Как стать автором
Обновить

Комментарии 47

НЛО прилетело и опубликовало эту надпись здесь
Бэклинки на месте, однако, если адблок вырезает чуть больше (со своими uBlock Origin и ADBP этого алерта ни разу не поймал), чем шаблон считает приемлемым, то alert() && (unescape("%62%6f%64%79")).remove().

Вырезал «вирусные» вставки. Было желание со зла вырезать и бэклинки, но не буду уподобляться. Спасибо за сообщение.
Мы убеждены, что каждая система должна делать своё дело. Поэтому, если в названии софта есть слово 'backup', то оно в первую очередь должно заниматься, собственно, самим бэкапом. Всё остальное — строго опционально

… например — восстановление (restore)? ;)
Восстановление сетевой конфигурации на устройстве зачастую сопряжено с дополнительными телодвижениями. В худшем случае — беготня с консольным кабелем. В лучшем случае — conf t и изменение настроек на отдельно взятом интерфейсе, ACL'ке и т.п.
На секунду представил себе автоматическое восстановление конфигурации на агрегирующем коммутаторе с несколькими сотнями разных VLAN'ов, субинтерфейсов и ACL, и мне стало холодно. В качестве идеи restore есть, но приоритетнее на данный момент поддержка бóльшего количества устройств и вендоров.
А демки в онлайне нет?
К сожалению, пока нет. Есть желание поработать только с интерфейсом? Без подключения к реальным железкам?
Есть задумка сделать демку полнофункциональной, а значит, нужно разместить где-то десяток единиц «живого железа» со сценариями регулярного отката конфигураций. Или очень сильно извратиться с эмуляторами.
gns3 не?
Да, именно пощупать web. У нас используется Rancid, web-интерфейс у него мягко говоря — ни какой. Хотя в веб-е им редко кто пользуется (разве, что если хочется найти чей косяк по диффам), в основном grep-аем из консоли.
Скажите, пожалуйста, какие способы резервного копирования конфигурации сетевого оборудования поддерживаются? Telnet, SSH, TCL/expect?
На данный момент — Telnet и SSH. Также система любит опрашивать устройства по SNMP в процессе обнаружения (discovery), но это больше для получения и обновления информации о железке. В интерфейсе последовательность выглядит примерно так:



Теоретически, есть техническая возможность настроить выгрузку на TFTP по snmpset, но это для мсье, которые знают толк в извращениях.
настроить выгрузку на TFTP по snmpset, но это для мсье, которые знают толк в извращениях

Чем плоха эта схема, если она реализована и рекомендуема самим производителем?

Я, например, наоборот считаю схему с использованием CLI и команд типа show run/show config/display run, при наличии схемы с snmp upload/download, «костылями». И есть причины:
— необходимость отключения скролла (или иммитировать скриптом «бездонную консоль»);
— возможность попадания «мусора» (сообщения в консоль, артефакты);
— на особо старых/нагруженных железках «выплёвывание» команды чревато поломкой CLI (приходится вводить команды посимвольно с паузой).
Рискну предположить, что vlan.dat через CLI вообще не получить никак.
Чем плоха эта схема, если она реализована и рекомендуема самим производителем?
Субъективное мнение и детские травмы :) У нас почти весь менеджмент и мониторинг на SNMP написан (внутренний софт, к статье не имеет никакого отношения). Если по существу, то:

  1. Невозможностью проконтролировать процесс выполнения. По SNMP я могу попросить коммутатор выгрузить свой конфиг на TFTP. Проконтролировать прогресс на доброй половине устройств я не могу никак, кроме как удостоверившись в том, что файл появился на TFTP. Те же производители на фазе Verification говорят "check your tftp server logs".
  2. Многие вендоры с SNMP обращаются крайне вольно. D-Link, например, иногда любит менять OID'ы и поведение не только между hardware ревизиями, но и между версиями софта. Написать, что мы поддерживаем связку «вендор-модель» и потом поцеловать новую прошивку свитча я бы не хотел. CLI даёт немного более стабильный результат.
  3. Проблемы с производительностью у старых железок. Save config по SNMP, например, устаревший DES-3550 повергает в шок и трепет, подвешивая менеджмент на добрых 30 секунд.

