אָטאַמאַטיק דור און פילונג פון נעץ מיטל קאַנפיגיעריישאַן עלעמענטן ניצן Nornir

היי האבר!

לעצטנס איז ארויס א ארטיקל דא מיקראָטיק און לינוקס. רוטין און אָטאַמיישאַן ווו אַן ענלעכע פּראָבלעם איז סאַלווד ניצן פאַסאַל מיטל. און כאָטש די אַרבעט איז גאָר טיפּיש, עס איז גאָרנישט ענלעך וועגן אים אויף Habré. איך אַרויספאָדערן צו פאָרשלאָגן מיין וועלאָסיפּעד צו די רעספּעקטעד IT קהל.

דאָס איז נישט דער ערשטער בייק פֿאַר אַזאַ אַ אַרבעט. דער ערשטער אָפּציע איז ימפּלאַמענאַד עטלעכע יאָר צוריק צוריק אין אַנסאַבלע ווערסיע 1.קס.קס. די וועלאָסיפּעד איז ראַרעלי געניצט און דעריבער קעסיידער ראַסטיד. אין דעם זינען אַז די אַרבעט זיך טוט נישט אויפשטיין ווי אָפט ווי ווערסיעס זענען דערהייַנטיקט אַנסאַבלע. און יעדעס מאָל ווען מען דאַרף פאָר, פֿאַלט די קייט אָדער דאָס ראָד. אָבער, דער ערשטער טייל, דזשענערייטינג קאָנפיגס, שטענדיק אַרבעט זייער קלאר, גליק jinja2 דער מאָטאָר איז לאַנג געגרינדעט. אבער דער צווייטער טייל - ראָולינג אויס קאָנפיגס - יוזשאַוואַלי געבראכט סאַפּרייזיז. און זינט איך האָבן צו ראָולינג די קאַנפיגיעריישאַן רימאָוטלי צו העלפט אַ הונדערט דעוויסעס, עטלעכע פון ​​וואָס זענען ליגן טויזנטער פון קילאָמעטערס אַוועק, ניצן דעם געצייַג איז געווען אַ ביסל נודנע.

דאָ איך מוזן אַרייַנלאָזן אַז מיין אַנסערטאַנטי ליגט רובֿ מסתּמא אין מיין מאַנגל פון פאַמיליעראַטי מיט אַנסאַבלעווי אין אירע חסרונות. און דאָס, אגב, איז אַ וויכטיק פונט. אַנסאַבלע איז אַ גאָר באַזונדער, זיין אייגענע שטח פון וויסן מיט זיין אייגענע DSL (Domain Specific Language), וואָס מוזן זיין מיינטיינד אויף אַ זיכער מדרגה. נו, אַז מאָמענט אַז אַנסאַבלע עס איז דעוועלאָפּינג גאַנץ געשווינד, און אָן ספּעציעל אכטונג פֿאַר צוריק קאַמפּאַטאַבילאַטי, עס טוט נישט לייגן בטחון.

דעריבער, ניט אַזוי לאַנג צוריק אַ צווייט ווערסיע פון ​​די וועלאָסיפּעד איז ימפּלאַמענאַד. דאָס מאָל אויף פּיטהאָן, אָדער גאַנץ אויף אַ פריימווערק געשריבן אין פּיטהאָן און פֿאַר פּיטהאָן גערופן נאָרניר

אזוי — נאָרניר איז אַ מיקראָפראַמעוואָרק געשריבן אין פּיטהאָן און פֿאַר פּיטהאָן און דיזיינד פֿאַר אָטאַמיישאַן. די זעלבע ווי אין דעם פאַל מיט אַנסאַבלע, צו סאָלווע פּראָבלעמס דאָ, קאָמפּעטענט דאַטן צוגרייטונג איז פארלאנגט, י.ע. ינוואַנטאָרי פון מחנות און זייער פּאַראַמעטערס, אָבער סקריפּס זענען געשריבן נישט אין אַ באַזונדער דסל, אָבער אין דער זעלביקער נישט זייער אַלט, אָבער זייער גוט פּ[י|י]טאָן.

זאל ס קוק אין וואָס עס איז ניצן די פאלגענדע לעבן בייַשפּיל.

