🏢 📶 ⛽️ ऑटो उत्पन्न और भरें नेटवर्क डिवाइस कॉन्फ़िगरेशन तत्व Nornir के साथ 👨🏽‍🏭 ☝🏽 🔍

नमस्कार, हेब्र!

हाल ही में, मिकरोटिक और लिनक्स का एक लेख यहां फिसल गया । रूटीन और स्वचालन जहां जीवाश्म साधनों द्वारा एक समान समस्या हल की गई थी। और यद्यपि यह कार्य पूरी तरह से विशिष्ट है, लेकिन इसके बारे में हब्रे पर कुछ भी समान नहीं है। मैं अपनी बाइक को प्रतिष्ठित आईटी समुदाय को पेश करने की हिम्मत करता हूं।

यह इस कार्य के लिए पहली बाइक नहीं है। पहला विकल्प कई साल पहले 1sx संस्करण पर लागू किया गया था। x.x. साइकिल का उपयोग शायद ही कभी किया गया था और इसलिए लगातार जंग लगा हुआ था। इस अर्थ में कि कार्य स्वयं नहीं होता है जितनी बार अद्यतित संस्करणों के रूप में होता है। और हर बार जब आपको जाने की जरूरत होती है, तो चेन गिर जाएगी, पहिया गिर जाएगा। हालांकि, पहला भाग, कॉन्फ़िगरेशन की पीढ़ी - हमेशा बहुत स्पष्ट रूप से काम करती है, क्योंकि इंजन लंबे समय से jinja2 के लिए स्थापित किया गया है । लेकिन दूसरा भाग - रोलिंग को कॉन्फ़िगर करता है, एक नियम के रूप में आश्चर्य हुआ। और चूंकि मुझे सैकड़ों डिवाइसों के फर्श को दूरस्थ रूप से कॉन्फ़िगर करना है, जिनमें से कुछ हजारों किलोमीटर दूर हैं, इस उपकरण का उपयोग करना थोड़ा कष्टप्रद था।

यहाँ मुझे यह स्वीकार करना चाहिए कि मेरी असुरक्षा, अपनी कमियों की तुलना में मेरे साथ परिचित होने की कमी में है। और यह, वैसे, एक महत्वपूर्ण बिंदु है। ansible एक पूरी तरह से अलग है, अपने स्वयं के DSL (डोमेन विशिष्ट भाषा) के साथ ज्ञान का एक डोमेन है, जिसे एक विश्वसनीय स्तर पर बनाए रखा जाना चाहिए। खैर, वह क्षण जो बहुत जल्दी विकसित हो रहा है, और पिछड़े अनुकूलता के लिए विशेष संबंध के बिना, आत्मविश्वास नहीं जोड़ता है।

इसलिए, बहुत पहले नहीं, साइकिल का दूसरा संस्करण लागू किया गया था। अजगर में इस बार, या बल्कि, अजगर में लिखे गए एक ढांचे में और अजगर के लिए जिसे नोरिन कहा जाता है

तो - नोर्नियर एक माइक्रोफ्रामवर्क है जिसे अजगर में लिखा गया है और अजगर के लिए और स्वचालन के लिए इरादा है। जैसा कि समस्याओं के समाधान के लिए, सक्षम होने की स्थिति में, सक्षम डेटा तैयार करना आवश्यक है, अर्थात्। मेजबानों और उनके मापदंडों की सूची, लेकिन स्क्रिप्ट एक अलग डीएसएल पर नहीं लिखी जाती हैं, लेकिन सभी बहुत पुरानी नहीं, लेकिन बहुत अच्छी टोन [और | आह] टोन पर।

आइए देखें कि यह निम्नलिखित जीवित उदाहरणों में क्या है।

मेरा देश भर में कई दर्जन कार्यालयों के साथ एक शाखा नेटवर्क है। प्रत्येक कार्यालय में, एक WAN राउटर होता है जो विभिन्न ऑपरेटरों से कई संचार चैनलों को समाप्त करता है। रूटिंग प्रोटोकॉल बीजीपी है। WAN राउटर दो प्रकार के होते हैं: सिस्को ISG या जुनिपर SRX।

