Pacchetto di funzioni NSO per l'automazione dei cambiamenti CISCO
Specifiche
- Product: Cisco Crosswork Change Automation NSO Function Pack
- Versione: 7.0.2
Informazioni sul prodotto
The Cisco Crosswork Change Automation NSO Function Pack is designed to facilitate the installation, configuration, and management of Cisco Crosswork Change Automation on Cisco Network Services Orchestrator (NSO). It includes features for creating special access users, configuring DLM in Cisco Crosswork, and troubleshooting functionalities.
Introduzione
Questo documento descrive come scaricare, installare e configurare il pacchetto funzioni Cisco Crosswork Change Automation (CA) su Cisco Network Services Orchestrator (NSO). Inoltre, il documento descrive la configurazione richiesta per Crosswork Change Automation in Cisco Crosswork.
Scopo
Questa guida descrive:
- Installing the nca-7.0.3-nso-6.1.16.3.20250509.dbe70d0.tar.gz 6.1.16.3 and the associated configurations for the function pack on Cisco NSO.
- The authgroup configurations for creating a unique usermap (umap) for Change Automation.
- DLM configurations and the Change Automation application settings required in Cisco Crosswork 7.0.2
Prerequisiti
The list below shows the minimum versions of the Cisco NSO and Cisco Crosswork with which the Crosswork Change Automation function pack v7.0 is compatible:
- Cisco NSO: v6.1.16.3 system install.
- Cisco Crosswork: v7.0.2
Installazione/Aggiornamento e Configurazione
Le sezioni seguenti mostrano come installare il pacchetto funzioni cw-device-auth sul sistema con installazione Cisco NSO 6.1.11.2 o versione successiva.
Installazione/aggiornamento del Function Pack
- Scarica cw-device-auth v7.0.0 dal repository sul tuo Cisco NSO.
- Copia l'archivio tar.gz scaricato del pacchetto funzioni nel repository del pacchetto.
Nota: The package directory can be different based on the selected settings at the time of installation. For most system-installed Cisco NSO, the package directory is located at “/var/opt/ncs/packages” by default. Check the ncs.conf on your installation to find your package directory. - Launch NCS CLI and run the following commands:
- admin@nso1:~$ ncs_cli -C -u admin
- admin connected from 2003:10:11::50 using ssh on nso1
- admin@ncs# packages reload
- Verify that the package has been successfully installed once the reload is complete.
- admin@ncs# mostra pacchetti pacchetto cw-device-auth
- pacchetti pacchetto cw-device-auth
- versione del pacchetto 7.0.0
- description “Crosswork device authorization actions pack”
- ncs-min-version [ 6.1]
- pacchetto python nome-vm autorizzazione-dispositivo-cw
- directory /var/opt/ncs/state/packages-in-use/1/cw-device-auth
- azione componente
- applicazione python-class-name cw_device_auth.action.App
- fase di avvio dell'applicazione fase2
- stato oper attivo
Creazione di un utente con accesso speciale in Cisco NSO
Cisco Crosswork Change Automation utilizza un utente con accesso speciale per connettersi a Cisco NSO per tutte le modifiche alla configurazione. Ciò significa che non è possibile utilizzare lo stesso utente di DLM o dei servizi di raccolta per accedere a Cisco NSO. Questa sezione illustra i prerequisiti necessari per la creazione dell'utente.
Nota: i passaggi seguenti presuppongono che Cisco NSO sia in esecuzione su una VM Ubuntu. Se l'installazione di Cisco NSO è in esecuzione su un sistema operativo diverso, modificare i passaggi di conseguenza.
- Crea un nuovo utente sudo sulla tua VM Ubuntu. ExampClicca qui. I passaggi seguenti mostrano come creare l'utente "cwuser" sulla tua VM Ubuntu. Questo nuovo nome utente può essere qualsiasi nome tu scelga.
root@nso:/home/admin# adduser cwuser- Adding user `cwuser’ …
- Adding new group `cwuser’ (1004) …
- Adding new user `cwuser’ (1002) with group `cwuser’ … Creating home directory `/home/cwuser’ …
- Copia files from `/etc/skel’ …
- Enter new UNIX password:
- Ridigita la nuova password UNIX:
- passwd: password updated successfully
- Changing the user information for cwuser
- Enter the new value, or press ENTER for the default
- Full Name []:
- Room Number []:
- Work Phone []:
- Home Phone []:
- Other []:
- Is the information correct? [Y/n] y
- root@nso:/home/admin# usermod -aG sudo cwuser
- root@nso:/home/admin# usermod -a -G ncsadmin cwuser
- Add cwuser to the nacm group
- Nota:
The nacm rule should be configured with cwuser even though you do not have admin as a user on server. - *nacm groups group ncsadmin nome-utente cwuser
- nacm groups group ncsadmin
- user-name [ admin cwuser private ]
- * Le autorizzazioni predefinite sono mostrate di seguito.
