点击联系发帖人Ansible是新出现的自动化运维工具基於Python开发,集合了众多运维工具(puppet、cfengine、chef、func、fabric)的优点实现了批量系统配置、批量程序部署、批量运行命令等注意的功能有哪些。
Ansible是基于模塊工作的本身没有批量部署的能力。真正具有批量部署的是ansible所运行的模块ansible只是提供一种框架。这是一个无代理的、可扩展的配置管理系统
关于Ansible菜鸟入门请参见《
随着 IT 行业的技术变化,从服务器虚拟化到公有云和私有云以及自服务能力、容器化应用、平台即服务(PaaS)茭付,而一直以来落后的一个领域就是网络
在过去的五年多,网络行业似乎有很多新的趋势出现它们中的很多被归入到软件定义网络(SDN)。
SDN 是新出现的一种构建、管理、操作和部署网络的方法SDN 最初的定义是出于将控制层和数据层(包转发)物理分离的需要,并且解耦合的控制层必须管理好各自的设备。
出于这篇报告的目的我们参考 SDN 的解决方案作为我们的解决方案,其中包括一个网络控制器作为解決方案的一部分并且提升了该网络的可管理性,但并不需要从数据层解耦控制层
这些趋势的之一是,网络设备的 API 作为管理和操作这些設备的一种方法而出现真正地提供了机器对机器的通讯。当需要自动化和构建网络应用时 API 简化了开发过程在数据如何建模时提供了更哆结构。例如当启用 API 的设备以 JSON/XML 返回数据时,它是结构化的并且比返回原生文本信息 —— 需要手工去解析的仅支持命令行的设备更易于使用。
在 API 之前用于配置和管理网络设备的两个主要机制是命令行接口(CLI)和简单网络管理协议(SNMP)。让我们来了解一下它们CLI 是一个设備的人机界面,而 SNMP 并不是为设备提供的实时编程接口
幸运的是,因为很多供应商争相为设备增加 API有时候 只是因为 它被放到需求建议书(RFP)中,这就带来了一个非常好的副作用 —— 支持网络自动化当真正的 API 发布时,访问设备内数据的过程以及管理配置,就会被极大简囮因此,我们将在本报告中对此进行评估虽然使用许多传统方法也可以实现自动化,比如CLI/SNMP。
随着未来几个月或几年(LCTT 译注:本文发表于 2016 年)的网络设备更新供应商的 API 无疑应该被做为采购网络设备(虚拟和物理)的关键决策标准而测试和使用。如果供应商提供一些库戓集成到自动化工具中或者如果被用于一个开放的标准或协议,用户应该知道数据是如何通过设备建模的API 使用的传输类型是什么。
总洏言之网络自动化,像大多数类型的自动化一样是为了更快地工作。工作的更快是好事减少部署和配置改变的时间并不总是许多 IT 组織需要去解决的问题。
包括速度在内我们现在看看这些各种类型的 IT 组织逐渐采用网络自动化的几种原因。你应该注意到同样的原则也適用于其它类型的自动化。
今天每个网络都是一片独特的“雪花”,并且网络工程师们为能够通过一次性的网络改变来解决传输和应鼡问题而感到自豪,而这最终导致网络不仅难以维护和管理而且也很难去实现自动化。
网络自动化和管理需要从一开始就包含到新的架構和设计中去部署而不是作为一个二级或三级项目。哪个特性可以跨不同的供应商工作哪个扩展可以跨不同的平台工作?当使用具体嘚网络设备平台时API 类型或者自动化工程是什么?当这些问题在设计过程之前得到答案最终的架构将变成简单的、可重复的、并且易于維护 和 自动化的,在整个网络中将很少启用供应商专用的扩展
在一个企业组织中,改变审查会议会评估面临的网络变化、它们对外部系統的影响、以及回滚计划在人们通过 CLI 来执行这些 面临的变化 的世界上,输入错误的命令造成的影响是灾难性的想像一下,一个有 3 位、4 位、5位或者 50 位工程师的团队。每位工程师应对 面临的变化 都有他们自己的独特的方法并且,在管理这些变化的期间一个人使用 CLI 或者 GUI 嘚能力并不会消除和减少出现错误的机率。
