แพ็คฟังก์ชัน NSO สำหรับการเปลี่ยนแปลงอัตโนมัติของ CISCO

ข้อมูลจำเพาะ

• Product: Cisco Crosswork Change Automation NSO Function Pack
• เวอร์ชัน : 7.0.2

ข้อมูลสินค้า

The Cisco Crosswork Change Automation NSO Function Pack is designed to facilitate the installation, configuration, and management of Cisco Crosswork Change Automation on Cisco Network Services Orchestrator (NSO). It includes features for creating special access users, configuring DLM in Cisco Crosswork, and troubleshooting functionalities.

การแนะนำ

เอกสารนี้อธิบายวิธีการดาวน์โหลด ติดตั้ง และกำหนดค่าชุดฟังก์ชัน Cisco Crosswork Change Automation (CA) บน Cisco Network Services Orchestrator (NSO) นอกจากนี้ เอกสารยังอธิบายการกำหนดค่าที่จำเป็นสำหรับ Crosswork Change Automation ใน Cisco Crosswork อีกด้วย

วัตถุประสงค์
คู่มือนี้อธิบาย:

• Installing the nca-7.0.3-nso-6.1.16.3.20250509.dbe70d0.tar.gz 6.1.16.3 and the associated configurations for the function pack on Cisco NSO.
• The authgroup configurations for creating a unique usermap (umap) for Change Automation.
• DLM configurations and the Change Automation application settings required in Cisco Crosswork 7.0.2

ข้อกำหนดเบื้องต้น
The list below shows the minimum versions of the Cisco NSO and Cisco Crosswork with which the Crosswork Change Automation function pack v7.0 is compatible:

• Cisco NSO: v6.1.16.3 system install.
• Cisco Crosswork: v7.0.2

การติดตั้ง/อัพเกรดและการกำหนดค่า

ส่วนด้านล่างแสดงวิธีการติดตั้งชุดฟังก์ชัน cw-device-auth บนระบบที่ติดตั้ง Cisco NSO 6.1.11.2 หรือสูงกว่า

การติดตั้ง/อัพเกรด Function Pack

1. ดาวน์โหลด cw-device-auth v7.0.0 จากพื้นที่เก็บข้อมูลไปยัง Cisco NSO ของคุณ
2. คัดลอกไฟล์เก็บถาวร tar.gz ที่ดาวน์โหลดของชุดฟังก์ชันไปยังที่เก็บแพ็กเกจของคุณ
   บันทึก: The package directory can be different based on the selected settings at the time of installation. For most system-installed Cisco NSO, the package directory is located at “/var/opt/ncs/packages” by default. Check the ncs.conf on your installation to find your package directory.
3. Launch NCS CLI and run the following commands:
   • admin@nso1:~$ ncs_cli -C -u admin
   • admin connected from 2003:10:11::50 using ssh on nso1
   • admin@ncs# packages reload
4. Verify that the package has been successfully installed once the reload is complete.
   • admin@ncs# แสดงแพ็กเกจ แพ็กเกจ cw-device-auth
   • แพ็กเกจ แพ็กเกจ cw-device-auth
   • แพ็คเกจเวอร์ชัน 7.0.0
   • description “Crosswork device authorization actions pack”
   • ncs-min-เวอร์ชัน [ 6.1]
   • แพ็คเกจ python ชื่อ vm การตรวจสอบสิทธิ์อุปกรณ์ cw
   • directory /var/opt/ncs/state/packages-in-use/1/cw-device-auth
   • การดำเนินการส่วนประกอบ
   • แอปพลิเคชันชื่อคลาส python cw_device_auth.action.App
   • ระยะเริ่มต้นการสมัคร ระยะที่ 2
   • สถานะการดำเนินงานขึ้น

การสร้างผู้ใช้ที่มีสิทธิ์เข้าถึงแบบพิเศษใน Cisco NSO
Cisco Crosswork Change Automation ใช้ผู้ใช้ที่มีสิทธิ์การเข้าถึงพิเศษเพื่อเชื่อมต่อกับ Cisco NSO สำหรับการเปลี่ยนแปลงการกำหนดค่าทั้งหมด ซึ่งหมายความว่าคุณไม่สามารถใช้ผู้ใช้เดียวกันกับ DLM หรือบริการรวบรวมข้อมูลเพื่อเข้าถึง Cisco NSO ได้ หัวข้อนี้จะอธิบายข้อกำหนดเบื้องต้นที่จำเป็นสำหรับการสร้างผู้ใช้
หมายเหตุ: ขั้นตอนด้านล่างนี้ถือว่า Cisco NSO ทำงานอยู่บน VM ของ Ubuntu หากการติดตั้ง Cisco NSO ของคุณทำงานอยู่บนระบบปฏิบัติการอื่น โปรดแก้ไขขั้นตอนให้เหมาะสม