Но технически в системе есть возможность отправлять произвольные команды по любому из трёх протоколов. Только сам администратор, основываясь на знании своего парка оборудования, может решить, как для него лучше взаимодействовать со своим железом.
Да, меня то же интересует вопрос — как работает с коммутаторами? Поддерживаются ли SAN?
Протоколы для общения: SNMP, SSH, Telnet. Поддержка железа «из коробки» — встроили всё, что было в наличии и на что удалось наложить лапы. Расширяется посредством шаблонов, которые можно писать самому, или скачивать из нашего репозитория. Со своей стороны в него будем добавлять вендоров по мере расширения.

Из SAN'ов я могу получить доступ к Synology RS815+. Логин по SSH, затем отправляю `cat /etc/synoinfo.conf` и сохраняю вывод. Но вряд ли это будет полным конфигом.
Я имел ввиду SAN-коммутаторы
Из коробки — нет. Но если есть возможность зайти по SSH и отправлять команды, то можно снять running-config/current-config. Потребуется создать шаблон (как на скрине в комментариях выше), таким образом обеспечив поддержку устройства.
Мы со своей стороны, будем рассматривать и выполнять заявки на создание таких шаблонов по мере сил и возможностей. Особенно, если они будут подкреплены доступом к железу, чтобы можно было протестировать изменения.
Если у вендора свой взгляд на процесс аутентификации, не исключено, что потребуются доработки и с нашей стороны. Один такой вендор сейчас в работе, благодаря ему появятся возможности делать press any key и манипулировать expect'ом.
А не пробовали использовать шаблоны от того же Oxidized или RANCID?
Разные архитектуры и концепции реализации — один к одному их не взять. Разве что за идеями можно в гости приходить и туда, и в иные open source решения типа rConfig.
Juniper какие нить тестировали? Как раз ищу замену самописным скриптам, а кроме тяжеловесов ничего нет.
Нет, увы, ни одного в наличии. По SSH должен снимать, но нужно создавать отдельный шаблон для него.
Oxidized попробуйте
Он умеет на почту дифы слать?
Во-первых, он умеет в хуки, так что скрипт можно любой подсунуть. Во-вторых, умеет складывать в гит, так что можно настроить оповещения там.
А где можно увидеть полный список поддерживаемого оборудования? Как раз на днях поставил oxidized, но D-link (с cisco-like cli) и RedBack пока не удалось заставить бекапить.
Напишу при возможности скрипт, который парсит данные из репозитория (пока можно посмотреть в нём) и выдаёт их в удобоваримом формате.
Данный список оборудования только преблезителтий.
Это оборудование которое мы смогли проверить. Но реально сBackup может подержевать(необходимы тести) и другие устройста.
Поделитесь с нами пожалуйста если вам получилось снять конфиг с устройств которых нету в списке.
эээ, а НР нет? :(
Некоторые HP/3Com работают, но более новые ProCurve пока не готовы. Появятся относительно скоро, в 1.1. Нам удалось их получить только недавно, оказалось, что у них просто прелестная выдача в консоль raw данных:
22:45 - Vahmur: PZDC\[24;27H
PZDC\[24;1H
PZDC\[?25h
PZDCE
22:46 - Vahmur: Я прошел первую команду 8))
22:46 - Hesed: PZDC это его эскейп?
22:46 - Vahmur: Да. PZDC\[24;27H это перевод курсора с 24 на 27 позицию.


Бету уже научили с ними работать, т.е. ничего неподъёмного там не оказалось, но регрессионные тесты занимают порядком времени. Вместе с фиксами и фичами с пожеланиями от первых пользователей потихоньку движемся к 1.1.
В первую очередь хотел-бы поблагодарить Вас за такой отличный инструмент, да еще и бесплатный! По описанию кажется, что это как раз тот инструмент, которого нам не хватало долгое время :)
Есть пожелание, быть может в будущих версиях, реализовать отрисовку L2-карты сети основываясь на информации CDP\LLDP, я понимаю, что это совсем не функционал программы имеющей в своём названии слово «backup», но как ни искал я так и не смог найти ничего, что бы помогло мне решить вышеописанную задачу (всё либо платное, либо работает кое-как)…
Я пока собираю отзывы, пожелания и первые шишки. Внесу в список requested features и Ваше пожелание. В приоритете пока IPv6 и compliance validation для конфигураций, и поддержка некоторых популярных железок типа HP свитчей.

Функционал плагинов заложен, я не вижу технических препятствий создать запланированную задачу по сбору данных, а отрисовку возложить на плагин. По аналогии с имеющимся плагином STP-маппинга. Карточку в проекте я создал, так что идея не потеряется.
По аналогии с имеющимся плагином STP-маппинга.