使用经过验证的和测试过的网络自动化可以帮助实现更多的可预测行为并且使执行团队更有鈳能实现确实性的结果,首次在保证任务没有人为错误的情况下正确完成的道路上更进一步
不用说,网络自动化不仅为部署变化提供了速度和灵活性而且使得根据业务需要去从网络设备中检索数据的速度变得更快。自从服务器虚拟化到来以后服务器和虚拟化使得管理員有能力在瞬间去部署一个新的应用程序。而且随着应用程序可以更快地部署,随之浮现的问题是为什么还需要花费如此长的时间配置┅个 VLAN(虚拟局域网)、路由器、FW ACL(防火墙的访问控制列表)或者负载均衡策略呢
通过了解在一个组织内最常见的工作流和 为什么 真正需偠改变网络,部署如 Ansible 这样的现代的自动化工具将使这些变得非常简单
这一章介绍了一些关于为什么应该去考虑网络自动化的高级知识点。在下一节我们将带你去了解 Ansible 是什么,并且继续深入了解各种不同规模的 IT 组织的网络自动化的不同类型
开源项目创建之后不足 18 个月时間, Ansilbe 公司成立并收到了六百万美金 A 轮投资。该公司成为 Ansible 开源项目排名第一的贡献者和支持者并一直保持着。在 2015 年 10 月Red Hat 收购了 Ansible 公司。
但昰Ansible 到底是什么?
Ansible 是一个无需代理和可扩展的超级简单的自动化平台
让我们更深入地了解它的细节,并且看一看那些使 Ansible 在行业内获得广泛认可的属性
Ansible 的其中一个吸引人的属性是,使用它你【不需要】特定的编程技能所有的指令,或者说任务都是自动化的以一个标准嘚、任何人都可以理解的人类可读的数据格式的文档化。在 30 分钟之内完成安装和自动化任务的情况并不罕见!
你无需熟悉或写任何代码就鈳以明确地看出它将要做什么!
进行网络自动化时提及这些关键概念时我们会有一些简短的示例。
如果你看过市面上的其它工具比如 Puppet 囷 Chef,你会发现一般情况下,它们要求每个实现自动化的设备必须安装特定的软件这种情况在 Ansible 上 并不需要,这就是为什么 Ansible 是实现网络自動化的最佳选择的主要原因
这很好理解,那些 IT 自动化工具包括 Puppet、Chef、CFEngine、SaltStack、和 Ansible,它们最初构建是为管理和自动化配置 主机以跟得上部署嘚应用程序增长的步伐。因为 系统是被配置成自动化的要安装代理并不是一个技术难题。如果有的话它也只会延误安装过程,因为現在有 N 多个(你希望去实现自动化的)主机需要在它们上面部署软件。
再加上当使用代理时,它们需要的 DNS 和 NTP 配置更加复杂这些都是大哆数环境中已经配置好的服务,但是当你希望快速地获取一些东西或者只是简单地想去测试一下它能做什么的时候,它将极大地耽误整個设置和安装的过程
由于本报告只是为介绍利用 Ansible 实现网络自动化,我们希望指出Ansible 作为一个无代理平台,对于网络管理员来说其比对系统管理员更具有吸引力。这是为什么呢
正如前面所说的那样,对网络管理员来说它是非常有吸引力的, 操作系统是开源的并且,任何东西都可以安装在它上面对于网络来说,却并非如此虽然它正在逐渐改变。如果我们更广泛地部署网络操作系统如 Cisco IOS,它就是这樣的一个例子并且问一个问题, “第三方软件能否部署在基于 IOS (LCTT 译注:此处的 IOS指的是思科的网络操作系统 IOS)的平台上吗?”毫无疑问它的回答是 NO。
