Согласен, по паролю :-) Но одно дело вводить пароль на одном доверенном ресурсе, и совсем другое - на сотне не прям чтоб доверенных. Уверен, многие просто игнорируют предупреждения о смене открытого SSH-ключа сервера и просто принимают новый )
Так что тут тоже не все так однозначно. Поэтому повторюсь - я не агитирую за это решение, а просто рассказываю новом способе авторизации. Решение о его использовании каждый должен принимать для себя сам
Такова участь любого централизованного решения управления доступами. Но никто не мешает вам настроить альтернативные способы входа. Можно указать несколько OpenID-провайдеров, можно ходить по паролю, можно быстренько раскидать ключи на критичные сервера. Quick start guide в статье - это минимальный набор команд для "попробовать". Дальше можно и нужно корректировать решение под свои хотелки и требования
Мы сознательно отказались от использования в этих политиках вложенных object-group. Реализовать их при таком подходе вроде бы не составляет труда. Но задача, точнее объект автоматизации, был не сложным и решили не городить многофункциональный комбайн :-)
Доступов далеко не тысячи, поэтому их ручная проверка (даже если пользователю лень смотреть в Nautobot и заявка дойдет до сетевого отдела) занимает минимум времени. Но я соглашусь, мысль очень здравая, обязательно в проверку добавлю поиск дублей. Спасибо
Согласен, это намного удобнее, чем править инвентори руками. Но вопрос контроля остается. Как удалять старые записи? Как группировать хосты? Это все должно ложиться на Source of Truth, а у вас за него, получается, конфиги сетевых железок. И nmap, как драйвер/коннектор. Такой вариант решает часть проблем, но особого развития у него я не вижу
Есть как минимум два способа (конечно если не считать полностью ручной ввод):
Написать джоб самому. Как писать джоб - читаем доку https://nautobot.kifr-ru.local/static/docs/additional-features/jobs.html#writing-jobs Код на питоне должен подключиться к устройству, получить с него инфу и создать в Nautobot нужные объекты - manufacturer, device_type, device, interfaces, prefix, ipaddress, etc. Я для подключения использую scrapli, но можно и другие библиотеки - napalm, netmiko
Использовать плагин Onboarding от NTC - вот тут демонстрация https://www.youtube.com/watch?v=iThUlvAvadM Это больше похоже на коробочное решение. Сам я плагин не тестил, ничего про него сказать не могу
Information
Rating
Does not participate
Location
Санкт-Петербург, Санкт-Петербург и область, Россия
Согласен, по паролю :-) Но одно дело вводить пароль на одном доверенном ресурсе, и совсем другое - на сотне не прям чтоб доверенных. Уверен, многие просто игнорируют предупреждения о смене открытого SSH-ключа сервера и просто принимают новый )
Так что тут тоже не все так однозначно. Поэтому повторюсь - я не агитирую за это решение, а просто рассказываю новом способе авторизации. Решение о его использовании каждый должен принимать для себя сам
Такова участь любого централизованного решения управления доступами. Но никто не мешает вам настроить альтернативные способы входа. Можно указать несколько OpenID-провайдеров, можно ходить по паролю, можно быстренько раскидать ключи на критичные сервера. Quick start guide в статье - это минимальный набор команд для "попробовать". Дальше можно и нужно корректировать решение под свои хотелки и требования
Мы сознательно отказались от использования в этих политиках вложенных object-group. Реализовать их при таком подходе вроде бы не составляет труда. Но задача, точнее объект автоматизации, был не сложным и решили не городить многофункциональный комбайн :-)
Доступов далеко не тысячи, поэтому их ручная проверка (даже если пользователю лень смотреть в Nautobot и заявка дойдет до сетевого отдела) занимает минимум времени. Но я соглашусь, мысль очень здравая, обязательно в проверку добавлю поиск дублей. Спасибо
Согласен, это намного удобнее, чем править инвентори руками. Но вопрос контроля остается. Как удалять старые записи? Как группировать хосты? Это все должно ложиться на Source of Truth, а у вас за него, получается, конфиги сетевых железок. И nmap, как драйвер/коннектор.
Такой вариант решает часть проблем, но особого развития у него я не вижу
Есть как минимум два способа (конечно если не считать полностью ручной ввод):
Написать джоб самому. Как писать джоб - читаем доку https://nautobot.kifr-ru.local/static/docs/additional-features/jobs.html#writing-jobs Код на питоне должен подключиться к устройству, получить с него инфу и создать в Nautobot нужные объекты - manufacturer, device_type, device, interfaces, prefix, ipaddress, etc. Я для подключения использую scrapli, но можно и другие библиотеки - napalm, netmiko
Использовать плагин Onboarding от NTC - вот тут демонстрация https://www.youtube.com/watch?v=iThUlvAvadM Это больше похоже на коробочное решение. Сам я плагин не тестил, ничего про него сказать не могу