איך האָבן אַ צווייַג נעץ מיט עטלעכע טוץ אָפאַסיז איבער די מדינה. יעדער אָפיס האט אַ וואַן ראַוטער וואָס טערמאַנייץ עטלעכע קאָמוניקאַציע טשאַנאַלז פון פאַרשידענע אָפּערייטערז. די רוטינג פּראָטאָקאָל איז BGP. וואַן ראָוטערס קומען אין צוויי טייפּס: Cisco ISG אָדער Juniper SRX.

איצט די אַרבעט: איר דאַרפֿן צו קאַנפיגיער אַ דעדאַקייטאַד סובנעט פֿאַר ווידעא סערוויילאַנס אויף אַ באַזונדער פּאָרט אויף אַלע WAN ראָוטערס פון די צווייַג נעץ - מעלדן דעם סובנעט אין BGP - קאַנפיגיער די גיכקייַט שיעור פון די דעדאַקייטאַד פּאָרט.

ערשטער, מיר דאַרפֿן צו צוגרייטן אַ פּאָר פון טעמפּלאַטעס, אויף דער באזע פון ​​וואָס קאַנפיגיעריישאַנז וועט זיין דזשענערייטאַד סעפּעראַטלי פֿאַר סיסקאָ און דזשוניפּער. עס איז אויך נייטיק צו צוגרייטן דאַטן פֿאַר יעדער פונט און קשר פּאַראַמעטערס, י.ע. קלייַבן די זעלבע ינוואַנטאָרי

גרייט מוסטער פֿאַר Cisco:

$ cat templates/ios/base.j2 
class-map match-all VIDEO_SURV
 match access-group 111

policy-map VIDEO_SURV
 class VIDEO_SURV
    police 1500000 conform-action transmit  exceed-action drop

interface {{ host.task_data.ifname }}
  description VIDEOSURV
  ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0
  service-policy input VIDEO_SURV

router bgp {{ host.task_data.asn }}
  network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0

access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255
access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 any

מוסטער פֿאַר דזשוניפּער:

$ cat templates/junos/base.j2 
set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance"
set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in
set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact
set security zones security-zone WAN interfaces {{ host.task_data.ifname }}
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter

טעמפּלאַטעס, פון קורס, טאָן ניט קומען אויס פון דין לופט. דאָס זענען בייסיקלי דיפעראַנסיז צווישן די ארבעטן קאַנפיגיעריישאַנז וואָס זענען געווען און זענען געווען נאָך סאַלווינג די אַרבעט אויף צוויי ספּעציפיש ראָוטערס פון פאַרשידענע מאָדעלס.

פֿון אונדזער טעמפּלאַטעס מיר זען אַז צו סאָלווע די פּראָבלעם, מיר נאָר דאַרפֿן צוויי פּאַראַמעטערס פֿאַר דזשוניפּער און 3 פּאַראַמעטערס פֿאַר סיסקאָ. דאָ זיי זענען:

• ifname
• ipsuffix
• asn

איצט מיר דאַרפֿן צו שטעלן די פּאַראַמעטערס פֿאַר יעדער מיטל, י.ע. טאָן די זעלבע זאַך ינוואַנטאָרי.

פאַר ינוואַנטאָרי מיר וועלן שטרענג נאָכפאָלגן די דאַקיומענטיישאַן יניטיאַליזינג נאָרניר

דאָס איז, לאָזן אונדז מאַכן די זעלבע טעקע סקעלעט:

.
├── config.yaml
├── inventory
│   ├── defaults.yaml
│   ├── groups.yaml
│   └── hosts.yaml

די config.yaml טעקע איז דער נאָרמאַל nornir קאַנפיגיעריישאַן טעקע

$ cat config.yaml 
---
core:
    num_workers: 10

inventory:
    plugin: nornir.plugins.inventory.simple.SimpleInventory
    options:
        host_file: "inventory/hosts.yaml"
        group_file: "inventory/groups.yaml"
        defaults_file: "inventory/defaults.yaml"

מיר וועלן אָנווייַזן די הויפּט פּאַראַמעטערס אין דער טעקע hosts.yaml, גרופּע (אין מיין פאַל, דאָס זענען לאָגינס / פּאַסווערדז) אין גרופּעס.יאַמלאון אין defaults.yaml מיר וועלן נישט אָנווייַזן עפּעס, אָבער איר דאַרפֿן צו אַרייַן דריי מינוסעס דאָרט - וואָס ינדיקייץ אַז דאָס איז yaml די טעקע איז ליידיק כאָטש.

דאָס איז ווי hosts.yaml קוקט ווי:

---
srx-test:
    hostname: srx-test
    groups: 
        - juniper
    data:
        task_data:
            ifname: fe-0/0/2
            ipsuffix: 111

cisco-test:
    hostname: cisco-test
    groups: 
        - cisco
    data:
        task_data:
            ifname: GigabitEthernet0/1/1
            ipsuffix: 222
            asn: 65111

און דאָ איז גרופּעס.יאַמל:

---
cisco:
    platform: ios
    username: admin1
    password: cisco1

juniper:
    platform: junos
    username: admin2
    password: juniper2

דאס איז וואָס געטראפן ינוואַנטאָרי פֿאַר אונדזער אַרבעט. בעשאַס יניטיאַליזאַטיאָן, פּאַראַמעטערס פון ינוואַנטאָרי טעקעס זענען מאַפּט צו די כייפעץ מאָדעל ינווענטאָרי עלעמענט.

ונטער דער ספּוילער איז אַ דיאַגראַמע פון ​​די InventoryElement מאָדעל

print(json.dumps(InventoryElement.schema(), indent=4))
{
    "title": "InventoryElement",
    "type": "object",
    "properties": {
        "hostname": {
            "title": "Hostname",
            "type": "string"
        },
        "port": {
            "title": "Port",
            "type": "integer"
        },
        "username": {
            "title": "Username",
            "type": "string"
        },
        "password": {
            "title": "Password",
            "type": "string"
        },
        "platform": {
            "title": "Platform",
            "type": "string"
        },
        "groups": {
            "title": "Groups",
            "default": [],
            "type": "array",
            "items": {
                "type": "string"
            }
        },
        "data": {
            "title": "Data",
            "default": {},
            "type": "object"
        },
        "connection_options": {
            "title": "Connection_Options",
            "default": {},
            "type": "object",
            "additionalProperties": {
                "$ref": "#/definitions/ConnectionOptions"
            }
        }
    },
    "definitions": {
        "ConnectionOptions": {
            "title": "ConnectionOptions",
            "type": "object",
            "properties": {
                "hostname": {
                    "title": "Hostname",
                    "type": "string"
                },
                "port": {
                    "title": "Port",
                    "type": "integer"
                },
                "username": {
                    "title": "Username",
                    "type": "string"
                },
                "password": {
                    "title": "Password",
                    "type": "string"
                },
                "platform": {
                    "title": "Platform",
                    "type": "string"
                },
                "extras": {
                    "title": "Extras",
                    "type": "object"
                }
            }
        }
    }
}

דער מאָדעל קען קוקן אַ ביסל קאַנפיוזינג, ספּעציעל אין ערשטער. אין סדר צו רעכענען עס אויס, די ינטעראַקטיוו מאָדע אין פּיטהאָן.

 $ ipython3
Python 3.6.9 (default, Nov  7 2019, 10:44:02) 
Type 'copyright', 'credits' or 'license' for more information
IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help.

In [1]: from nornir import InitNornir                                                                           

In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True)                                                

In [3]: nr.inventory.hosts                                                                                      
Out[3]: 
{'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test}

In [4]: nr.inventory.hosts['srx-test'].data                                                                                    
Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}}

In [5]: nr.inventory.hosts['srx-test']['task_data']                                                     
Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111}

In [6]: nr.inventory.hosts['srx-test'].platform                                                                                
Out[6]: 'junos'

און לעסאָף, לאָזן אונדז גיין צו די שריפט זיך. איך האָב דאָ גאָרנישט צו זיין ספּעציעל שטאָלץ. איך האָב נאָר גענומען אַ פאַרטיק בייַשפּיל פון טוטאָריאַל און געוויינט עס כּמעט אַנטשיינדזשד. דאָס איז ווי די פאַרטיק אַרבעט שריפט קוקט ווי:

from nornir import InitNornir
from nornir.plugins.tasks import networking, text
from nornir.plugins.functions.text import print_title, print_result

def config_and_deploy(task):
    # Transform inventory data to configuration via a template file
    r = task.run(task=text.template_file,
                 name="Base Configuration",
                 template="base.j2",
                 path=f"templates/{task.host.platform}")