1. สร้างผู้ใช้ sudo ใหม่บน Ubuntu VM ของคุณ อดีตampคลิกที่นี่ ขั้นตอนด้านล่างนี้แสดงวิธีสร้างผู้ใช้ “cwuser” บน Ubuntu VM ของคุณ ชื่อผู้ใช้ใหม่นี้สามารถเป็นอะไรก็ได้ตามที่คุณต้องการ
   root@nso:/home/admin# adduser cwuser
   • Adding user `cwuser’ …
   • Adding new group `cwuser’ (1004) …
   • Adding new user `cwuser’ (1002) with group `cwuser’ … Creating home directory `/home/cwuser’ …
   • การคัดลอก files from `/etc/skel’ …
   • Enter new UNIX password:
   • พิมพ์รหัสผ่าน UNIX ใหม่อีกครั้ง:
   • passwd: password updated successfully
   • Changing the user information for cwuser
   • Enter the new value, or press ENTER for the default
   • Full Name []:
   • Room Number []:
   • Work Phone []:
   • Home Phone []:
   • Other []:
   • Is the information correct? [Y/n] y
   • root@nso:/home/admin# usermod -aG sudo cwuser
   • root@nso:/home/admin# usermod -a -G ncsadmin cwuser
2. Add cwuser to the nacm group
   • บันทึก:
     The nacm rule should be configured with cwuser even though you do not have admin as a user on server.
   • *กลุ่ม nacm กลุ่ม ncsadmin ชื่อผู้ใช้ cwuser
   • nacm groups group ncsadmin
   • user-name [ admin cwuser private ]
   • * สิทธิ์อนุญาตเริ่มต้นแสดงดังด้านล่างนี้
   • admin@ncs# แสดงการตั้งค่า nacm ที่กำลังทำงาน
   • nacm read-default deny
   • nacm write-default deny
   • nacm exec-default deny
   • nacm cmd-read-default ปฏิเสธ
   • nacm cmd-exec-default ปฏิเสธ
3. Ensure that the new user that you created has HTTP and HTTPS access to the Cisco NSO server. This can be done by using a simple RESTCONF API as shown below.
   • curl -u <USERNAME>:<PASSWORD> –location –request GET ‘https://<IP>:8888/restconf/data/tailf-ncs:packages/package=cw-device-auth’ \
   • –header ‘Accept: application/yang-data+json’ \
   • –header ‘Content-Type: application/yang-data+json’ \
   • –ข้อมูลดิบ”
   • เมื่อโทรไปที่ curl คำสั่งข้างต้น คุณควรได้รับคำตอบดังที่แสดงด้านล่าง คำตอบอื่น ๆ จะเป็นสัญญาณว่าการตั้งค่าก่อนหน้านี้อย่างน้อยหนึ่งรายการใช้งานไม่ได้
   • {
   • “tailf-ncs:package”: [
   • {
   • “name”: “cw-device-auth”,
   • “package-version”: “7.0.0”,
   • “description”: “Crosswork device authorization actions pack”,
   • “ncs-min-version”: [“6.1”],
   • “python-package”: {
   • “vm-name”: “cw-device-auth”
   • },
   • “directory”: “/var/opt/ncs/state/packages-in-use/1/cw-device-auth”,
   • “component”: [
   • {
   • “name”: “action”,
   • “application”: {
   • “python-class-name”: “cw_device_auth.action.App”,
   • “start-phase”: “phase2”
   • }
   • }
   • ],
   • “oper-status”: {
   • “up”: [null]
   • }
   • }
   • ]
   • }

การเพิ่ม usermap (umap) ให้กับกลุ่มการตรวจสอบสิทธิ์ Cisco NSO
Cisco NSO อนุญาตให้ผู้ใช้กำหนดกลุ่มการรับรองความถูกต้อง (Authgroup) เพื่อระบุข้อมูลประจำตัวสำหรับการเข้าถึงอุปกรณ์แบบ Southbound กลุ่มการรับรองความถูกต้องสามารถมีแผนที่เริ่มต้น (Default-map) หรือแผนที่ผู้ใช้ (Umap) ได้ นอกจากนี้ ยังสามารถกำหนด Umap ใน Authgroup เพื่อแทนที่ข้อมูลประจำตัวเริ่มต้นจากแผนที่เริ่มต้น (Default-map) หรือ UMAP อื่นๆ ได้
คุณลักษณะ Crosswork Change Automation "แทนที่ข้อมูลประจำตัวที่ส่งผ่าน" ใช้ Umap นี้ หากต้องการใช้ Crosswork Change Automation จะต้องสร้างการกำหนดค่า Umap ในกลุ่มการตรวจสอบสิทธิ์สำหรับอุปกรณ์
เช่นampพิจารณาว่าคุณมีอุปกรณ์ “xrv9k-1” ที่ลงทะเบียนใน Cisco NSO อุปกรณ์นี้ใช้กลุ่มรับรองความถูกต้อง "crosswork"

• cwuser@ncs# แสดงอุปกรณ์การกำหนดค่าที่กำลังทำงาน อุปกรณ์ xrv9k-1 authgroup อุปกรณ์ อุปกรณ์ xrv9k-1
• authgroup crosswork
• !