- admin@ncs# show running-config nacm
- nacm read-default deny
- nacm write-default deny
- nacm exec-default deny
- nacm cmd-read-default nega
- nacm cmd-exec-default nega
- Nota:
- Ensure that the new user that you created has HTTP and HTTPS access to the Cisco NSO server. This can be done by using a simple RESTCONF API as shown below.
- curl -u <USERNAME>:<PASSWORD> –location –request GET ‘https://<IP>:8888/restconf/data/tailf-ncs:packages/package=cw-device-auth’ \
- –header ‘Accept: application/yang-data+json’ \
- –header ‘Content-Type: application/yang-data+json’ \
- –dati-grezzi ”
- Dopo aver chiamato il curl comando sopra, dovresti ricevere una risposta come quella mostrata di seguito. Qualsiasi altra risposta indicherebbe che una o più impostazioni precedenti non hanno funzionato.
- {
- “tailf-ncs:package”: [
- {
- “name”: “cw-device-auth”,
- “package-version”: “7.0.0”,
- “description”: “Crosswork device authorization actions pack”,
- “ncs-min-version”: [“6.1”],
- “python-package”: {
- “vm-name”: “cw-device-auth”
- },
- “directory”: “/var/opt/ncs/state/packages-in-use/1/cw-device-auth”,
- “component”: [
- {
- “name”: “action”,
- “application”: {
- “python-class-name”: “cw_device_auth.action.App”,
- “start-phase”: “phase2”
- }
- }
- ],
- “oper-status”: {
- “up”: [null]
- }
- }
- ]
- }
Aggiunta di usermap (umap) al gruppo di autorizzazione Cisco NSO
Cisco NSO consente agli utenti di definire gruppi di autorizzazione per specificare le credenziali per l'accesso ai dispositivi in direzione sud. Un gruppo di autorizzazione può contenere una mappa predefinita o una mappa utente (umap). Inoltre, è possibile definire una umap nell'authgroup per sovrascrivere le credenziali predefinite di default-map o di altre umap.
La funzione di "sostituzione del passthrough delle credenziali" di Crosswork Change Automation utilizza questa umap. Per utilizzare Crosswork Change Automation, è necessario creare una configurazione umap nell'authgroup per i dispositivi.
Per esempioample, considera di avere un dispositivo “xrv9k-1” registrato in Cisco NSO. Questo dispositivo utilizza l'authgroup, "crosswork".
- cwuser@ncs# mostra dispositivi running-config dispositivo xrv9k-1 authgroup dispositivi dispositivo xrv9k-1
- authgroup crosswork
- !
La configurazione dell'authgroup "crosswork" è la seguente:
- cwuser@ncs# show running-config devices authgroups group crosswork devices authgroups group crosswork
- amministratore umap
- remote-name cisco
- password remota $9$LzskzrvZd7LeWwVNGZTdUBDdKN7IgVV/UkJebwM1eKg=
- !
- !
- Aggiungi una umap per il nuovo utente che hai creato (cwuser in questo esempioample). Questo può essere fatto come segue:
- cwuser@ncs# configurazione
- cwuser@ncs(config)# devices authgroups group crosswork umap cwuser callback-node /cw-creds-get action-name get
- cwuser@ncs(config-umap-cwuser)# commit dry-run
- cli {
- nodo locale {
- dispositivi dati {
- gruppi di autorizzazione {
- lavoro incrociato di gruppo {
- + umap cwuser {
- + callback-node /cw-creds-get;
- + action-name get;
- + }
- }
- }
- }
- }
- }
- cwuser@ncs(config-umap-cwuser)# commit
- Commit completato.
Dopo la configurazione, l'authgroup dovrebbe assomigliare a questo:
- cwuser@ncs# mostra dispositivi running-config authgroups gruppo crosswork
- dispositivi gruppi di autorizzazione gruppo crosswork
- amministratore umap
- remote-name cisco
- password remota $9$LzskzrvZd7LeWwVNGZTdUBDdKN7IgVV/UkJebwM1eKg=
- !