Насколько сложно его научить PVSTP понимать? Или он уже?
В простом варианте уже работает, в Credentials — Read community нужно указывать через @ номер VLAN'а. Но пока есть незакрытый issue, относящийся как раз к PVSTP. Если root меняется, тогда нужно ждать решения этой проблемы. Если root неизменный, то с него снимается обычный STP, а с других начинаются пляски с бубном:


Мы потихоньку собираем запросы для Cookbook, здесь и в запросах на дискорде. Будут видеоинструкции, чтобы было доступнее и нагляднее.
NOC умеет карту L2 рисовать. Но NOC — это боль.
На почту крисивенький ежедневный дифф умеет высылать?
Хотелось бы как в соларвиндсе:
image
Дифф пока не умеет. Но почтовая подсистема заложена. В ней поддерживаются шаблонные переменные, которые можно добавлять в письмо и отсылать его по расписанию.


Сделаю заметку в карте идей и пожеланий относительно диффа. Чтобы лучше понять, что требуется, если можно, опишите вкратце — это дифф по конкретной ноде? Или вообще все изменения по всем нодам? Дифф высылается между двумя последними версиями конфигов или можно какой-то расширенный функционал и выборку на него сгрузить?
В моем кейсе соларвиндсом бекапятся конфиги со всех устройств каждую ночь.
По завершению высылается два письма:
1. Общее письмо со статусом успешних снятий бекапа и каких либо ошибок.
2. Дифф в два столбца (before, after) с подсветкой как в скрине выше (если в новом бекапе строчка добавилась, то у неё подсветка зеленая в старой красная, если удалилась, то красная в новом и зеленая в старом, если изменилась то желтая в обоих) между предыдущим и новым конфигом по всем устройства где что-то изменилось, если изменений нет, то и письма не будет вообще.

Естественно если устройств тысячи и конфиги везде меняются часто, то было бы неплохо сделать возможность выбора по каким устройства отправлять дифы на почту.

ps: если нужно более подборбно можно в личке пообщаться или скайпе.
psps: если добавите эту фичу возьмусь потестить с джунами продукт

"вкусная" хотелка. Плюсую ;)

Добавил в roadmap, как feature request с отсылкой на Ваш хабрапрофиль. Как появится в релизе, сообщу в личке.
Хотелось бы поблагодарить за проделанный труд. При первом приближении очень понравился. По хотелкам, мне кажется не плохо было бы шифровать пароли доступа к железкам, что бы после ввода их нельзя было посмотреть.
И еще, при добавлении нового задания, допустим sh vlan из интерфейса нельзя увидеть сохраненный вывод. В итоге либо все команды запихивать в одно задание, либо сохранять в файловой системе и смотреть там руками.
И еще, при добавлении нового задания, допустим sh vlan из интерфейса нельзя увидеть сохраненный вывод.
Предусмотрено извращение изощрение с кастомными таблицами (таблица должна иметь префикс `out_` и состоять из обязательных и произвольных полей) и обработчиками, которые пишут в эту таблицу в нужные поля (интерфейс по возможности подсказывает варианты). Просматривать полученные данные можно в разделе «Таблицы вывода задач»:


Документация пока этот процесс не освещает, была идея сделать этот функционал более простым в использовании.
Хотелось дополнить что таблица out_ и пола таблицы создаются при создание новой задачи, вы увидите всплывающие окно которое предложит вам создать новую таблицу
Спасибо за подсказку. С кастомными таблицами разобрался, а вот таблицу вывода задач сам не приметил. Еще раз спасибо.
Fatal error: Allowed memory size of 134217728 bytes exhausted (tried to allocate 14625596 bytes) in /var/www/clients/client22/web74/web/libraries/src/Cache/Storage/FileStorage.php on line 195

хабраэффект?
Джумлаэффект (вроде пофиксил). Продолжение вчерашних диалогов в коллективе:
— Оп-па, НЛО перенесло нас из «Я пиарюсь» в «Системное администрирование»
— О нет, сайт теперь умрёт…
Похоже программа померла. Форум на сайте не доступен, какой-либо информации о развитии нет, на почту они не отвечают.
Форум удалён — мы устали бороться со спамом на бесплатных движках. На почту отвечаем при наличии времени, если хочется общения с другими пользователями — есть чат в Дискорде. Периодически даже взаимопомощь случается.
Отдельно хотел бы напомнить, что софт — Open Source без вариантов подписки или оплаты за ноды, как например, у SolarWinds. Как следствие, команда фулл-тайм работает работу на работах.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории