コンテンツ 隠れる
1 CISCO 変更自動化 NSO 機能パック
2 製品情報
3 導入
4 インストール/アップグレードと設定
5 Cisco Crosswork での DLM の設定
6 トラブルシューティング
7 よくある質問
8 ドキュメント / リソース
8.1 参考文献

CISCO-ロゴ

CISCO 変更自動化 NSO 機能パック

CISCO-Change-Automation-NSO-Function-Pack-product

仕様

  • Product: Cisco Crosswork Change Automation NSO Function Pack
  • バージョン: 7.0.2

製品情報

The Cisco Crosswork Change Automation NSO Function Pack is designed to facilitate the installation, configuration, and management of Cisco Crosswork Change Automation on Cisco Network Services Orchestrator (NSO). It includes features for creating special access users, configuring DLM in Cisco Crosswork, and troubleshooting functionalities.

導入

このドキュメントでは、Cisco Network Services Orchestrator(NSO)上でCisco Crosswork Change Automation(CA)機能パックをダウンロード、インストール、および設定する方法について説明します。さらに、Cisco CrossworkにおけるCrosswork Change Automationに必要な設定についても説明します。

目的
このガイドでは以下について説明します。

  • Installing the nca-7.0.3-nso-6.1.16.3.20250509.dbe70d0.tar.gz 6.1.16.3 and the associated configurations for the function pack on Cisco NSO.
  • The authgroup configurations for creating a unique usermap (umap) for Change Automation.
  • DLM configurations and the Change Automation application settings required in Cisco Crosswork 7.0.2

前提条件
The list below shows the minimum versions of the Cisco NSO and Cisco Crosswork with which the Crosswork Change Automation function pack v7.0 is compatible:

  • Cisco NSO: v6.1.16.3 system install.
  • Cisco Crosswork: v7.0.2

インストール/アップグレードと設定

以下のセクションでは、Cisco NSO 6.1.11.2 以降がインストールされているシステムに cw-device-auth 機能パックをインストールする方法を示します。

関数パックのインストール/アップグレード

  1. cw-device-auth v7.0.0 をリポジトリから Cisco NSO にダウンロードします。
  2. ダウンロードした関数パックの tar.gz アーカイブをパッケージ リポジトリにコピーします。
    注記: The package directory can be different based on the selected settings at the time of installation. For most system-installed Cisco NSO, the package directory is located at “/var/opt/ncs/packages” by default. Check the ncs.conf on your installation to find your package directory.
  3. Launch NCS CLI and run the following commands:
    • admin@nso1:~$ ncs_cli -C -u admin
    • admin connected from 2003:10:11::50 using ssh on nso1
    • admin@ncs# packages reload
  4. Verify that the package has been successfully installed once the reload is complete.
    • admin@ncs# パッケージを表示 パッケージ cw-device-auth
    • パッケージ パッケージ cw-device-auth
    • パッケージバージョン 7.0.0
    • description “Crosswork device authorization actions pack”
    • ncs-最小バージョン [ 6.1]
    • pythonパッケージのVM名 cw-device-auth
    • directory /var/opt/ncs/state/packages-in-use/1/cw-device-auth
    • コンポーネントアクション
    • アプリケーション Python クラス名 cw_device_auth.action.App
    • アプリケーション開始フェーズ フェーズ2
    • オペレーターステータスアップ

Cisco NSO での特別アクセス ユーザの作成
Cisco Crosswork Change Automation は、すべての設定変更を行うために、特別なアクセスユーザーを使用して Cisco NSO に接続します。つまり、DLM やコレクションサービスと同じユーザーを使用して Cisco NSO にアクセスすることはできません。このセクションでは、ユーザー作成に必要な前提条件について説明します。
注:以下の手順は、Cisco NSO が Ubuntu VM 上で実行されていることを前提としています。Cisco NSO が別のオペレーティングシステム上で実行されている場合は、手順を適宜変更してください。