अब कार्य: शाखा नेटवर्क के सभी वान राउटर पर एक अलग पोर्ट में वीडियो निगरानी के लिए एक समर्पित सबनेट को कॉन्फ़िगर करना आवश्यक है - बीजीपी में इस सबनेट की घोषणा करें - समर्पित बंदरगाह के लिए गति सीमा को कॉन्फ़िगर करें।

सबसे पहले, हमें कुछ टेम्पलेट्स तैयार करने की आवश्यकता है, जिसके आधार पर सिस्को और जुनिपर के लिए अलग से कॉन्फ़िगरेशन तैयार किए जाएंगे। और प्रत्येक बिंदु और कनेक्शन मापदंडों के लिए डेटा तैयार करना भी आवश्यक है अर्थात्। उस सूची को इकट्ठा करने के लिए

सिस्को के लिए तैयार टेम्पलेट:

$ cat templates/ios/base.j2 class-map match-all VIDEO_SURV match access-group 111 policy-map VIDEO_SURV class VIDEO_SURV police 1500000 conform-action transmit exceed-action drop interface {{ host.task_data.ifname }} description VIDEOSURV ip address 10.10.{{ host.task_data.ipsuffix }}.254 255.255.255.0 service-policy input VIDEO_SURV router bgp {{ host.task_data.asn }} network 10.40.{{ host.task_data.ipsuffix }}.0 mask 255.255.255.0 access-list 11 permit 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 access-list 111 permit ip 10.10.{{ host.task_data.ipsuffix }}.0 0.0.0.255 any

जुनिपर के लिए टेम्प्लेट:

 $ cat templates/junos/base.j2 set interfaces {{ host.task_data.ifname }} unit 0 description "Video surveillance" set interfaces {{ host.task_data.ifname }} unit 0 family inet filter input limit-in set interfaces {{ host.task_data.ifname }} unit 0 family inet address 10.10.{{ host.task_data.ipsuffix }}.254/24 set policy-options policy-statement export2bgp term 1 from route-filter 10.10.{{ host.task_data.ipsuffix }}.0/24 exact set security zones security-zone WAN interfaces {{ host.task_data.ifname }} set firewall policer policer-1m if-exceeding bandwidth-limit 1m set firewall policer policer-1m if-exceeding burst-size-limit 187k set firewall policer policer-1m then discard set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000 set firewall policer policer-1.5m if-exceeding burst-size-limit 280k set firewall policer policer-1.5m then discard set firewall filter limit-in term 1 then policer policer-1.5m set firewall filter limit-in term 1 then count limiter

बेशक, छत से नहीं लिया जाता है। यह अनिवार्य रूप से कार्य विन्यास के बीच का अंतर था-यह विभिन्न मॉडलों के दो विशिष्ट राउटरों पर कार्य को हल करने के बाद बन गया।

हमारे टेम्पलेट्स से, हम देखते हैं कि समस्या को हल करने के लिए, जुनिपर के लिए दो पैरामीटर और सिस्को के लिए 3 पैरामीटर पर्याप्त हैं। यहाँ वे हैं:

ifname
ipsuffix
ASN

अब हमें प्रत्येक डिवाइस के लिए इन मापदंडों को सेट करने की आवश्यकता है, अर्थात्। वही इन्वेंट्री करो ।

इन्वेंट्री के लिए हम स्पष्ट रूप से इनिशियलिंग नॉर्निर का अनुसरण करेंगे

यानी एक ही फ़ाइल कंकाल बनाएँ:

 . ├── config.yaml ├── inventory │ ├── defaults.yaml │ ├── groups.yaml │ └── hosts.yaml

Config.yaml फ़ाइल - मानक nornir कॉन्फ़िगरेशन फ़ाइल

 $ cat config.yaml --- core: num_workers: 10 inventory: plugin: nornir.plugins.inventory.simple.SimpleInventory options: host_file: "inventory/hosts.yaml" group_file: "inventory/groups.yaml" defaults_file: "inventory/defaults.yaml"

