Обновление баз IDP на Juniper SRX cluster представляло из себя набор ручных процедур (До выхода версии Junos 12.1).
См. статью 1 и статью 2.
Встала проблема автоматизации.
Платформы на базе JUNOS предоставляют большое количество возможностей по автоматизации используя:
- shell
- perl
- python
- JUISE
- и т.д
Полный список тут.
В данной статье будет показан пример автоматизации задачи с использование shell.
Решение состоит из одного скрипта на каждом из узлов, запускаемого по cron :
В скрипте на каждом из узлов не забудьте поставить соответсвующие X и Y.
di.sh (для редактирования есть vi)
#!/bin/sh #download and install DB script #check primary node act_node=`/usr/sbin/cli show chassis cluster status | /usr/bin/grep nodeX | /usr/bin/awk '{print $3}'` #where X node number that start script. For node0 set X=0 for node1 set X=1 count=0 #check for redundancy group 0 for x in $act_node do active_node=$x count=`expr $count + 1` if [ $count -eq 1 ] then break 1 fi done if [ "$active_node" = "primary" ] then #check new version of IDP DB chk_lver=`/usr/sbin/cli show security idp security-package-version node X | /usr/bin/grep Attack | /usr/bin/awk '{print $3}' | sed -e 's/version://g'` #where X node number that start script. For node0 set X=0 for node1 set X=1 chk_sver=`/usr/sbin/cli request security idp security-package download check-server | /usr/bin/grep "Version" | /usr/bin/awk '{print $2}' | sed -e 's/info://g'` if [ "$ch_lver" != "$chk_sver" ] then /usr/sbin/cli request security idp security-package download /bin/sleep 3600 chk_dstatus=`/usr/sbin/cli request security idp security-package download status | /usr/bin/grep "Successfully downloaded"` if [ ! -z "$chk_dsatus" ] then /usr/sbin/cli request security idp security-package install node X /usr/sbin/cli request security idp security-package install policy-templates node X #where X node number that starts script. For node0 set X=0 for node1 set X=1 /bin/rm -rf nodeY:/var/db/idpd/sec-download/* /bin/sleep 180 /bin/rcp -r -T /var/db/idpd/sec-download/* node1:/var/db/idpd/sec-download/ /bin/sleep 180 /usr/sbin/cli request security idp security-package install node Y /usr/sbin/cli request security idp security-package install policy-templates node Y #where Y second node number. For node0 that starts script set Y=1 for node1 set Y=0 fi fi fi
Скрипт необходимо положить на каждый и двух узлов кластера в директорию /var/tmp
Запустить на каждом узле кластера cron.
При работе с primary узла (в нашем случае primary - node0):
%chmod +x /var/tmp/di.sh %crontab -e 1 3 * * * sh /var/tmp/di.sh
Заходим на второй узел:
%rlogin -Jk -T node1 %chmod +x /var/tmp/di.sh %crontab -e 1 3 * * * sh /var/tmp/di.sh
Если перед вами стоит задача автоматизации с необходимостью редактирования конфигурации на клаcтере,
помните, что все команды по замене конфигурации и commit должны проходить в рамках одной команды (сесии).
Пример синтаксиса скрипта:
#!/bin/sh echo "configure delete routing-instances EXT_ROUTER protocols bgp group ISP1 export ASPREPAND set routing-instances EXT_ROUTER protocols bgp group ISP1 export ISP-out-deny commit" | /usr/sbin/cli
Profile автора