iSergeyAlekseev May 22 at 12:30

Выкрутили автоматизацию на максимум: с чем кроме инвентаризации помог переход на NetBox

11 min

5.9K

К2Тех corporate blogOpen source*Information Security*Cloud services*Network technologies*

+36

Comments 3

LuWan May 22 at 20:03

На предыдущем месте работы внедрял NetBox вместо десятков Google-таблиц, в которых хранилась информация об инфраструктуре. Масштаб был не дата-центр, но несколько офисов в разных странах. Для наших задач NetBox оказался своего рода «серебряной пулей»: позволил централизованно вести учёт VLAN-ов, IP-адресов, виртуального и физического оборудования, кроссировок и т.д.

Понравилось, что можно хранить как общую информацию, так и детали вплоть до типа и цвета витой пары на рабочем месте сотрудника. Кроме того, NetBox использовался как источник данных (datasource) для Ansible.

Была идея автоматизировать раскатку конфигураций access-свитчей с помощью render-config и Ansible. Даже успел собрать рабочий PoC, но компания начала схлопыватся и я оттуда ушел.

Из минусов (на полугода-года назад):
– учёт оптики был не слишком удобным — можно было описывать только волокна, без самого кабеля
– отсутствовала удобная визуализация для розеток и Wi-Fi точек — netbox-floorplan ориентирован скорее на дата-центры

Abyss777 May 26 at 07:18

А расскажите про опыт с oxidized ? У нас он тоже внедрён, но как-то не выглядит чем-то надёжным.

Дорабатывался какими-то костылями, потому что все разработчики ориентируются на плоскую сеть, когда ПО может достучаться напрямую до оборудования, а у нас множество изолированных сетей с jumphost с помощью ssh -J ну и socks5 им организованные. Дак вот туда только SSH может сходить за конфигурацией, ни telnet ни http не реализована поддержка прокси. Нет поддержки Vault, все пароли и ключи для доступа на оборудование открытым текстом в конфиге...

Ну и ruby какая-то боль для меня, сколько не пытался освоить, мозг ломает.

iSergeyAlekseev May 26 at 11:55

В нашем случае не используется jumphost для подключения (если нужен jumphost - то, похоже, это и впрямь будет существенный минус использования oxidized), наш oxidized находится непосредственно в контуре управления, для подключения используются rsa-ключи, запуск и подключение под отдельными сервисными учетными записями с правами на выгрузку конфигурации.

По отсутствию поддержки vault - да, к сожалению, этого полезного функционала тоже нет :(
Ruby и для нас не сильно знаком, но к счастью "под капот" в oxidized глубоко залезать не приходится - мы используем его только для подключения и выгрузки конфигураций.