हम hosts.yaml फ़ाइल में मुख्य मापदंडों को निर्दिष्ट करेंगे, group.yaml में समूह (मेरे मामले में ये उपयोगकर्ता नाम / पासवर्ड हैं), और हम डिफ़ॉल्ट में कुछ भी निर्दिष्ट नहीं करेंगे। लेकिन आपको तीन मिनट दर्ज करने की आवश्यकता है, यह दर्शाता है कि यह एक yaml फ़ाइल है अलबत्ता खाली।

यह वही है जो hosts.yaml जैसा दिखता है:

 --- srx-test: hostname: srx-test groups: - juniper data: task_data: ifname: fe-0/0/2 ipsuffix: 111 cisco-test: hostname: cisco-test groups: - cisco data: task_data: ifname: GigabitEthernet0/1/1 ipsuffix: 222 asn: 65111

और यहाँ समूह है।

 --- cisco: platform: ios username: admin1 password: cisco1 juniper: platform: junos username: admin2 password: juniper2

यहाँ हमारे कार्य के लिए सूची है । आरंभीकरण के दौरान, इन्वेंट्री फ़ाइलों से मापदंडों को इन्वेंटरीमेंट ऑब्जेक्ट ऑब्जेक्ट में मैप किया जाता है।

स्पॉइलर के तहत, इन्वेंटरीईमेंट मॉडल आरेख

 print(json.dumps(InventoryElement.schema(), indent=4)) { "title": "InventoryElement", "type": "object", "properties": { "hostname": { "title": "Hostname", "type": "string" }, "port": { "title": "Port", "type": "integer" }, "username": { "title": "Username", "type": "string" }, "password": { "title": "Password", "type": "string" }, "platform": { "title": "Platform", "type": "string" }, "groups": { "title": "Groups", "default": [], "type": "array", "items": { "type": "string" } }, "data": { "title": "Data", "default": {}, "type": "object" }, "connection_options": { "title": "Connection_Options", "default": {}, "type": "object", "additionalProperties": { "$ref": "#/definitions/ConnectionOptions" } } }, "definitions": { "ConnectionOptions": { "title": "ConnectionOptions", "type": "object", "properties": { "hostname": { "title": "Hostname", "type": "string" }, "port": { "title": "Port", "type": "integer" }, "username": { "title": "Username", "type": "string" }, "password": { "title": "Password", "type": "string" }, "platform": { "title": "Platform", "type": "string" }, "extras": { "title": "Extras", "type": "object" } } } } }

यह मॉडल थोड़ा भ्रामक लग सकता है, खासकर पहले। IPython में इंटरएक्टिव मोड यह पता लगाने में बहुत मदद करता है।

  $ ipython3 Python 3.6.9 (default, Nov 7 2019, 10:44:02) Type 'copyright', 'credits' or 'license' for more information IPython 7.1.1 -- An enhanced Interactive Python. Type '?' for help. In [1]: from nornir import InitNornir In [2]: nr = InitNornir(config_file="config.yaml", dry_run=True) In [3]: nr.inventory.hosts Out[3]: {'srx-test': Host: srx-test, 'cisco-test': Host: cisco-test} In [4]: nr.inventory.hosts['srx-test'].data Out[4]: {'task_data': {'ifname': 'fe-0/0/2', 'ipsuffix': 111}} In [5]: nr.inventory.hosts['srx-test']['task_data'] Out[5]: {'ifname': 'fe-0/0/2', 'ipsuffix': 111} In [6]: nr.inventory.hosts['srx-test'].platform Out[6]: 'junos'

खैर, आखिरकार, स्क्रिप्ट पर चलते हैं। मेरे लिए गर्व करने के लिए कुछ खास नहीं है। मैंने सिर्फ ट्यूटोरियल से तैयार उदाहरण लिया और लगभग कोई बदलाव नहीं किया। इस तरह से काम की स्क्रिप्ट पूरी होती है:

 from nornir import InitNornir from nornir.plugins.tasks import networking, text from nornir.plugins.functions.text import print_title, print_result def config_and_deploy(task): # Transform inventory data to configuration via a template file r = task.run(task=text.template_file, name="Base Configuration", template="base.j2", path=f"templates/{task.host.platform}") # Save the compiled configuration into a host variable task.host["config"] = r.result # Save the compiled configuration into a file with open(f"configs/{task.host.hostname}", "w") as f: f.write(r.result) # Deploy that configuration to the device using NAPALM task.run(task=networking.napalm_configure, name="Loading Configuration on the device", replace=False, configuration=task.host["config"]) nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again # run tasks result = nr.run(task=config_and_deploy) print_result(result)