    # Save the compiled configuration into a host variable
    task.host["config"] = r.result

    # Save the compiled configuration into a file
    with open(f"configs/{task.host.hostname}", "w") as f:
        f.write(r.result)

    # Deploy that configuration to the device using NAPALM
    task.run(task=networking.napalm_configure,
             name="Loading Configuration on the device",
             replace=False,
             configuration=task.host["config"])

nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again

# run tasks
result = nr.run(task=config_and_deploy)
print_result(result)

באַצאָלן ופמערקזאַמקייַט צו די פּאַראַמעטער dry_run=אמת יניטיאַליזאַטיאָן אין שורה כייפעץ nr.
דאָ די זעלבע ווי אין אַנסאַבלע אַ פּראָבע לויפן איז ימפּלאַמענאַד אין וואָס אַ קשר צו די ראַוטער איז געמאכט, אַ נייַע מאַדאַפייד קאַנפיגיעריישאַן איז צוגעגרייט, וואָס איז דאַן וואַלאַדייטאַד דורך די מיטל (אָבער דאָס איז נישט זיכער; עס דעפּענדס אויף די שטיצן פון די מיטל און די ימפּלאַמענטיישאַן פון די דרייווער אין NAPALM) , אָבער די נייַע קאַנפיגיעריישאַן איז נישט גלייַך געווענדט. פֿאַר קאַמבאַט נוצן, איר מוזן אַראָפּנעמען דעם פּאַראַמעטער dry_run אָדער טוישן זייַן ווערט צו פאַלש.

ווען דער שריפט איז עקסאַקיוטאַד, Nornir אַוטפּוץ דיטיילד לאָגס צו די קאַנסאָול.

ונטער דער ספּוילער איז דער רעזולטאַט פון אַ קאַמבאַט לויפן אויף צוויי פּרובירן ראָוטערס:

config_and_deploy***************************************************************
* cisco-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
class-map match-all VIDEO_SURV
 match access-group 111

policy-map VIDEO_SURV
 class VIDEO_SURV
    police 1500000 conform-action transmit  exceed-action drop

interface GigabitEthernet0/1/1
  description VIDEOSURV
  ip address 10.10.222.254 255.255.255.0
  service-policy input VIDEO_SURV

router bgp 65001
  network 10.10.222.0 mask 255.255.255.0

access-list 11 permit 10.10.222.0 0.0.0.255
access-list 111 permit ip 10.10.222.0 0.0.0.255 any
---- Loading Configuration on the device ** changed : True --------------------- INFO
+class-map match-all VIDEO_SURV
+ match access-group 111
+policy-map VIDEO_SURV
+ class VIDEO_SURV
+interface GigabitEthernet0/1/1
+  description VIDEOSURV
+  ip address 10.10.222.254 255.255.255.0
+  service-policy input VIDEO_SURV
+router bgp 65001
+  network 10.10.222.0 mask 255.255.255.0
+access-list 11 permit 10.10.222.0 0.0.0.255
+access-list 111 permit ip 10.10.222.0 0.0.0.255 any
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
* srx-test ** changed : True *******************************************
vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO
---- Base Configuration ** changed : True ------------------------------------- INFO
set interfaces fe-0/0/2 unit 0 description "Video surveillance"
set interfaces fe-0/0/2 unit 0 family inet filter input limit-in
set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24
set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact
set security zones security-zone WAN interfaces fe-0/0/2
set firewall policer policer-1m if-exceeding bandwidth-limit 1m
set firewall policer policer-1m if-exceeding burst-size-limit 187k
set firewall policer policer-1m then discard
set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000
set firewall policer policer-1.5m if-exceeding burst-size-limit 280k
set firewall policer policer-1.5m then discard
set firewall filter limit-in term 1 then policer policer-1.5m
set firewall filter limit-in term 1 then count limiter
---- Loading Configuration on the device ** changed : True --------------------- INFO
[edit interfaces]
+   fe-0/0/2 {
+       unit 0 {
+           description "Video surveillance";
+           family inet {
+               filter {
+                   input limit-in;
+               }
+               address 10.10.111.254/24;
+           }
+       }
+   }
[edit]
+  policy-options {
+      policy-statement export2bgp {
+          term 1 {
+              from {
+                  route-filter 10.10.111.0/24 exact;
+              }
+          }
+      }
+  }
[edit security zones]
     security-zone test-vpn { ... }
+    security-zone WAN {
+        interfaces {
+            fe-0/0/2.0;
+        }
+    }
[edit]
+  firewall {
+      policer policer-1m {
+          if-exceeding {
+              bandwidth-limit 1m;
+              burst-size-limit 187k;
+          }
+          then discard;
+      }
+      policer policer-1.5m {
+          if-exceeding {
+              bandwidth-limit 1500000;
+              burst-size-limit 280k;
+          }
+          then discard;
+      }
+      filter limit-in {
+          term 1 {
+              then {
+                  policer policer-1.5m;
+                  count limiter;
+              }
+          }
+      }
+  }
^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