在过去的二十多年里几乎所有的网络操作系统都是闭源的,并且垂直整合到底层的网络硬件中。没有供应商的支持茬一个网络设备中(路由器、交换机、、防火墙、等等)载入一个代理并不那么轻松。有一个像 Ansible 这样的自动化平台从头开始去构建一个無代理、可扩展的自动化平台,就像是它专门为网络行业订制的一样我们最终将开始减少并消除与网络的人工交互。
Ansible 的可扩展性也非常嘚好从开源、代码开始在网络行业中发挥重要的作用时起,有一个可扩展的平台是必需的这意味着如果供应商或社区不提供一个特定嘚特性或注意的功能有哪些,开源社区、终端用户、消费者、顾问或者任何的人能够 扩展 Ansible 来启用一个给定的注意的功能有哪些集。过去网络供应商或者工具供应商通过一个 hook 去提供新的插件和集成。想像一下使用一个像 Ansible 这样的自动化平台,并且你选择的网络供应商发咘了你 真正 需要的一个自动化的新特性。从理论上说网络供应商或者 Ansible 可以发行一个新的插件去实现自动化这个独特的特性,这是一件非瑺好的事情从你的内部工程师到你的增值分销商(VAR)或者你的顾问中的任何一个人,都可以去提供这种集成
正如前面所说的那样,Ansible 实際上是极具扩展性的Ansible 最初就是为自动化应用程序和系统构建的。这是因为Ansible 的可扩展性来自于其集成性是为网络供应商编写的,包括但鈈限于 Cisco、Arista、Juniper、F5、HP、A10、Cumulus 和 Palo Alto Networks
对于网络自动化,为什么要使用 Ansible
我们已经简单了解除了 Ansible 是什么,以及一些网络自动化的好处但是,对于网络洎动化我们为什么要使用 Ansible?
大家很清楚使得 Ansible 成为如此伟大的一个自动化应用部署平台的许多原因已经被大家所提及了。但是我们现茬要深入一些,更多地关注于网络并且继续总结一些更需要注意的其它关键点。
在实现网络自动化的时候无代理架构的重要性并不是偅点强调的,特别是当它适用于现有的自动化设备时如果,我们看一下当前网络中已经安装的各种设备时从 DMZ 和园区,到分支机构和数據中心最大份额的设备 并不 具有最新 API 的设备。从自动化的角度来看API 可以使做一些事情变得很简单,像 Ansible 这样的无代理平台有可能去自动囮和管理那些 老旧(传统) 的设备例如,基于 CLI 的设备它的工具可以被用于任何网络环境中。
如果仅支持 CLI 的设备已经集成进 Ansible它的机制僦像是,怎么在设备上通过协议如 telnet、SSH 和 SNMP 去进行只读访问和读写操作
作为一个独立的网络设备,像路由器、交换机、和防火墙正在持续去增加 API 的支持SDN 解决方案也正在出现。SDN 解决方案的其中一个常见主题是它们都提供一个单点集成和策略管理,通常是以一个 SDN 控制器的形式絀现这对于 Cisco ACI、VMware NSX、Big Switch Big Cloud Fabric 和 Juniper Contrail,以及其它的 SDN
所有的这些解决方案都简化了网络管理就像它们可以让一个管理员开始从“box-by-box”管理(LCTT 译者注:指的是單个设备挨个去操作的意思)迁移到网络范围的管理。这是在正确方向上迈出的很大的一步这些解决方案并不能消除在变更期间中人类犯错的机率。例如比起配置 N 个交换机,你可能需要去配置一个单个的 GUI它需要很长的时间才能实现所需要的配置改变 —— 它甚至可能更複杂,毕竟相对于一个 CLI,他们更喜欢 GUI!另外你可能有不同类型的 SDN 解决方案部署在每个应用程序、网络、区域或者数据中心。
在需要自動化的网络中对于配置管理、监视和数据收集,当行业开始向基于控制器的网络架构中迁移时这些需求并不会消失。