และการกำหนดค่าของ authgroup “crosswork” มีดังนี้:

• cwuser@ncs# show running-config devices authgroups group crosswork devices authgroups group crosswork
• ผู้ดูแลระบบ umap
• remote-name cisco
• รหัสผ่านระยะไกล $9$LzskzrvZd7LeWwVNGZTdUBDdKN7IgVV/UkJebwM1eKg=
• !
• !
• เพิ่ม Umap สำหรับผู้ใช้ใหม่ที่คุณสร้างขึ้น (cwuser ในตัวอย่างนี้ampเลอ) ซึ่งสามารถทำได้ดังนี้:
• การกำหนดค่า cwuser@ncs#
• cwuser@ncs(config)# devices authgroups group crosswork umap cwuser callback-node /cw-creds-get action-name get
• cwuser@ncs(config-umap-cwuser)# คอมมิตการรันแบบทดสอบ
• cli {
• โหนดท้องถิ่น {
• อุปกรณ์ข้อมูล {
• กลุ่มการรับรองความถูกต้อง {
• การทำงานแบบกลุ่มข้ามสายงาน {
• + umap cwuser {
• + callback-node /cw-creds-get;
• + action-name get;
• -
• }
• }
• }
• }
• }
• cwuser@ncs(config-umap-cwuser)# คอมมิต
• ยืนยันเสร็จสมบูรณ์แล้ว

หลังจากกำหนดค่าแล้ว authgroup ควรมีลักษณะดังนี้:

• cwuser@ncs# แสดงอุปกรณ์การกำหนดค่าที่กำลังทำงาน กลุ่มการรับรองความถูกต้อง กลุ่มการทำงานข้ามกัน
• อุปกรณ์ authgroups กลุ่ม crosswork
• ผู้ดูแลระบบ umap
• remote-name cisco
• รหัสผ่านระยะไกล $9$LzskzrvZd7LeWwVNGZTdUBDdKN7IgVV/UkJebwM1eKg=
• !
• umap cwuser
• โหนดการโทรกลับ / cw-creds-get
• ชื่อการดำเนินการได้รับ
• !
• !

ให้แน่ใจว่า

• umap is added to an existing authgroup of the device(s) of interest.
• umap ใช้ชื่อผู้ใช้ที่ถูกต้อง

หากการกำหนดค่าข้างต้นอย่างใดอย่างหนึ่งไม่ถูกต้อง อาจเกิดปัญหาการรันไทม์ได้

การกำหนดค่า DLM ใน Cisco Crosswork

หลังจากติดตั้งและกำหนดค่าชุดฟังก์ชันใน Cisco NSO แล้ว คุณต้องตั้งค่าคอนฟิกใน DLM ใน Cisco Crosswork การตั้งค่าคอนฟิกเหล่านี้จะช่วยให้ Change Automation สามารถเข้าถึง Cisco NSO ผ่านผู้ใช้ที่สร้างขึ้นใหม่ และกำหนดค่าโดยใช้ข้อมูลประจำตัวแบบแทนที่เมื่อจำเป็น

สร้าง ca_device_auth_nso Credential Profile
สร้างข้อมูลประจำตัวใหม่ระดับมืออาชีพfile ใน Cisco NSO สำหรับผู้ใช้ที่มีสิทธิ์เข้าถึงแบบพิเศษที่คุณสร้างขึ้นในส่วน การสร้างผู้ใช้ที่มีสิทธิ์เข้าถึงแบบพิเศษใน NSO ของคู่มือนี้ เพิ่มข้อมูลประจำตัว HTTP และ HTTPS สำหรับผู้ใช้ในข้อมูลรับรองมืออาชีพนี้file- รูปภาพด้านล่างแสดงข้อกำหนดผู้ใช้และรหัสผ่านสำหรับผู้ใช้ “cwuser”

สำคัญ
พร้อมกับ ca_device_auth_nso credential profileคุณจะมีผู้เชี่ยวชาญรับรองอีกคนหนึ่งfile ใน DLM ซึ่งจะระบุข้อมูลชื่อผู้ใช้/รหัสผ่านให้กับ Cisco NSO สำหรับส่วนประกอบอื่นๆ ทั้งหมดของ Cisco Crosswork ในอดีตampด้านล่างนี้เป็นข้อมูลประจำตัวระดับมืออาชีพนี้file เรียกว่า “nso-creds”
สำคัญ: ตรวจสอบให้แน่ใจว่าชื่อผู้ใช้สำหรับโปรแกรมรับรอง DLM ปกติfile แตกต่างจากชื่อผู้ใช้ใน ca_device_auth_nso profile.

