23、深入探索Ansible高级特性与网络自动化

深入探索Ansible高级特性与网络自动化

1. Ansible高级特性概述

Ansible拥有众多高级特性，能够让用户在各种场景下运行剧本。无论是以可控方式升级服务器集群，在安全隔离网络中操作设备，还是通过提示和标签控制剧本流程，Ansible都能发挥重要作用。其设计和发展围绕着解决实际问题，用户群体也在不断扩大。

在运行任务方面，Ansible支持异步运行任务。例如在升级集群时，可对少量库存主机批量运行任务，若一定比例的主机失败则提前终止剧本，还能将任务委派给特定主机，甚至不论库存（或批次）大小，某些任务仅运行一次。

同时，Ansible在处理本地运行剧本和通过堡垒主机在隔离网络上自动化任务方面也有相应的方法。对于敏感数据的处理，可以在运行时提示用户输入，也可以使用Ansible Vault进行加密存储，避免数据以明文形式存储。此外，还能通过标签运行剧本任务的子集。

以下是一个Ansible执行的示例输出：

ok: [frt01.example.com] => {
    "msg": "Your secret data is: Ansible is cool!"
}
ok: [frt02.example.com] => {
    "msg": "Your secret data is: Ansible is cool!"
}
PLAY RECAP
*********************************************************************
frt01.example.com : ok=2 changed=0 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
frt02.example.com : ok=2 changed=0 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0

Ansible Vault是一个强大且通用的工具，用于对静态的敏感剧本数据进行加密。只要稍加注意，就能在不将密码或其他敏感数据以明文形式留存的情况下，无人值守地运行大部分剧本。

2. 相关问题解答

以下是一些关于Ansible的问题及答案：
| 问题 | 选项 | 答案 |
| — | — | — |
| 哪个参数允许你配置在剧本中止前一批次中允许失败的最大主机数量？ | A) percentage
B) max_fail
C) max_fail_percentage
D) max_percentage
E) fail_percentage | C |
| 能否使用 --connect=local 参数在不使用SSH的情况下本地运行任何剧本？ | A) True
B) False | A |
| 要异步运行剧本，是否需要使用 async 关键字？ | A) True
B) False | A |

3. 网络自动化的必要性

过去，人们通常手动配置每一个网络设备。这是因为当时路由器和交换机主要处理物理服务器的流量，每个网络设备所需的配置较少，且变化缓慢。而且，只有人类具备足够的机器信息来设置网络，规划和执行都非常依赖人工。

然而，虚拟化改变了这一模式。如今，数千台机器连接到同一台交换机或路由器，每台机器可能有不同的网络需求，变化频繁且快速。虚拟化编排平台对机器位置有更清晰的了解，甚至能为我们生成库存。实际上，人类已经无法记住或管理现代大规模的虚拟化基础设施。因此，自动化网络基础设施配置变得至关重要。

4. Ansible管理网络设备的方式

Ansible可以管理多种不同的网络设备，如Arista EOS、Cisco ASA、Cisco IOS等。Ansible网络模块在控制器主机（即发出 ansible 命令的主机）上运行，而通常Ansible模块在目标主机上运行。这种差异使得Ansible可以根据目标设备类型使用不同的连接机制。

Ansible支持五种主要的连接类型来连接网络设备：
- network_cli ：大多数模块支持，通过SSH使用CLI，在配置开始时创建持久连接，并在整个任务期间保持连接，后续任务无需再次提供凭证。
- netconf ：少数模块支持（如支持NETCONF的操作系统和Junos OS），通过SSH使用XML，同样在配置开始时创建持久连接。
- httpapi ：部分模块支持（如Arista EOS、Cisco NX - OS和Extreme EXOS），使用设备发布的HTTP API，创建持久连接。
- local ：大多数设备支持，但已被弃用，是依赖供应商的连接模式，可能需要使用一些供应商包，每次任务开始时都需要传递凭证，应尽量避免使用。
- ssh ：适用于在白盒交换机硬件上原生运行Linux的设备，如Cumulus Networks，可像操作其他Linux服务器一样通过SSH进行配置。

5. 启用网络自动化的步骤

在使用Ansible进行网络自动化之前，需要确保具备以下条件：
- Ansible 2.5及以上版本。
- 与网络设备的正确连接。

具体操作步骤如下：
1. 检查Ansible版本 ：

$ ansible --version

此命令将显示Ansible的安装版本。如果版本为2.5或更高，则可以进行下一步。

2. 检查网络设备的连接性 ：

$ ansible all -i n1.example.com, -c network_cli -u my_user -k -m ios_facts -e ansible_network_os=ios all