  1. Ubuntu VM 上に新しい sudo ユーザーを作成します。 元ampこちらをご覧ください。以下の手順は、Ubuntu VMに「cwuser」というユーザーを作成する方法を示しています。この新しいユーザー名は任意のものにすることができます。
    root@nso:/home/admin# adduser cwuser
    • Adding user `cwuser’ …
    • Adding new group `cwuser’ (1004) …
    • Adding new user `cwuser’ (1002) with group `cwuser’ … Creating home directory `/home/cwuser’ …
    • コピー files from `/etc/skel’ …
    • Enter new UNIX password:
    • 新しいUNIXパスワードを再入力します。
    • passwd: password updated successfully
    • Changing the user information for cwuser
    • Enter the new value, or press ENTER for the default
    • Full Name []:
    • Room Number []:
    • Work Phone []:
    • Home Phone []:
    • Other []:
    • Is the information correct? [Y/n] y
    • root@nso:/home/admin# usermod -aG sudo cwuser
    • root@nso:/home/admin# usermod -a -G ncsadmin cwuser
  2. Add cwuser to the nacm group
    • 注記:
      The nacm rule should be configured with cwuser even though you do not have admin as a user on server.
    • *nacm グループ グループ ncsadmin ユーザー名 cwuser
    • nacm groups group ncsadmin
    • user-name [ admin cwuser private ]
    • * デフォルトの権限は以下のように表示されます。
    • admin@ncs# 実行中の設定を表示する nacm
    • nacm read-default deny
    • nacm write-default deny
    • nacm exec-default deny
    • nacm cmd-read-default 拒否
    • nacm cmd-exec-default 拒否
  3. Ensure that the new user that you created has HTTP and HTTPS access to the Cisco NSO server. This can be done by using a simple RESTCONF API as shown below.
    • curl -u <USERNAME>:<PASSWORD> –location –request GET ‘https://<IP>:8888/restconf/data/tailf-ncs:packages/package=cw-device-auth’ \
    • –header ‘Accept: application/yang-data+json’ \
    • –header ‘Content-Type: application/yang-data+json’ \
    • –データ生”
    • cを呼び出すとurl 上記のコマンドを実行すると、下記のような応答が返されるはずです。それ以外の応答が返された場合は、以前の設定が1つ以上機能していないことを示しています。
    • {
    • “tailf-ncs:package”: [
    • {
    • “name”: “cw-device-auth”,
    • “package-version”: “7.0.0”,
    • “description”: “Crosswork device authorization actions pack”,
    • “ncs-min-version”: [“6.1”],
    • “python-package”: {
    • “vm-name”: “cw-device-auth”
    • },
    • “directory”: “/var/opt/ncs/state/packages-in-use/1/cw-device-auth”,
    • “component”: [
    • {
    • “name”: “action”,
    • “application”: {
    • “python-class-name”: “cw_device_auth.action.App”,
    • “start-phase”: “phase2”
    • }
    • }
    • ],
    • “oper-status”: {
    • “up”: [null]
    • }
    • }
    • ]
    • }

Cisco NSO 認証グループにユーザーマップ(umap)を追加する
Cisco NSOでは、サウスバウンドデバイスアクセスの認証情報を指定するための認証グループを定義できます。認証グループには、デフォルトマップまたはユーザーマップ(umap)を含めることができます。さらに、認証グループ内にumapを定義して、デフォルトマップや他のumapのデフォルト認証情報を上書きすることもできます。
Crosswork Change Automation の「資格情報パススルーの上書き」機能は、この umap を使用します。 Crosswork Change Automation を使用するには、デバイスの authgroup に umap 設定を作成する必要があります。
例えばampたとえば、デバイス「xrv9k-1」が Cisco NSO に登録されているとします。 このデバイスは、認証グループ「crosswork」を使用します。

  • cwuser@ncs# 実行中のデバイスを表示 デバイス xrv9k-1 認証グループ デバイス デバイス xrv9k-1
  • authgroup crosswork
  • !

認証グループ「crosswork」の設定は次のとおりです。

  • cwuser@ncs# show running-config devices authgroups group crosswork devices authgroups group crosswork
  • umap管理者
  • remote-name cisco
  • リモートパスワード $9$LzskzrvZd7LeWwVNGZTdUBDdKN7IgVV/UkJebwM1eKg=
  • !
  • !
  • 作成した新しいユーザー (この例では cwuser) の umap を追加します。ampル)。 これは次のようにして実行できます。
  • cwuser@ncs# 設定
  • cwuser@ncs(config)# devices authgroups group crosswork umap cwuser callback-node /cw-creds-get action-name get
  • cwuser@ncs(config-umap-cwuser)# コミットドライラン
  • クライ {
  • ローカルノード {
  • データデバイス {
  • 認証グループ {
  • グループクロスワーク {
  • + umap cwuser {
  • + callback-node /cw-creds-get;
  • + action-name get;
  • + }
  • }
  • }
  • }
  • }
  • }
  • cwuser@ncs(config-umap-cwuser)# コミット
  • コミットが完了しました。

構成後、authgroup は次のようになります。

  • cwuser@ncs# 実行中のデバイス設定を表示 認証グループ グループ クロスワーク
  • デバイス 認証グループ グループ クロスワーク
  • umap管理者
  • remote-name cisco
  • リモートパスワード $9$LzskzrvZd7LeWwVNGZTdUBDdKN7IgVV/UkJebwM1eKg=
  • !
  • umap cwuser
  • コールバックノード /cw-creds-get
  • アクション名取得
  • !
  • !

