Gói chức năng NSO của CISCO Change Automation

Thông số kỹ thuật

• Sản phẩm: Gói chức năng NSO của Cisco Crosswork Change Automation
• Phiên bản: 7.0.2

Thông tin sản phẩm

Gói chức năng Cisco Crosswork Change Automation NSO được thiết kế để hỗ trợ việc cài đặt, cấu hình và quản lý Cisco Crosswork Change Automation trên Cisco Network Services Orchestrator (NSO). Gói này bao gồm các tính năng để tạo người dùng truy cập đặc biệt, cấu hình DLM trong Cisco Crosswork và các chức năng khắc phục sự cố.

Giới thiệu

Tài liệu này mô tả cách tải xuống, cài đặt và cấu hình gói chức năng Cisco Crosswork Change Automation (CA) trên Cisco Network Services Orchestrator (NSO). Ngoài ra, tài liệu còn mô tả cấu hình cần thiết cho Crosswork Change Automation trong Cisco Crosswork.

Mục đích
Hướng dẫn này mô tả:

• Cài đặt nca-7.0.3-nso-6.1.16.3.20250509.dbe70d0.tar.gz 6.1.16.3 và các cấu hình liên quan cho gói chức năng trên Cisco NSO.
• Cấu hình authgroup để tạo bản đồ người dùng duy nhất (umap) cho Tự động hóa thay đổi.
• Cấu hình DLM và cài đặt ứng dụng Tự động hóa thay đổi được yêu cầu trong Cisco Crosswork 7.0.2

Điều kiện tiên quyết
Danh sách bên dưới hiển thị các phiên bản tối thiểu của Cisco NSO và Cisco Crosswork mà gói chức năng Crosswork Change Automation v7.0 tương thích:

• Cisco NSO: Cài đặt hệ thống v6.1.16.3.
• Cisco Crosswork: v7.0.2

Cài đặt/Nâng cấp và Cấu hình

Các phần bên dưới hướng dẫn cách cài đặt gói chức năng cw-device-auth trên hệ thống cài đặt Cisco NSO 6.1.11.2 trở lên.

Cài đặt/nâng cấp Gói chức năng

1. Tải cw-device-auth v7.0.0 từ kho lưu trữ về Cisco NSO của bạn.
2. Sao chép kho lưu trữ tar.gz đã tải xuống của gói chức năng vào kho lưu trữ gói của bạn.
   Ghi chú: Thư mục gói có thể khác nhau tùy thuộc vào cài đặt đã chọn tại thời điểm cài đặt. Đối với hầu hết các Cisco NSO được cài đặt trên hệ thống, thư mục gói mặc định nằm ở “/var/opt/ncs/packages”. Hãy kiểm tra tệp ncs.conf trên bản cài đặt của bạn để tìm thư mục gói.
3. Khởi chạy NCS CLI và chạy các lệnh sau:
   • admin@nso1:~$ ncs_cli -C -u admin
   • quản trị viên đã kết nối từ 2003:10:11::50 bằng ssh trên nso1
   • admin@ncs# tải lại gói
4. Xác minh rằng gói đã được cài đặt thành công sau khi quá trình tải lại hoàn tất.
   • admin@ncs# hiển thị các gói gói cw-device-auth
   • gói gói cw-device-auth
   • gói phiên bản 7.0.0
   • mô tả “Gói hành động ủy quyền thiết bị chéo”
   • ncs-min-version [ 6.1]
   • gói python tên máy ảo xác thực thiết bị cw
   • thư mục /var/opt/ncs/state/packages-in-use/1/cw-device-auth
   • hành động thành phần
   • ứng dụng python-class-name cw_device_auth.action.App
   • giai đoạn khởi động ứng dụng giai đoạn 2
   • trạng thái hoạt động lên

Tạo người dùng truy cập đặc biệt trong Cisco NSO
Cisco Crosswork Change Automation sử dụng một người dùng truy cập đặc biệt để kết nối với Cisco NSO cho tất cả các thay đổi cấu hình. Điều này có nghĩa là bạn không thể sử dụng cùng một người dùng với DLM hoặc dịch vụ thu thập để truy cập Cisco NSO. Phần này thảo luận về các điều kiện tiên quyết cần thiết để tạo người dùng.
Lưu ý: Các bước dưới đây giả định rằng Cisco NSO đang chạy trên máy ảo Ubuntu. Nếu cài đặt Cisco NSO của bạn đang chạy trên một hệ điều hành khác, vui lòng điều chỉnh các bước cho phù hợp.