该命令应返回设备的事实信息，证明能够连接到设备。这是一个关键步骤，因为它让Ansible了解设备的当前状态，从而做出适当的操作。

如果没有可用的Cisco IOS网络设备进行测试，还可以使用“白盒”交换机，如Cumulus Linux的免费测试版本Cumulus VX。下载链接为：https://cumulusnetworks.com/products/cumulus-vx/ ，需要注册下载。下载适合自己虚拟机管理程序（如VirtualBox）的镜像，然后像运行其他Linux虚拟机一样运行它。连接到Cumulus VX交换机后，可以运行以下命令收集交换机端口接口的事实信息：

$ ansible -i vx01.example.com, -u cumulus -m setup -a 'filter=ansible_swp*' all --ask-pass

综上所述，Ansible在网络自动化方面具有强大的功能和广泛的适用性。通过了解其高级特性和网络自动化的相关知识，我们可以更好地利用Ansible来管理和配置网络设备，提高工作效率，减少人为错误。

深入探索Ansible高级特性与网络自动化

6. Ansible网络模块与环境变量

Ansible提供了丰富的网络模块，这些模块是实现网络自动化的重要工具。不同的网络设备可能需要不同的模块来进行管理和配置。例如，对于Cisco IOS设备，可能会用到 ios_facts 模块来收集设备信息，而对于其他类型的设备，也有相应的特定模块。

在使用Ansible管理网络设备时，环境变量也起着重要的作用。环境变量可以帮助我们更方便地配置连接信息、认证信息等。以下是一些常见的网络设备环境变量：
| 环境变量名称 | 作用 |
| — | — |
| ANSIBLE_NET_USERNAME | 用于指定连接网络设备的用户名 |
| ANSIBLE_NET_PASSWORD | 用于指定连接网络设备的密码 |
| ANSIBLE_NET_AUTH_PASS | 如果设备需要额外的认证密码，可使用此变量指定 |
| ANSIBLE_NET_SSH_PORT | 指定SSH连接的端口号 |

通过设置这些环境变量，我们可以避免在每次执行Ansible命令时都手动输入这些信息，提高操作的效率。例如，在Linux系统中，可以使用以下命令设置环境变量：

export ANSIBLE_NET_USERNAME=my_user
export ANSIBLE_NET_PASSWORD=my_password

7. 自定义网络设备的条件语句

在Ansible中，我们还可以为网络设备自定义条件语句。自定义条件语句可以帮助我们根据不同的设备状态、配置信息等进行灵活的操作。例如，我们可以根据设备的接口状态来决定是否执行某个配置任务。

以下是一个简单的示例，展示如何使用自定义条件语句：

- name: Check interface status
  hosts: network_devices
  tasks:
    - name: Gather interface facts
      ios_facts:
        gather_subset: interfaces
      register: interface_facts

    - name: Configure interface if down
      ios_config:
        lines:
          - shutdown
        parents: interface GigabitEthernet0/1
      when: interface_facts.ansible_facts.ansible_net_interfaces.GigabitEthernet0/1.active == false

在这个示例中，首先使用 ios_facts 模块收集设备的接口信息，并将结果存储在 interface_facts 变量中。然后，使用 when 条件语句判断接口 GigabitEthernet0/1 是否处于非活动状态，如果是，则执行 ios_config 模块来关闭该接口。

8. 网络自动化的优势总结

网络自动化带来了诸多优势，主要体现在以下几个方面：
- 提高效率 ：自动化可以快速完成网络设备的配置和管理任务，大大缩短了部署时间。相比手动配置，自动化可以在短时间内处理大量设备，提高了工作效率。
- 减少人为错误 ：人类在进行大量重复的配置任务时，容易出现错误。而自动化可以按照预设的规则和流程进行操作，避免了人为因素导致的错误，提高了配置的准确性和一致性。
- 支持大规模部署 ：在现代企业中，网络规模不断扩大，手动管理变得越来越困难。网络自动化可以轻松应对大规模的网络设备部署和管理，确保所有设备的配置符合要求。
- 实时响应变化 ：随着业务的发展，网络需求也在不断变化。自动化可以实时监测网络状态，并根据变化自动调整配置，保证网络的稳定性和可靠性。

9. 总结与展望

Ansible作为一款强大的自动化工具，在网络自动化领域具有巨大的潜力。通过其丰富的高级特性和网络模块，我们可以实现对各种网络设备的高效管理和配置。

在实际应用中，我们需要根据具体的需求和场景选择合适的连接方式、模块和条件语句。同时，要注意环境变量的设置和使用，以提高操作的便利性和安全性。

未来，随着网络技术的不断发展，网络自动化的需求也将不断增加。Ansible也将不断更新和完善，提供更多的功能和更好的用户体验。我们可以期待Ansible在网络自动化领域发挥更大的作用，为企业的网络管理带来更多的便利和价值。

总之，掌握Ansible的高级特性和网络自动化知识，对于网络工程师和系统管理员来说是非常有必要的。通过不断学习和实践，我们可以更好地利用Ansible来构建高效、稳定的网络环境。