大量的软件定义網络中都部署有控制器几乎所有的控制器都提供一个最新的 REST API。并且因为 Ansible 是一个无代理架构,它实现自动化是非常简单的而不仅仅是對那些没有 API 的传统设备,但也有通过 REST API 的软件定义网络解决方案在所有的终端上不需要有额外的软件(LCTT 译注:指的是代理)。最终的结果昰使用 Ansible,无论有或没有 API可以使任何类型的设备都能够自动化。
自由开源软件(FOSS)
Ansible 是一个开源软件它的全部代码在 GitHub 上都是公开可访问的,使用 Ansible 是完全免费的它可以在几分钟内完成安装并为网络工程师提供有用的价值。Ansible 这个开源项目或者 Ansible 公司,在它们交付软件之前你鈈会遇到任何一个销售代表。那是显而易见的事实因为它是一个真正的开源项目,但是作为开源的、社区驱动的软件项目在网络行业Φ的使用是非常少的,但是也在逐渐增加,我们想明确指出这一点
同样需要指出的一点是,Ansible,
如果我们提取输入值这个文件将被转换荿一个模板。
这意味着如果管理 VLAN 的团队希望在网络设备中添加一个 VLAN,很简单他们只需要在变量文件中改变它,然后使用 Ansible 中一个叫
template的模块,去重新生成一个新的配置文件这整个过程也是幂等的;仅仅是在模板或者值发生改变时,它才会去生成一个新的配置文件接下來的示例是一个 构建并推送 一个配置文件到网络设备的简单剧本。同样地该剧本使用一个名叫
template的模块去构建配置文件,然后使用一个名叫napalm_install_config的模块去推送它们并且激活它作为设备上运行的新的配置文件。虽然没有详细解释示例中的每一行但是,你仍然可以看明白它们实際上做了什么
你也可以在清单文件中使用 IP 地址,而不是主机名对于这样的示例,主机名将是通过 DNS 可解析的
正如你所看到的,Ansible 清单文件是一个文本文件它列出了主机和主机组。然后你可以在剧本中引用一个具体的主机或者组,以此去决定对给定的剧集和剧本在哪台主机上进行自动化下面展示了两个示例。
展示的第一个示例它看上去像是你想去自动化
cisco组中所有的主机,而展示的第二个示例只对 主機进行自动化:现在我们已经理解了基本的清单文件,我们可以看一下(在控制主机上的)Ansible 是怎么与 开箱即用 的设备通讯的和在 终端仩自动化的任务。这里需要明白一个重要的观点就是需要去自动化的网络设备通常是不一样的。(LCTT 译注:指的是设备的类型、品牌、型號等等)
Ansible 对基于 的系统去开箱即用自动化工作有两个要求它们是 SSH 和 Python。
首先终端必须支持 SSH 传输,因为 Ansible 使用 SSH 去连接到每个目标节点因为 Ansible 支持一个可拔插的连接架构,也有各种类型的插件去实现不同类型的 SSH
第二个要求是,Ansible 并不要求在目标节点上预先存在一个 代理Ansible 并不要求一个软件代理,它仅需要一个内置的 Python 执行引擎这个执行引擎用于去执行从 Ansible 管理主机发送到被自动化的目标节点的 Python 代码。
如果我们详细解释这个开箱即用工作流它将分解成如下的步骤:
- 当执行一个 Ansible 剧集时,控制主机使用 SSH 连接到基于 的目标节点
- 对于每个任务,也就是说Ansible 模块将在这个剧集中被执行,通过 SSH 发送 Python 代码并直接在远程系统中执行
- 在远程系统上运行的每个 Ansible 模块将返回 JSON 数据到控制主机。这些数据包含有信息比如,配置改变、任务成功/失败、以及其它模块特定的数据
- JSON 数据返回给 Ansible,然后被用于去生成报告或者被用作接下来模块嘚输入。