- umap cwuser
- callback-node /cw-creds-get
- nome-azione ottieni
- !
- !
Assicurare che
- umap is added to an existing authgroup of the device(s) of interest.
- umap sta utilizzando il nome utente corretto.
Se una delle configurazioni sopra indicate non è corretta, potrebbero verificarsi problemi di runtime.
Configurazione di DLM in Cisco Crosswork
Dopo aver installato e configurato il pacchetto funzioni in Cisco NSO, è necessario impostare la configurazione in DLM in Cisco Crosswork. Queste impostazioni di configurazione consentiranno a Change Automation di accedere a Cisco NSO tramite l'utente appena creato e di configurare utilizzando le credenziali di override quando necessario.
Crea ca_device_auth_nso Credential Profile
Crea una nuova credenziale professionistafile in Cisco NSO per l'utente con accesso speciale creato nella sezione Creazione di un utente con accesso speciale in NSO di questa guida. Aggiungi le credenziali HTTP e HTTPS per l'utente in questo credential profile. L'immagine seguente mostra la specifica dell'utente e della password per l'utente "cwuser".
IMPORTANTE
Insieme alla credenziale ca_device_auth_nso profile, avrai un altro professionista delle credenzialifile in DLM che specificherebbe le informazioni su nome utente/password a Cisco NSO per tutti gli altri componenti di Cisco Crosswork. Nell'esample sotto, questa credenziale profile si chiama “nso-creds”.
Importante: assicurarsi che il nome utente per le credenziali DLM regolari siafile è diverso dal nome utente in ca_device_auth_nso profile.
Aggiungi la proprietà del provider DLM
Dopo aver creato la credenziale profile In DLM, è necessario aggiungere una proprietà a tutti i provider Cisco NSO in DLM, che verrà utilizzata in Crosswork CA. L'immagine seguente mostra la specifica della proprietà.
Risoluzione dei problemi
Nella tabella seguente sono elencati gli errori più comuni che potresti riscontrare.
| NO. | Sottostringa di errore | Problema | Risoluzione |
| 1. | L'utente nso umap deve essere anche un professionista delle credenziali nsofile utente | Il nome utente ca_device_auth_nso non corrisponde ad alcun utente umap. |
|
| 2. | gruppo di autenticazione vuoto umap da nso | Nessuna umap trovata nel gruppo di autenticazione Cisco NSO. | Aggiungi l'umap. |
| 3. | failed to retrieve RESTCONF resource root. please verify NSO <IP> is reachable via RESTCONF | Crosswork CA non è riuscito a connettersi a Cisco NSO tramite RESTCONF. | Ensure that the username/password as specified in cw_device_auth_nso cred profile può connettersi a Cisco NSO tramite RESTCONF. |
La documentazione impostata per questo prodotto cerca di utilizzare un linguaggio privo di pregiudizi. Ai fini di questo set di documentazione, l'assenza di pregiudizi è definita come un linguaggio che non implica discriminazione basata su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, stato socioeconomico e intersezionalità. Nella documentazione possono essere presenti eccezioni a causa della lingua codificata nelle interfacce utente del software del prodotto, della lingua utilizzata in base alla documentazione degli standard o della lingua utilizzata da un prodotto di terze parti a cui si fa riferimento. Cisco e il logo Cisco sono marchi o marchi registrati di Cisco e/o delle sue affiliate negli Stati Uniti e in altri paesi. A view un elenco dei marchi Cisco, vai a questo URL: https://www.cisco.com/c/en/us/about/legal/trademarks.html. I marchi di terze parti menzionati sono di proprietà dei rispettivi titolari. L'uso della parola partner non implica un rapporto di partnership tra Cisco e qualsiasi altra azienda. (1721R)
Domande frequenti
What version of Cisco NSO is compatible with this function pack?
The function pack is compatible with Cisco NSO 6.1.11.2 or higher.
Documenti / Risorse
 |
Pacchetto di funzioni NSO per l'automazione dei cambiamenti CISCO [pdf] Guida all'installazione Pacchetto di funzioni NSO per l'automazione delle modifiche, pacchetto di funzioni NSO per l'automazione, pacchetto di funzioni NSO, pacchetto di funzioni |