用puppet管理网络设备

狼狼

　　Puppet 基于C/S的模型，利用agent和master两种角色提供扩展性极强的批量配置变更方案，在服务器/桌面领域的自动化配置方面得到了广泛使用，在数据中心和云计算如火如荼的今天，Google /Cisco/Vmware 这些业界大佬都投资了这家以开源软件puppet为基础的商业化公司puppetlabs, 足见其发展潜力较大，这家公司也推出了商用版本Puppet Enterprise。Puppet提供的模块化平台forge 也方便管理模块的共享，扩展其管理的广度。

          数据中心领域涉及到对服务器、存储设备及网络设备的管理，网上对服务器的管理例子有很多，包括传统的NTP, Mysql管理、云计算平台的Openstack管理和虚拟化平台vCenter的管理，但对于网络设备直接管理的例子较少。这主要是由于网络设备实现的特殊性，一般不能直接安装puppet作为agent实现被管理端的功能。在2.7之后的版本puppet提供了proxy的机制来实现对远端网络设备的管理。
Puppet的官网上提供了两个例子来实现对网络设备的管理。
1.       Cisco设备的管理。
2.       F5 Load Balance设备的管理。
本文就这些例子做些深入剖析，探讨下如何自己开发模块支持其他厂商设备。
Puppet提供device 机制来实现对远端网络设备的管理，目前版本仅支持对Cisco IOS设备的管理，且管理功能极其有限，仅可以支持接口和VLAN的配置。当然如果使用模块来扩展对设备的支持，比如对F5设备的管理模块puppetlabs-f5，就可以实现丰富的管理功能。下面详细分析下这两种方法。
Cisco 设备的原生支持


在/etc/puppet/device.conf中如下配置

　　

• [device1 certname]
  
•   type cisco
  
•   url ssh://puppet:letmein@device.domain.com/
  
• 
  
•   [device2 certname]
  
•   type cisco
  
•   url telnet://puppet:letmein@router.domain.com/?enable=enablepassword
  

　　

　　目前Type仅支持cisco一种，URL方法也仅支持Telnet和SSH两种，具体实现可以参考源码中“lib\puppet\util\network_device”这个目录的实现。
　　设备的Puppet配置及运行命令puppet device --server 后检查执行效果如下。
　　

• node "c2950.domain.com" {
  
• interface {
  
•       "GigabitEthernet0/1":
  
•         description => "--> to upstream router",
  
•         mode => trunk,
  
•         allowed_trunk_vlans => "99, 1000"
  
• }
  
• }
  

　　

• c2950#sh running-config interface GigabitEthernet 0/1
  
•   Building configuration...
  
•   ...
  
•   interface GigabitEthernet0/1
  
•    description --> to upstream router
  
•    switchport trunk allowed vlan 99,1000
  
•    switchport mode trunk
  
•   end
  

　　

　　如何将这种配置映射成相应的IOS命令，并通过Telnet/SSH下发给具体的设备，就是实现各种设备适配的重点了。举一个例子说明，对于Interface的配置，参考源码中类“Puppet::Util::NetworkDevice::Cisco::Interface”的实现就可以管中窥豹。
　　

• COMMANDS = {
  
•     # property     => order, ios command/block/array
  
•     :description   => [1, "description %s"],
  
•     :speed         => [2, "speed %s"],
  
•     :duplex        => [3, "duplex %s"],
  
•     :native_vlan   => [4, "switchport access vlan %s"],
  

　　

　　如此看来，扩展其他厂商的设备或者增加路由/ACL之类的配置实现并不困难，也就是体力活，只是抽象好的话，实现起来或许能再简洁些。

F5设备的模块支持
　　Cisco设备的支持是通过Telnet/SSH等传统的登陆方法，而F5的TMOS就是基于Linux系统的，且提供了基于SOAP的iControl API来实现对设备的管理功能。
　　
puppetlabs-f5模块就是利用Rudy实现的iControl API来和设备进行交互通信的。
　　
在/etc/puppet/device.conf中如下配置
　　

• [f5.puppetlabs.lan]
  
• type f5
  
• url https://username:password@f5.puppetlabs.lan/partition
  

　　

　　设备的Puppet配置如下，配置一个rule及一个服务器池。
　　

• node f5.puppetlabs.lan {
  
•   f5_rule { 'redirect_404':
  
•     ensure     => 'present',
  
•     definition => 'when HTTP_RESPONSE {
  
• if { [HTTP::status] eq "404" } {
  
• redirect to "http://www.puppetlabs.com/redirect/404"}}',
  
•   f5_pool { 'webapp':
  
•     ensure                          => 'present',
  
•     action_on_service_down          => 'SERVICE_DOWN_ACTION_NONE'',
  
•     member                          => {
  
•       '10.10.0.1:80' => {'connection_limit' => '0',
  
•                          'dynamic_ratio'    => '1',
  
•                          'priority'         => '0',
  
•                          'ratio'            => '1'},
  
•       '10.10.0.2:80' => {'connection_limit' => '0',
  
•                          'dynamic_ratio'    => '1',
  
•                          'priority'         => '0',
  
•                          'ratio'            => '1'},
  
•     },
  
•     minimum_active_member           => '1',
  
•     minimum_up_member               => '0',
  
•   }
  
• }
  

　　

　　通过对puppetlabs-f5源码中类“Puppet::Util::NetworkDevice::F5::Device”的分析，不难看出 iControl API 是其实现的基础。
　　@transport ||= F5::IControl.new(@url.host, @url.user, @url.password, modules).get_interfaces
　　

　　
通过这个接口获取各个模块的配置接口，从而可以完成VirtualServer、NodeAddress及Monitor等重要元素的配置。
　　总结一下，这种方法适合被管设备侧实现了基于SOAP或Netconf等高级的网管配置协议，并且厂商提供了完善的SDK。比如H3C的IPS及ACG产品就提供了基于SOAP的管理API。