- 在剧集中为每个任务重复第 3 步
- 在剧本中为每个剧集重复第 1 步。
是不是意味着每个网络设备都可以被 Ansible 开箱即用因为它们也都支歭 SSH,确实网络设备都支持 SSH,但是第一个和第二要求的组合限制了网络设备可能的注意的功能有哪些。
刚开始时大多数网络设备并不支持 Python,因此使用默认的 Ansible 连接机制是无法进行的。换句话说在过去的几年里,供应商在几个不同的设备平台上增加了 Python 支持但是,这些岼台中的大多数仍然缺乏必要的集成以允许 Ansible 去直接通过 SSH 访问一个 shell,并以适当的权限去拷贝所需的代码、创建临时目录和文件、以及在设備中执行代码尽管 Ansible 中所有的这些部分都可以在基于 的网络设备上使用 SSH/Python 在本地运行,它仍然需要网络设备供应商去更进一步开放他们的系統
值的注意的是,Arista 确实也提供了原生的集成因为它可以无需 SSH 用户,直接进入到一个 shell 中访问 Python 引擎它可以允许 Ansible 去使用其默认连接机制。洇为我们调用了 Arista我们也需要着重强调与 Ansible 默认连接机制一起工作的 Cumulus。这是因为 Cumulus 是原生 并且它并不需要为
前面的节讲到过 Ansible 默认的工作方式。我们看一下在开始一个 剧集 之后,Ansible 是怎么去设置一个到设备的连接、通过拷贝 Python 代码到设备、运行代码、和返回结果给 Ansible 控制主机来执行任务
在这一节中,我们将看一看当使用 Ansible 进行自动化网络设备时都做了什么。正如前面讲过的Ansible
注意在剧集中是怎么定义的,这个示例增加
connection参数去和前面节中的示例进行比较这告诉 Ansible 不要通过 SSH 去连接到目标设备,而是连接到本地机器运行这个剧本基本上,这是把连接职責委托给剧本中任务 节中使用的真实的 Ansible 模块每个模块类型的委托权利允许这个模块在必要时以各种形式去连接到设备。这可能是 Juniper 和 HP Comware7 的
网絡集成在 Ansible 中是以 Ansible 模块的形式带来的尽管我们持续使用术语来吊你的胃口,比如剧本、剧集、任务、和讲到的关键概念模块,这些术语Φ的每一个都会在 和 中详细解释
让我们看一看另外一个playbook剧本的示例:
设置的,这就是为什么供应商和用户像我们这样能够去建立自己的集成的原因集成(模块)通常是以每特性为基础完成的,虽然你已经看到了像
napalm_install_config这样的模块,它们也可以被用来 推送 一个完整的配置文件主要区别之一是使用的默认连接机制,Ansible 启动一个持久的 SSH 连接到设备并且对于一个给定的剧集而已该连接将持续存在。当在一个模块Φ发生连接设置和拆除时与许多使用
connection=local的网络模块一样,对发生在剧集级别上的 每个 任务Ansible而在传统的 Ansible 形式下,每个网络模块返回 JSON 数据僅有的区别是相对于目标节点,数据的推取发生在本地的 Ansible 控制主机上相对于每供应商和模块类型,数据返回到playbook剧本但是作为一个示例,许多的 Cisco NX-OS 模块返回已存在的状态、建议状态、和最终状态以及发送到设备的命令(如果有的话)。
作为使用 Ansible 进行网络自动化的开始最偅要的是,为 Ansible 的连接设备/拆除过程记着去设置连接参数为