1. Tạo người dùng sudo mới trên máy ảo Ubuntu của bạn. Bán tạiample ở đây. Các bước dưới đây hướng dẫn cách tạo người dùng "cwuser" trên máy ảo Ubuntu của bạn. Tên người dùng mới này có thể là bất kỳ tên nào bạn muốn.
   root@nso:/home/admin# adduser cwuser
   • Thêm người dùng `cwuser' …
   • Thêm nhóm mới `cwuser' (1004) …
   • Thêm người dùng mới `cwuser' (1002) với nhóm `cwuser' … Tạo thư mục gốc `/home/cwuser' …
   • Sao chép files từ `/etc/skel' …
   • Nhập mật khẩu UNIX mới:
   • Nhập lại mật khẩu UNIX mới:
   • passwd: mật khẩu đã được cập nhật thành công
   • Thay đổi thông tin người dùng cho cwuser
   • Nhập giá trị mới hoặc nhấn ENTER để có giá trị mặc định
   • Họ và tên đầy đủ []:
   • Số phòng []:
   • Điện thoại cơ quan []:
   • Điện thoại nhà []:
   • Khác []:
   • Thông tin có đúng không? [Y/n] y
   • root@nso:/home/admin# usermod -aG sudo cwuser
   • root@nso:/home/admin# usermod -a -G ncsadmin cwuser
2. Thêm cwuser vào nhóm nacm
   • Ghi chú:
     Quy tắc nacm phải được cấu hình bằng cwuser ngay cả khi bạn không có quyền admin là người dùng trên máy chủ.
   • *nacm groups nhóm ncsadmin tên người dùng cwuser
   • nhóm nacm nhóm ncsadmin
   • tên người dùng [ admin cwuser private ]
   • * Quyền mặc định được hiển thị như bên dưới.
   • admin@ncs# show running-config nacm
   • nacm đọc-mặc định từ chối
   • nacm write-default deny
   • nacm exec-default deny
   • nacm cmd-read-default deny
   • nacm cmd-exec-default deny
3. Đảm bảo người dùng mới bạn tạo có quyền truy cập HTTP và HTTPS vào máy chủ Cisco NSO. Bạn có thể thực hiện việc này bằng cách sử dụng API RESTCONF đơn giản như minh họa bên dưới.
   • curl -u : –vị trí –yêu cầu NHẬN 'https:// :8888/restconf/data/tailf-ncs:packages/package=cw-device-auth' \
   • –header 'Chấp nhận: application/yang-data+json' \
   • –header 'Content-Type: application/yang-data+json' \
   • –dữ liệu thô”
   • Khi gọi curl Nếu bạn thực hiện lệnh trên, bạn sẽ nhận được phản hồi như hiển thị bên dưới. Bất kỳ phản hồi nào khác sẽ cho biết một hoặc nhiều cài đặt trước đó không hoạt động.
   • {
   • “tailf-ncs:gói”: [
   • {
   • “tên”: “cw-device-auth”,
   • “phiên bản gói”: “7.0.0”,
   • “description”: “Gói hành động ủy quyền thiết bị chéo”,
   • “ncs-min-version”: [“6.1”],
   • “gói python”: {
   • “vm-name”: “cw-device-auth”
   • },
   • “thư mục”: “/var/opt/ncs/state/packages-in-use/1/cw-device-auth”,
   • "thành phần": [
   • {
   • “tên”: “hành động”,
   • "ứng dụng": {
   • “python-class-name”: “cw_device_auth.action.App”,
   • “giai đoạn bắt đầu”: “giai đoạn 2”
   • }
   • }
   • ],
   • “trạng thái hoạt động”: {
   • “lên”: [null]
   • }
   • }
   • ]
   • }

