kesin değil; cihaz desteğine ve NAPALM'deki sürücü uygulamasına bağlıdır) , ancak yeni yapılandırma doğrudan uygulanmaz. Savaş kullanımı için parametreyi kaldırmalısınız kuru_çalışma veya değerini şu şekilde değiştirin: Yanlış.
Betik yürütüldüğünde Nornir, ayrıntılı günlükleri konsola gönderir.
Spoylerin altında iki test yönlendiricisindeki bir savaş çalışmasının çıktısı var:
config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
match access-group 111
policy-map VIDEO_SURV
class VIDEO_SURV
police 1500000 conform-action transmit exceed-action drop
interface GigabitEthernet0/1/1
description VIDEOSURV
ip address 10.10.222.254 255.255.255.0
service-policy input VIDEO_SURV
router bgp 65001
network 10.10.222.0 mask 255.255.255.0
access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+ description VIDEOSURV
+ ip address 10.10.222.254 255.255.255.0
+ service-policy input VIDEO_SURV
+router bgp 65001
+ network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+ fe-0/0/2 {
+ unit 0 {
+ description "Video surveillance";
+ family inet {
+ filter {
+ input limit-in;
+ }
+ address 10.10.111.254/24;
+ }
+ }
+ }
[edit]
+ policy-options {
+ policy-statement export2bgp {
+ term 1 {
+ from {
+ route-filter 10.10.111.0/24 exact;
+ }
+ }
+ }
+ }
[edit security zones]
security-zone test-vpn { ... }
+ security-zone WAN {
+ interfaces {
+ fe-0/0/2.0;
+ }
+ }
[edit]
+ firewall {
+ policer policer-1m {
+ if-exceeding {
+ bandwidth-limit 1m;
+ burst-size-limit 187k;
+ }
+ then discard;
+ }
+ policer policer-1.5m {
+ if-exceeding {
+ bandwidth-limit 1500000;
+ burst-size-limit 280k;
+ }
+ then discard;
+ }
+ filter limit-in {
+ term 1 {
+ then {
+ policer policer-1.5m;
+ count limiter;
+ }
+ }
+ }
+ }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ansible_vault'ta şifreleri gizleme
Yazının başında biraz abarttım yanıtlayıcı 'ama o kadar da kötü değil. onlardan gerçekten hoşlanıyorum Tonoz hassas bilgileri gözden uzak tutmak için tasarlanmış gibi. Ve muhtemelen birçok kişi, tüm savaş yönlendiricileri için tüm giriş bilgilerinin/şifrelerin bir dosyada açık biçimde parıldadığını fark etmiştir. grups.yaml. Elbette güzel değil. Bu verileri şu şekilde koruyalım: Tonoz.
Parametreleri group.yaml'den creds.yaml'a aktaralım ve 256 haneli şifre ile AES20 ile şifreleyelim:
$ cd inventory
$ cat creds.yaml
---
cisco:
username: admin1
password: cisco1
juniper:
username: admin2
password: juniper2
$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd
Encryption successful
$ cat creds.yaml
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435Bu kadar basit. Bize öğretmek kalıyor Nornir-script bu verileri almak ve uygulamak için.
Bunu yapmak için scriptimizde başlatma satırından sonra nr = InitNornir(config_file=… aşağıdaki kodu ekleyin:
...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again
# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
password = fp.readline().strip()
vault = Vault(password)
vaultdata = vault.load(open(vault_file).read())
for a in nr.inventory.hosts.keys():
item = nr.inventory.hosts[a]
item.username = vaultdata[item.groups[0]]['username']
item.password = vaultdata[item.groups[0]]['password']
#print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))
# run tasks
...Tabii benim örneğimde olduğu gibi Vault.passwd, creds.yaml'ın yanında yer almamalı. Ama oynamak için sorun yok.
Şimdilik bu kadar. Cisco + Zabbix'in geleceğine dair birkaç yazı daha var ama bu biraz otomasyonla ilgili değil. Yakın gelecekte Cisco'da RESTCONF hakkında yazmayı planlıyorum.
Kaynak: habr.com