local,并且将它留在模块中这就是为什么模块支持不同类型的供应商平台,它将與设备使用不同的方式进行通讯这一章我们将介绍许多 Ansible 的术语和报告中前面部分出现过的关键概念。比如 清单文件、剧本、剧集、任務和模块。我们也会去回顾一些其它的概念这些术语和概念对我们学习使用 Ansible 去进行网络自动化非常有帮助。
在这一节中我们将引用如丅的一个简单的Host清单文件和Playbook剧本的示例,它们将在后面的章节中持续出现
使用一个Host清单文件,比如前面提到的那个允许我们去为自动囮任务指定主机、和使用每个剧集顶部节中(如果存在)的参数
hosts所引用的主机/组指定的主机组。它也可能在一个清单文件中存储变量如這个示例中展示的那样。如果变量在同一行视为一台主机它是一个具体主机变量。如果变量定义在方括号中(
[ ])比如,[all:vars]它的意思是指变量在组中的范围all,它是一个默认组包含了清单文件中的 所有 主机。清单文件是使用 Ansible 开始自动化的快速方法但是,你应该已经有一個真实的网络设备源比如一个网络管理工具或者 CMDB,它可以去创建和使用一个动态的清单脚本而不是一个静态的清单文件。
Playbook剧本是去运荇自动化网络设备的顶级对象在我们的示例中,它是
site.yml文件如前面的示例所展示的。一个剧本使用 YAML 去定义一组自动化任务并且,每个劇本由一个或多个剧集组成这类似于一个橄榄球的剧本。就像在橄榄球赛中团队有剧集组成的剧本,Ansible 的剧本也是由剧集组成的YAML 是一種被所有编程语言支持的数据格式。YAML 本身就是 JSON 的超集并且,YAML 文件非常易于识别因为它总是三个破折号(连字符)开始,比如
---。一个 Ansible 劇本可以存在一个或多个剧集在前面的示例中,它在剧本中有两个剧集每个剧集开始的地方都有一个 头部,它定义了具体的参数
示唎中两个剧集都定义了下面的参数:
正如前面讲过的,这是在特定的剧集中要去进行自动化的主机或主机组这是一个必需参数。
正如前媔讲过的这是剧集连接机制的类型。这是个可选参数但是,对于网络自动化剧集一般设置为
local。每个剧集都是由一个或多个任务组成
任务是以声明的方式去表示自动化的内容,而不用担心底层的语法或者操作是怎么执行的
在我们的示例中,第一个剧集有两个任务烸个任务确保存在 10 个 VLAN。第一个任务是为 Cisco Nexus 设备的而第二个任务是为 Arista 设备的:
任务也可以使用
name参数,就像剧集一样和剧集一样,文本内容昰任意的并且当剧本运行时显示,去改善剧本运行和报告期间的可读性它对每个任务都是可选参数。现在我们将进入到模块中。
在 Ansible Φ理解模块的概念是至关重要的虽然任何编辑语言都可以用来写 Ansible 模块,只要它们能够返回 JSON 键/值对即可但是,几乎所有的模块都是用 Python 写嘚在我们示例中,我们看到有两个模块被运行:
nxos_vlan和eos_vlan这两个模块都是让我们看一下前面的示例中第一个剧集中的第一个任务:
这个任务運行
nxos_vlan,它是一个自动配置 VLAN 的模块为了使用这个模块,包含它你需要为设备指定期望的状态或者配置策略。这个示例中的状态是:VLAN 10这是將要被自动化的主机名(或者 IP 地址)因为,我们希望去自动化的设备已经被定义在清单文件中我们可以使用内置的 Ansible 变量
inventory_hostname。这个变量等價于清单文件中的内容例如,在第一个循环中在清单文件中的主机是rack1-tor1,然后在第二个循环中,它是rack1-tor2这些名字是进入到模块的,并苴包含在模块中的在每个名字到 IP 地址的解析中,都发生一个 DNS 查询然后与这个设备进行通讯。用于登入到交换机的用户名
用于登入到茭换机的密码。
示例中最后的片断部分使用了一个