Thêm usermap (umap) vào nhóm xác thực Cisco NSO
Cisco NSO cho phép người dùng định nghĩa các nhóm xác thực (authgroup) để chỉ định thông tin xác thực cho quyền truy cập thiết bị hướng Nam (Southbound). Một nhóm xác thực có thể chứa default-map hoặc usermap (umap). Ngoài ra, một umap có thể được định nghĩa trong authgroup để ghi đè thông tin xác thực mặc định từ default-map hoặc các umap khác.
Tính năng “ghi đè thông tin đăng nhập” của Crosswork Change Automation sử dụng umap này. Để sử dụng Tự động hóa thay đổi chéo, cần tạo cấu hình umap trong nhóm xác thực cho thiết bị.
Ví dụample, hãy coi như bạn đã đăng ký thiết bị “xrv9k-1” trong Cisco NSO. Thiết bị này sử dụng nhóm xác thực, “crosswork”.

• cwuser@ncs# show running-config devices device xrv9k-1 authgroup devices device xrv9k-1
• authgroup chéo
• !

Và cấu hình của authgroup “crosswork” như sau:

• cwuser@ncs# show running-config devices authgroups group crosswork devices authgroups group crosswork
• quản trị viên umap
• tên từ xa cisco
• mật khẩu từ xa $9$LzskzrvZd7LeWwVNGZTdUBDdKN7IgVV/UkJebwM1eKg=
• !
• !
• Thêm umap cho người dùng mới mà bạn đã tạo (cwuser trong ví dụ nàyample). Điều này có thể được thực hiện như sau:
• cwuser@ncs# cấu hình
• cwuser@ncs(config)# thiết bị authgroups nhóm crosswork umap cwuser callback-node /cw-creds-get action-name get
• cwuser@ncs(config-umap-cwuser)# cam kết chạy thử
• cli {
• nút cục bộ {
• thiết bị dữ liệu {
• nhóm xác thực {
• nhóm chéo {
• + umap cwuser {
• + nút gọi lại /cw-creds-get;
• + tên hành động lấy;
• + }
• }
• }
• }
• }
• }
• cwuser@ncs(config-umap-cwuser)# cam kết
• Cam kết hoàn tất.

Sau khi cấu hình, nhóm xác thực sẽ trông như thế này:

• cwuser@ncs# show running-config devices authgroups group crosswork
• thiết bị nhóm xác thực nhóm chéo
• quản trị viên umap
• tên từ xa cisco
• mật khẩu từ xa $9$LzskzrvZd7LeWwVNGZTdUBDdKN7IgVV/UkJebwM1eKg=
• !
• umap cwuser
• nút gọi lại /cw-creds-get
• tên hành động lấy
• !
• !

Đảm bảo rằng

• umap được thêm vào nhóm xác thực hiện có của thiết bị quan tâm.
• umap đang sử dụng đúng tên người dùng.

Nếu bất kỳ cấu hình nào ở trên không chính xác, có thể xảy ra sự cố thời gian chạy.

Cấu hình DLM trong Cisco Crosswork

Sau khi cài đặt và cấu hình gói chức năng trong Cisco NSO, bạn cần thiết lập cấu hình trong DLM của Cisco Crosswork. Các thiết lập cấu hình này sẽ cho phép Change Automation truy cập Cisco NSO thông qua người dùng mới tạo và cấu hình bằng thông tin đăng nhập ghi đè khi cần.

Tạo ca_device_auth_nso Credential Profile
Tạo thông tin xác thực mới chuyên nghiệpfile trong Cisco NSO dành cho người dùng có quyền truy cập đặc biệt mà bạn đã tạo trong phần Tạo Người dùng có quyền truy cập đặc biệt trong NSO của hướng dẫn này. Thêm thông tin xác thực HTTP và HTTPS cho người dùng trong chứng chỉ chuyên nghiệp nàyfile. Hình ảnh bên dưới hiển thị thông số người dùng và mật khẩu cho người dùng, “cwuser”.