באַהאַלטן פּאַסווערדז אין ansible_vault

אין די אָנהייב פון דעם אַרטיקל איך געגאנגען אַ ביסל אָוווערבאָרד אַנסאַבלע, אָבער עס איז נישט אַלע אַז שלעכט. איך טאַקע ווי זיי וואָלט ווי, וואָס איז דיזיינד צו באַהאַלטן שפּירעוודיק אינפֿאָרמאַציע אויס פון דערזען. און מיסטאָמע פילע האָבן באמערקט אַז מיר האָבן אַלע די לאָגינס / פּאַסווערדז פֿאַר אַלע קאַמבאַט ראָוטערס ספּאַרקלינג אין אָפֿן פאָרעם אין אַ טעקע gorups.yaml. עס איז נישט שיין, פון קורס. זאל ס באַשיצן דעם דאַטן מיט וואָלט.

לאָמיר אַריבערפירן די פּאַראַמעטערס פון groups.yaml צו creds.yaml און ינקריפּט עס מיט AES256 מיט אַ 20-ציפֿער פּאַראָל:

$ cd inventory
$ cat creds.yaml
---
cisco:
    username: admin1
    password: cisco1

juniper:
    username: admin2
    password: juniper2

$ pwgen 20 -N 1 > vault.passwd
ansible-vault encrypt creds.yaml --vault-password-file vault.passwd  
Encryption successful
$ cat creds.yaml 
$ANSIBLE_VAULT;1.1;AES256
39656463353437333337356361633737383464383231366233386636333965306662323534626131
3964396534396333363939373539393662623164373539620a346565373439646436356438653965
39643266333639356564663961303535353364383163633232366138643132313530346661316533
6236306435613132610a656163653065633866626639613537326233653765353661613337393839
62376662303061353963383330323164633162386336643832376263343634356230613562643533
30363436343465306638653932366166306562393061323636636163373164613630643965636361
34343936323066393763323633336366366566393236613737326530346234393735306261363239
35663430623934323632616161636330353134393435396632663530373932383532316161353963
31393434653165613432326636616636383665316465623036376631313162646435

עס ס אַז פּשוט. עס בלייבט צו לערנען אונדזער נאָרניר-שריפט צו צוריקקריגן און צולייגן דעם דאַטן.
צו טאָן דאָס, אין אונדזער שריפט נאָך די יניטיאַליזאַטיאָן שורה nr = InitNornir(config_file =... לייג די פאלגענדע קאָד:

...
nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again

# enrich Inventory with the encrypted vault data
from ansible_vault import Vault
vault_password_file="inventory/vault.passwd"
vault_file="inventory/creds.yaml"
with open(vault_password_file, "r") as fp:
    password = fp.readline().strip()   
    vault = Vault(password)
    vaultdata = vault.load(open(vault_file).read())

for a in nr.inventory.hosts.keys():
    item = nr.inventory.hosts[a]
    item.username = vaultdata[item.groups[0]]['username']
    item.password = vaultdata[item.groups[0]]['password']
    #print("hostname={}, username={}, password={}n".format(item.hostname, item.username, item.password))

# run tasks
...

פון קורס, vault.passwd זאָל ניט זיין ליגן ווייַטער צו creds.yaml ווי אין מיין בייַשפּיל. אבער עס איז גוט פֿאַר פּלייינג.

אַז ס אַלע פֿאַר איצט. עס זענען אַ פּאָר מער אַרטיקלען וועגן Cisco + Zabbix קומען, אָבער דאָס איז נישט אַ ביסל וועגן אָטאַמיישאַן. און אין דעם לעבן צוקונפֿט איך פּלאַן צו שרייַבן וועגן RESTCONF אין סיסקאָ.

מקור: www.habr.com