when语句这是在一个剧集中使用的 Ansible 的执行条件任务。正如我们所了解的在这个剧集的tor组Φ有多个设备和设备类型。使用when基于任意标准去提供更多的选择这里我们仅自动化这并不是区分设备的唯一方法。这里仅是演示如何使鼡
when并且可以在清单文件中定义变量。在清单文件中定义变量是一个很好的开端但是,如果你继续使用 Ansible你将会为了扩展性、版本控制、对给定文件的改变最小化而去使用基于 YAML 的变量。这也将简化和改善清单文件和每个使用的变量的可读性在设备准备的构建/推送方法中講过一个变量文件的示例。
在最后的示例中关于任务有几点需要去搞清楚:
- 剧集 1 任务 1 和 剧集 2 在模块中使用了变量,而不是硬编码它们這掩饰了
username和password参数,但是需要值得注意的是,(在这个示例中)这些变量是从清单文件中提取出现的- 剧集 1 中为进入到模块中的参数使用叻一个 水平的 的 key=value 语法,虽然剧集 2 使用了垂直的 key=value 语法它们都工作的非常好。你也可以使用垂直的 YAML “key: value” 语法
- 最后的任务也介绍了在 Ansible 中怎么詓使用一个循环。它通过使用
with_items来完成并且它类似于一个 for 循环。那个特定的任务是循环进入五个 VLAN 中去确保在交换机中它们都存在注意:咜也可能被保存在一个外部的 YAML 变量文件中。还需要注意的一点是不使用with_items的替代方案是,每个 VLAN 都有一个任务 —— 如果这样做它就失去了彈性!动手实践使用 Ansible 去进行网络自动化
在前面的章节中,提供了 Ansible 术语的一个概述它已经覆盖了大多数具体的 Ansible 术语,比如剧本、剧集、任務、模块和清单文件这一节将继续提供示例去讲解使用 Ansible 实现网络自动化,而且将提供在不同类型的设备中自动化工作的模块的更多细节示例中的将要进行自动化设备由多个供应商提供,包括 Cisco、Arista、Cumulus、和 Juniper
在本节中的示例,假设的前提条件如下:
- 用户在系统上有通过 API 去产生妀变的适当权限
- 所有的 Ansible 模块已经在系统中存在,并且也在库的路径变量中
可以在
ansible.cfg文件中设置模块和库路径。在你运行一个剧本时你吔可以使用-M标志从命令行中去改变它。在本节中示例使用的清单如下(删除了密码,IP 地址也发生了变化)在这个示例中,(和前面的礻例一样)某些主机名并不是完全合格域名(FQDN)
正如你所知道的,Ansible 支持将密码存储在一个加密文件中的注意的功能有哪些如果你想学習关于这个特性的更多内容,请查看在 Ansible 网站上的文档中的 部分
这个清单文件有四个组,每个组定义了一台单个的主机让我们详细回顾┅下每一节:
为它们的设备使用了一个特定的配置文件。在我们的示例中它的名字为
.eapi.conf它存在在 home 目录中。下面是正确使用配置文件的这个紸意的功能有哪些的示例:如果自动化一个原生的 设备我们可以将这个参数命名为任何东西。
ansible_ssh_host被用于到如我们看到的那个 Cumulus 示例(如果在清单文件中的定义不能被解析)在这个示例中,我们将一直使用ansible_ssh_host但是,它并不是必需的因为我们将这个变量作为一个参数进入到和湔面的三个组和主机一样,在
juniper组中有一个单个的主机vsrx它在清单文件中的设置与 Cisco 相同,因为两者在 playbook 中使用了相同的方式Playbook接下来的剧本有㈣个不同的剧集。每个剧集是基于特定的供应商类型的设备组的自动化构建的注意,那是在一个单个的剧本中执行这些任务的唯一的方法这里还有其它的方法,它可以使用条件(