確実に

  • umap is added to an existing authgroup of the device(s) of interest.
  • umap は正しいユーザー名を使用しています。

上記のいずれかの構成が正しくない場合、実行時の問題が発生する可能性があります。

Cisco Crosswork での DLM の設定

Cisco NSOに機能パックをインストールして設定した後、Cisco CrossworkのDLMで設定を行う必要があります。これらの設定により、Change Automationは新しく作成されたユーザーを介してCisco NSOにアクセスし、必要に応じてオーバーライド認証情報を使用して設定できるようになります。

ca_device_auth_nso 認証情報 Pro を作成するfile
新しい資格情報プロを作成するfile このガイドの「NSO での特別なアクセス ユーザの作成」セクションで作成した特別なアクセス ユーザ用の Cisco NSO です。 この認証情報プロにユーザーの HTTP および HTTPS 認証情報を追加しますfile。 下の画像は、ユーザー「cwuser」のユーザーとパスワードの指定を示しています。

CISCO-Change-Automation-NSO-Function-Pack- (1)

重要
ca_device_auth_nso 認証情報プロとともにfile、別の資格情報プロが必要になりますfile DLM では、Cisco Crosswork の他のすべてのコンポーネントの Cisco NSO にユーザ名/パスワード情報を指定します。 元でamp以下、この資格情報プロfile 「nso-creds」と呼ばれます。
重要: 通常のDLM認証情報のユーザー名がfile ca_device_auth_nso pro のユーザー名とは異なりますfile.

CISCO-Change-Automation-NSO-Function-Pack- (2)

DLM プロバイダー プロパティの追加
資格情報プロを作成したらfile DLMでは、Crosswork CAで使用されるすべてのCisco NSOプロバイダーにプロパティを追加する必要があります。下の図はプロパティの指定を示しています。

CISCO-Change-Automation-NSO-Function-Pack- (3)

トラブルシューティング

次の表に、発生する可能性のある一般的なエラーを示します。

いいえ。 エラー部分文字列 問題 解決
1. nso umap ユーザーは nso credential pro である必要がありますfile ユーザー ca_device_auth_nso ユーザー名はどの umap ユーザーとも一致しません。
  1. umapを追加/修正します。
  2. ca_device_auth_nso 認証プロを編集しますfile.
2. nso からの空の認証グループ umap Cisco NSO 認証グループに umap が見つかりません。 umapを追加します。
3. failed to retrieve RESTCONF resource root. please verify NSO <IP> is reachable via RESTCONF Crosswork CA が RESTCONF 経由で Cisco NSO に接続できませんでした。 Ensure that the username/password as specified in cw_device_auth_nso cred profile RESTCONF 経由で Cisco NSO に接続できます。

この製品のドキュメント セットでは、バイアスのない言葉を使用するよう努めています。 この文書セットの目的上、バイアスフリーとは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、および交差性に基づく差別を意味しない言語として定義されています。 製品ソフトウェアのユーザー インターフェイスにハードコーディングされている言語、標準ドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語が原因で、ドキュメントに例外が存在する場合があります。 Cisco および Cisco ロゴは、Cisco および/またはその関連会社の米国およびその他の国における商標または登録商標です。 に view シスコの商標一覧については、こちらを参照してください URL: https://www.cisco.com/c/en/us/about/legal/trademarks.html記載されているサードパーティの商標は、それぞれの所有者の財産です。パートナーという言葉の使用は、シスコと他の会社との間のパートナーシップ関係を意味するものではありません。(1721R)

よくある質問

What version of Cisco NSO is compatible with this function pack?

The function pack is compatible with Cisco NSO 6.1.11.2 or higher.

ドキュメント / リソース

CISCO 変更自動化 NSO 機能パック [pdf] インストールガイド
変更自動化NSO機能パック、自動化NSO機能パック、NSO機能パック、機能パック

参考文献

コメントを残す

あなたのメールアドレスは公開されません。 必須項目はマークされています *