Nr ऑब्जेक्ट की इनिशियलाइज़ेशन लाइन में dry_run = True पैरामीटर पर ध्यान दें।
यहां, जैसा कि एक व्यवहार्य में , एक परीक्षण रन लागू किया जाता है जिसमें राउटर से कनेक्शन बनाया जाता है, एक नया परिवर्तित कॉन्फ़िगरेशन तैयार किया जाता है, जिसे तब डिवाइस द्वारा मान्य किया जाता है (लेकिन यह सटीक नहीं है; यह डिवाइस के समर्थन और NAPALM में ड्राइवर के कार्यान्वयन पर निर्भर करता है), लेकिन नया कॉन्फ़िगरेशन सीधे लागू नहीं होता है । युद्ध के उपयोग के लिए, आपको dry_run पैरामीटर को हटाना होगा या इसके मूल्य को गलत में बदलना होगा।

जब स्क्रिप्ट चलती है, तो नॉर्निर कंसोल में विस्तृत लॉग प्रदर्शित करता है।

स्पॉइलर के तहत, दो परीक्षण राउटर पर चलाए जाने वाले मुकाबले का निष्कर्ष:

 config_and_deploy*************************************************************** * cisco-test ** changed : True ******************************************* vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO ---- Base Configuration ** changed : True ------------------------------------- INFO class-map match-all VIDEO_SURV match access-group 111 policy-map VIDEO_SURV class VIDEO_SURV police 1500000 conform-action transmit exceed-action drop interface GigabitEthernet0/1/1 description VIDEOSURV ip address 10.10.222.254 255.255.255.0 service-policy input VIDEO_SURV router bgp 65001 network 10.10.222.0 mask 255.255.255.0 access-list 11 permit 10.10.222.0 0.0.0.255 access-list 111 permit ip 10.10.222.0 0.0.0.255 any ---- Loading Configuration on the device ** changed : True --------------------- INFO +class-map match-all VIDEO_SURV + match access-group 111 +policy-map VIDEO_SURV + class VIDEO_SURV +interface GigabitEthernet0/1/1 + description VIDEOSURV + ip address 10.10.222.254 255.255.255.0 + service-policy input VIDEO_SURV +router bgp 65001 + network 10.10.222.0 mask 255.255.255.0 +access-list 11 permit 10.10.222.0 0.0.0.255 +access-list 111 permit ip 10.10.222.0 0.0.0.255 any ^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ * srx-test ** changed : True ******************************************* vvvv config_and_deploy ** changed : True vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv INFO ---- Base Configuration ** changed : True ------------------------------------- INFO set interfaces fe-0/0/2 unit 0 description "Video surveillance" set interfaces fe-0/0/2 unit 0 family inet filter input limit-in set interfaces fe-0/0/2 unit 0 family inet address 10.10.111.254/24 set policy-options policy-statement export2bgp term 1 from route-filter 10.10.111.0/24 exact set security zones security-zone WAN interfaces fe-0/0/2 set firewall policer policer-1m if-exceeding bandwidth-limit 1m set firewall policer policer-1m if-exceeding burst-size-limit 187k set firewall policer policer-1m then discard set firewall policer policer-1.5m if-exceeding bandwidth-limit 1500000 set firewall policer policer-1.5m if-exceeding burst-size-limit 280k set firewall policer policer-1.5m then discard set firewall filter limit-in term 1 then policer policer-1.5m set firewall filter limit-in term 1 then count limiter ---- Loading Configuration on the device ** changed : True --------------------- INFO [edit interfaces] + fe-0/0/2 { + unit 0 { + description "Video surveillance"; + family inet { + filter { + input limit-in; + } + address 10.10.111.254/24; + } + } + } [edit] + policy-options { + policy-statement export2bgp { + term 1 { + from { + route-filter 10.10.111.0/24 exact; + } + } + } + } [edit security zones] security-zone test-vpn { ... } + security-zone WAN { + interfaces { + fe-0/0/2.0; + } + } [edit] + firewall { + policer policer-1m { + if-exceeding { + bandwidth-limit 1m; + burst-size-limit 187k; + } + then discard; + } + policer policer-1.5m { + if-exceeding { + bandwidth-limit 1500000; + burst-size-limit 280k; + } + then discard; + } + filter limit-in { + term 1 { + then { + policer policer-1.5m; + count limiter; + } + } + } + } ^^^^ END config_and_deploy ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