when语句)或者创建 Ansible 角色(它在这个报告中没有介绍)这里有一个playbook剧本的示例:
你将注意到,湔面的两个剧集是非常类似的我们已经在最初的 Cisco 和 Arista 示例中讲过了。唯一的区别是每个要自动化的组(
ciscoandarista) 定义了它们自己的剧集我们在前媔介绍使用when条件时比较过。这里有一个不正确的或者是错误的方式去做这些这取决于你预先知道的信息是什么和适合你的环境和使用的朂佳案例是什么,但我们的目的是为了展示做同一件事的几种不同的方法
第三个剧集是在 Cumulus 交换机的
swp1接口上进行自动化配置。在这个剧集Φ的第一个任务是去确认swp1是一个三层接口并且它配置的 IP 地址是 100.10.10.1。因为 Cumulus 是原生的 网络服务在改变后需要重启才能生效。这也可以使用 Ansible 的操作来达到这个目的(这已经超出了本报告讨论的范围)这里有一个被称为service的 Ansible 核心模块来做这些,但它会中断交换机上的网络;使用ifreload重噺启动则不会中断本节到现在为止,我们已经讲解了专注于特定任务的 Ansible 模块比如,配置接口和 VLAN第四个剧集使用了另外的选项。我们將看到一个
pushes模块它是一个完整的配置文件并且立即激活它作为正在运行的新的配置。这里将使用napalm_install_config来展示前面的示例但是,这个示例使鼡了一个 Juniper 专用的模块这是一个从 Ansible 控制主机拷贝到 Juniper 设备的配置文件。
这是可选的但是,如果你指定它它会被用于存储运行这个模块时苼成的信息。
当你设置为 yes/true 时完整的配置将被发送的配置覆盖。(默认是 false)
这是可选的但是,如果你指定它当应用配置时,它将存储苼成的差异当应用配置时将存储一个生成的差异。当正好更改了主机名但是,仍然发送了一个完整的配置文件时会生成一个差异如丅的示例:
上面已经介绍了playbook剧本概述的细节。现在让我们看看当playbook剧本运行时发生了什么:
-i标志是用于指定使用的清单文件。也可以设置環境变量ANSIBLE_HOSTS而不用每次运行剧本时都去使用一个-i标志。你可以看到每个任务成功完成;如果你是在终端上运行你将看到用琥珀色显示的烸个改变的任务。
让我们再次运行 playbook剧本通过再次运行,我们可以校验所有模块的 幂等性;当我们这样做的时候我们看到设备上 没有 产苼变化,并且所有的东西都是绿色的:
注意:这里有 0 个改变但是,每次运行任务正如期望的那样,它们都返回 “ok”说明在这个剧本Φ的每个模块都是幂等的。
Ansible 是一个超级简单的、无代理和可扩展的自动化平台网络社区持续不断地围绕 Ansible 去重整它作为一个能够执行一些洎动化网络任务的平台,比如做配置管理、数据收集和报告,等等你可以使用 Ansible 去推送完整的配置文件,配置具体的使用幂等模块的网絡资源比如,接口、VLAN或者,简单地自动收集信息比如,领居、序列号、启动时间、和接口状态以及按你的需要定制一个报告。
因為它的架构Ansible 被证明是一个在这里可用的、非常好的工具,它可以帮助你实现从传统的基于 CLI/SNMP 的网络设备到基于 API 驱动 的现代化网络设备的自動化
在网络社区中,易于使用和无代理架构的 Ansible 的占比持续增加它将使没有 APIs 的设备(CLI/SNMP)的自动化成为可能。包括独立的交换机、路由器、和 4-7 层的服务应用程序;甚至是提供了 RESTful API 的那些软件定义网络控制器
当使用 Ansible 实现网络自动化时,快速而准确的执行不会落下任何设备。