เพิ่มคุณสมบัติผู้ให้บริการ DLM
เมื่อคุณสร้างข้อมูลรับรองมืออาชีพแล้วfile ใน DLM คุณต้องเพิ่มคุณสมบัติให้กับผู้ให้บริการ Cisco NSO ทั้งหมดใน DLM ซึ่งจะใช้ใน Crosswork CA ภาพด้านล่างแสดงรายละเอียดคุณสมบัติ

การแก้ไขปัญหา

ตารางต่อไปนี้แสดงรายการข้อผิดพลาดทั่วไปที่คุณอาจพบ

เลขที่	สตริงย่อยผิดพลาด	ปัญหา	ปณิธาน
1.	ผู้ใช้ nso umap จะต้องเป็นผู้เชี่ยวชาญด้านข้อมูลรับรอง nso ด้วยfile ผู้ใช้	ชื่อผู้ใช้ ca_device_auth_nso ไม่ตรงกับผู้ใช้ umap ใด ๆ	เพิ่ม/แก้ไข umap แก้ไขเครดิต ca_device_auth_nso pro ของคุณfile.
2.	กลุ่มการรับรองความถูกต้องว่างเปล่า umap จาก nso	ไม่พบ Umap ในกลุ่มรับรองความถูกต้องของ Cisco NSO	เพิ่มยูแมป.
3.	failed to retrieve RESTCONF resource root. please verify NSO <IP> is reachable via RESTCONF	Crosswork CA ไม่สามารถเชื่อมต่อกับ Cisco NSO ผ่าน RESTCONF	Ensure that the username/password as specified in cw_device_auth_nso cred profile สามารถเชื่อมต่อกับ Cisco NSO ผ่าน RESTCONF

ชุดเอกสารสำหรับผลิตภัณฑ์นี้พยายามใช้ภาษาที่ปราศจากอคติ สำหรับวัตถุประสงค์ของชุดเอกสารนี้ การปราศจากอคติหมายถึงภาษาที่ไม่สื่อถึงการเลือกปฏิบัติเนื่องจากอายุ ความพิการ เพศ อัตลักษณ์ทางเชื้อชาติ อัตลักษณ์ทางชาติพันธุ์ รสนิยมทางเพศ สถานะทางเศรษฐกิจและสังคม อาจมีข้อยกเว้นในเอกสารประกอบเนื่องจากภาษาที่ฮาร์ดโค้ดในส่วนติดต่อผู้ใช้ของซอฟต์แวร์ผลิตภัณฑ์ ภาษาที่ใช้ตามเอกสารมาตรฐาน หรือภาษาที่ใช้โดยผลิตภัณฑ์ของบุคคลที่สามที่อ้างอิง Cisco และโลโก้ Cisco เป็นเครื่องหมายการค้าหรือเครื่องหมายการค้าจดทะเบียนของ Cisco และ/หรือบริษัทในเครือในสหรัฐอเมริกาและประเทศอื่นๆ ถึง view รายชื่อเครื่องหมายการค้าของ Cisco ไปที่นี้ URL: https://www.cisco.com/c/en/us/about/legal/trademarks.htmlเครื่องหมายการค้าของบุคคลที่สามที่กล่าวถึงเป็นทรัพย์สินของเจ้าของที่เกี่ยวข้อง การใช้คำว่าพันธมิตรไม่ได้หมายความถึงความสัมพันธ์หุ้นส่วนระหว่าง Cisco และบริษัทอื่นใด (1721R)

คำถามที่พบบ่อย

What version of Cisco NSO is compatible with this function pack?

The function pack is compatible with Cisco NSO 6.1.11.2 or higher.

เอกสาร / แหล่งข้อมูล

แพ็คฟังก์ชัน NSO สำหรับการเปลี่ยนแปลงอัตโนมัติของ CISCO [พีดีเอฟ] คู่มือการติดตั้ง เปลี่ยนชุดฟังก์ชัน NSO อัตโนมัติ, ชุดฟังก์ชัน NSO อัตโนมัติ, ชุดฟังก์ชัน NSO, ชุดฟังก์ชัน

อ้างอิง

• คู่มือการใช้งาน