QUAN TRỌNG
Cùng với thông tin xác thực ca_device_auth_nsofile, bạn sẽ có một chứng chỉ chuyên nghiệp khácfile trong DLM sẽ chỉ định thông tin tên người dùng/mật khẩu cho Cisco NSO cho tất cả các thành phần khác của Cisco Crosswork. Trong người cũample bên dưới, chứng chỉ này chuyên nghiệpfile được gọi là “nso-creds”.
Quan trọng: Đảm bảo rằng tên người dùng cho thông tin xác thực DLM thông thườngfile khác với tên người dùng trong ca_device_auth_nso profile.

Thêm thuộc tính nhà cung cấp DLM
Khi bạn đã tạo thông tin xác thực chuyên nghiệpfile Trong DLM, bạn cần thêm một thuộc tính cho tất cả các nhà cung cấp Cisco NSO trong DLM, thuộc tính này sẽ được sử dụng trong Crosswork CA. Hình ảnh bên dưới hiển thị thông số kỹ thuật của thuộc tính.

Xử lý sự cố

Bảng sau đây liệt kê những lỗi thường gặp mà bạn có thể gặp phải.

KHÔNG.	Chuỗi con lỗi	Vấn đề	Nghị quyết
1.	Người dùng nso umap cũng phải là chuyên gia có chứng chỉ nsofile người sử dụng	tên người dùng ca_device_auth_nso không khớp với bất kỳ người dùng umap nào.	Thêm/sửa umap. Chỉnh sửa tín dụng ca_device_auth_nso của bạnfile.
2.	umap nhóm xác thực trống từ nso	Không tìm thấy umap trong nhóm xác thực Cisco NSO.	Thêm umap.
3.	không thể truy xuất gốc tài nguyên RESTCONF. vui lòng xác minh NSO có thể truy cập thông qua RESTCONF	Crosswork CA không kết nối được với Cisco NSO qua RESTCONF.	Đảm bảo rằng tên người dùng/mật khẩu được chỉ định trong cw_device_auth_nso tín dụng chuyên nghiệpfile có thể kết nối với Cisco NSO thông qua RESTCONF.

Bộ tài liệu dành cho sản phẩm này cố gắng sử dụng ngôn ngữ không thiên vị. Đối với mục đích của bộ tài liệu này, không thiên vị được định nghĩa là ngôn ngữ không hàm ý phân biệt đối xử dựa trên tuổi tác, tình trạng khuyết tật, giới tính, bản sắc chủng tộc, bản sắc dân tộc, khuynh hướng tình dục, tình trạng kinh tế xã hội và giao thoa. Các ngoại lệ có thể xuất hiện trong tài liệu do ngôn ngữ được mã hóa cứng trong giao diện người dùng của phần mềm sản phẩm, ngôn ngữ được sử dụng dựa trên tài liệu tiêu chuẩn hoặc ngôn ngữ được sử dụng bởi sản phẩm của bên thứ ba được tham chiếu. Cisco và logo của Cisco là các nhãn hiệu hoặc nhãn hiệu đã đăng ký của Cisco và/hoặc các chi nhánh của Cisco tại Hoa Kỳ và các quốc gia khác. ĐẾN view danh sách các nhãn hiệu của Cisco, hãy truy cập vào đây URL: https://www.cisco.com/c/en/us/about/legal/trademarks.html. Các nhãn hiệu của bên thứ ba được đề cập là tài sản của chủ sở hữu tương ứng của chúng. Việc sử dụng từ đối tác không ngụ ý mối quan hệ đối tác giữa Cisco và bất kỳ công ty nào khác. (1721R)

Câu hỏi thường gặp

Phiên bản Cisco NSO nào tương thích với gói chức năng này?

Gói chức năng này tương thích với Cisco NSO 6.1.11.2 trở lên.

Tài liệu / Tài nguyên

Gói chức năng NSO của CISCO Change Automation [tập tin pdf] Hướng dẫn cài đặt Thay đổi Gói chức năng NSO tự động hóa, Gói chức năng NSO tự động hóa, Gói chức năng NSO, Gói chức năng

Tài liệu tham khảo

• Hướng dẫn sử dụng