पासवर्ड्स को ansible_vault में छिपाएं

लेख की शुरुआत में, मैं थोड़ा सा भाग गया, लेकिन वहां सब कुछ इतना बुरा नहीं था। मुझे वास्तव में उनकी तिजोरी पसंद है, जिसे संवेदनशील जानकारी को दृष्टि से छिपाने के लिए डिज़ाइन किया गया है। और शायद बहुतों ने देखा कि हमारे पास सभी उपयोगकर्ता नाम / पासवर्ड हैं जो सभी लड़ाई राउटर्स के लिए खुले हैं। यह बदसूरत है, ज़ाहिर है। आइए इस डेटा को तिजोरी से सुरक्षित करें।

हम group.yaml से क्रेडेंशियल में पैरामीटर ट्रांसफर करते हैं, और इसे AES256 के साथ 20-अंकीय पासवर्ड के साथ एन्क्रिप्ट करते हैं:

 $ cd inventory $ cat creds.yaml --- cisco: username: admin1 password: cisco1 juniper: username: admin2 password: juniper2 $ pwgen 20 -N 1 > vault.passwd ansible-vault encrypt creds.yaml --vault-password-file vault.passwd Encryption successful $ cat creds.yaml $ANSIBLE_VAULT;1.1;AES256 39656463353437333337356361633737383464383231366233386636333965306662323534626131 3964396534396333363939373539393662623164373539620a346565373439646436356438653965 39643266333639356564663961303535353364383163633232366138643132313530346661316533 6236306435613132610a656163653065633866626639613537326233653765353661613337393839 62376662303061353963383330323164633162386336643832376263343634356230613562643533 30363436343465306638653932366166306562393061323636636163373164613630643965636361 34343936323066393763323633336366366566393236613737326530346234393735306261363239 35663430623934323632616161636330353134393435396632663530373932383532316161353963 31393434653165613432326636616636383665316465623036376631313162646435

इतना सरल। इस डेटा को प्राप्त करने और उसका उपयोग करने के लिए यह हमारी Nornir स्क्रिप्ट को पढ़ाने के लिए बना हुआ है।
ऐसा करने के लिए, हमारी स्क्रिप्ट में, आरंभीकरण रेखा के बाद nr = InitNornir (config_file = ... निम्नलिखित कोड जोड़ें:

 ... nr = InitNornir(config_file="config.yaml", dry_run=True) # set dry_run=False, cross your fingers and run again # enrich Inventory with the encrypted vault data from ansible_vault import Vault vault_password_file="inventory/vault.passwd" vault_file="inventory/creds.yaml" with open(vault_password_file, "r") as fp: password = fp.readline().strip() vault = Vault(password) vaultdata = vault.load(open(vault_file).read()) for a in nr.inventory.hosts.keys(): item = nr.inventory.hosts[a] item.username = vaultdata[item.groups[0]]['username'] item.password = vaultdata[item.groups[0]]['password'] #print("hostname={}, username={}, password={}\n".format(item.hostname, item.username, item.password)) # run tasks ...

बेशक, vault.passwd मेरे उदाहरण के रूप में क्रेडेंशियल के बगल में नहीं होना चाहिए। लेकिन खेलने के लिए यह करना होगा।

अभी के लिए बस इतना ही। सिस्को + ज़ैबिक्स के बारे में कुछ लेख आ रहे हैं, लेकिन यह स्वचालन के बारे में थोड़ा सा नहीं है। और निकट भविष्य में मैं सिस्को में RESTCONF के बारे में लिखने की योजना बना रहा हूं।

ऑटो उत्पन्न और भरें नेटवर्क डिवाइस कॉन्फ़िगरेशन तत्व Nornir के साथ

पासवर्ड्स को ansible_vault में छिपाएं

More articles: