nocproject.org
06:39
ну так что с привязкой валидаторов решим?
06:59
отвязные валидаторы?
07:01
партихард валидаторы
07:02
надо привязывать валидаторы а то рабегутся
07:05
07:05
07:05
07:05
хороший подарок любимому вендору
07:13
dvolodin: мы с freeseacher еще не обсудили. но как я понял он предлагает ввести в нок роли и привязывать по кусочкам к каждой роли, а я считаю что это излишне усложнение и можно обойтись существующими сущностями
08:29
zi_rus: я в курсе
08:32
самый противоречивый момент во всем
08:35
мы такой момент рассматривали
08:36
есть обычный коммутатор доступа, но к нему подключен какой-то vip
08:36
что предполагает дополнительный контроль настроек
08:36
именно на уровне коммутатора
08:36
и к нему же подключен юрик
08:36
уже со своими требованиями
08:39
да, у нас была похожая ситуация
08:39
есть юрики со своими настройками, а есть базовые станции со своими
08:39
я в пируле разделил их по дескрипшену
08:40
во, да, коммутаторы под БС -- тоже отдельный прикол
08:41
на самом деле коммутаторы вещь универсальная
08:41
вопрос только в портах
08:41
dvolodin: это приводит нас к профилям интерфейсов
08:42
и как следствие, глобальные настройки по МО логично привязывать к профилю МО
08:43
а это значит в жопу роли и плясать от профилей
08:43
но есть же настроки, не привязанные к конкретным портам, значит мы должны знать, что если у интерфейса такой профиль, то и МО особый
08:43
zi_rus: не совсем так
08:43
смотри
08:43
у меня есть дополнительная проверка на уровне системы, скажем для BS
08:43
то, что ты предлагаешь, означает примерно следующее
08:44
нужно иметь возможность навеить на МО несколько профилей?
08:44
*навесить
08:44
применять правило только в случае, если на железке есть активные интерфейсы с заданными профилями
08:45
ну нифига себе детали
08:45
я хочу сказать что если у тебя 100500 одинаковых железок, то ты их накрываешь профилем и радуешься
08:45
в роли у меня было понятие уровня
08:45
если у тебя уникальные железки на которых специфические настройки
08:45
по твоей логике его следует снести в object profile
08:45
то в общем случае там нечего профилировать или валидировать
08:45
каждый раз настройки или есть или ничего не работает
08:46
dvolodin: да, уже второй день это талдычу
08:46
я бы и auth profile в обжект профиль засунул, но вы сопротивляетесь
08:47
а вот если есть профили "access", "iptv", "aggregation", "vip" и можно их нафигачить на один МО, то все логичнее
08:47
чтобы при добавлении МО указать имя, ip, СА профиль и обжект профиль
08:47
я сейчас такое с помошью тэгов разруливаю
08:48
TSergey: а что тебе еще надо
08:48
TSergey: то, что ты говоришь - обозвали роли
08:48
какая разница, теги это будут или роли
08:48
zi_rus: ну считай, что роли -- это структурированные теги
08:49
freeseacher говорил о привязке к ролям параметров.
08:49
dvolodin: я соглашусь на выделение ролей в отдельную сущность только если ты потом это на инвентори завяжешь, где у тебя тоже есть уровни узлов. в противном случае это страдание херней
08:49
не понятно, как будет разрешаться пересечение параметров для, скажем, двух ролей
08:50
zi_rus: там вторым шагом freeseacher хотел role discovery :)
08:50
блять
08:50
хуй там отдискаверишь
08:50
все будет зависеть от дизайна сети
08:51
dvolodin: так и ко всем профилям, ролям, доменам и пр --- это же характеристика МО, может это все должно быть "структурированным тэгом" и добавлятся к МО по необходимости
08:51
вот смотри
08:51
для чего весь сыр бор
08:51
08:51
проверки -- классы такого вот вида
08:51
у них есть метод is_applicable
08:52
который говорит, можно ли или нельзя применять проверку
08:52
то есть задача такая
08:52
первым шагом получить список валидаторов и их настройки
08:52
которые так или иначе применимы к объекту
08:52
вторым шагом определяем -- какие мы будем прогонять
08:52
ну а дальше валидируем
08:53
хех, блэклист инкаминг
08:54
эммм
08:54
зачем первый шаг
08:54
чтоб было непустое множество валидаторов, видимо
08:55
dvolodin: таки еще раз
08:55
чем именно и какую проблему предполагается решать
08:55
без деталей реализации
08:56
ну или общеми словами если проблема именно в реализации
08:56
ща почитаю чего вы там с утра пописали
08:57
и все вам раскаажу :)
08:57
почитал :) немного вы и пописали
08:57
роль порта это тоже нужная вещь.
08:57
идя внедрить еще одну надсущность для МО
08:57
*идея
08:58
нет
08:58
идея в невнедрять лишних сущностей
08:58
на самом деле профиль порта это здорово. мы по нему знаем что с чем соединяется.
08:58
э, ну Дима именно про надсущность говорит
08:58
и я тоже говорю про надсущность
08:59
и вариант с "сервисными тегами" меня тодже устраивает
08:59
в том случае если их никто не может меняь
08:59
это будет тоже самое что я хочу
08:59
может есть смысл поговорить о том как иметь в МО несколько надсущностей и все их называть профилем МО?
09:00
TSergey: профиль - это как в cli получить конфиг. всё. как распарсить этот конфиг
09:01
профиль существующий у нас сейчас?
09:01
но одна и таже железяка может быть брасом и либо иметь на себе нат либо не иметь.
09:01
да тот который у нас
09:01
настройка дискавери у нас тоже на нем
09:01
а это, кстати, аплодисменты авторам
09:01
zi_rus: грубо говоря, на выходе я хочу получить эти самые error
09:01
понаделали кучу хреней, каждая из которых зовётся профилем
09:01
evyscr: они все законные. :)
09:02
и названия у них правильные
09:02
в терминологии будут путаться тыщу лет
09:03
да пофиг. сейчас эт не вопрос
09:03
вопрос как делать валидаторы.
09:04
и как хранить настройки валидаторов
09:04
ну и добавим "роль", и у роли есть тип, а ролей можно к МО много :)
09:04
роль "профиль_железа", роль "домен", роль "важность железки"
09:04
в каждой роли, по типу, разные настройки и обработки
09:04
тогда "простая" железка будет иметь пару-тройку ролей: "дисквери", "доступ", "dlink"
09:04
сложная --- букет
09:05
понадобится еще одна сущность --- мехенизм добавления к МО есть, не плодятся конкретизирующие поля
09:06
TSergey: у роли нет типа. только название и характеристики
09:06
да хоть как, я к тому, что сейчас еще одну сущность нужно добавить в МО
09:06
хотя твоя идея мне импонирует.
09:07
а нужно иметь механизм навешивания таких штук на МО
09:07
freeee: а, гут :)
09:07
cap_discovery это оно
09:07
механизм навешивания ролей
09:08
freeee: ну не нужно это все
09:08
и для порта должен быть аналог такой :)
09:08
хорошо zi_rus жги
09:08
как надо
09:09
freeee: ты же сказал что прочитал все что мы написали
09:10
и не увидел конкретных предложений
09:10
zi_rus: вот тебе простой кейс.
09:11
есть железяка jiniper.junos
09:11
ее надо отвалидировать
09:11
какие валидаторы к ней надо применить ?
09:12
обжект
09:12
там где мы методы дискавери указываем
09:12
тоесть Juniper.JuNOS
09:12
и прочее
09:12
нет
09:12
не са, а обжект
09:12
mo profile
09:12
я ж говорил про авторов-)
09:13
хорошо.
09:14
на этом джунипере нет настроек bgp совсем. это должно быть ошибкой ?
09:14
а в какой mo profile ты его посадил?
09:15
в опрашивать: конфиг, пинговать раз в 5 минут, не запрашивать lldp, запрашивать инвентарную инфу
09:15
в этот
09:15
freeee: если у тебя 1000 джуниперов с бгп, то правильный профиль - "опрашивать: конфиг, пинговать раз в 5 минут, не запрашивать lldp, запрашивать инвентарную инфу" + проверять настройки бгп
09:15
а что в этом mo profile сказано про bgp?
09:16
zi_rus: откуда я знаю что надо проверять в нем bgp ?
09:16
вообще, тема extending mo profile весьма благодатна
09:16
а откуда ты знаешь что там вообще джунипер
09:16
так в ноке записано жи
09:17
а откуда ты знаешь что там вообще есть этот мо
09:17
из того что я задал у него profile_name
09:17
у меня в инвентори после моих злоключений теперь есть лишние объекты, РоР-ы без родителей, стереть не получается
09:17
как-то можно всех сирот пристроить?
09:18
freeee: ты пользовался здравым смыслом когда выбирал профиль7
09:18
misak: ну таки в монге попробуй db.noc.objects.find()
09:18
или хернул первый попавшийся
09:19
misak: там в принципе понятные поля
09:19
я их нахожу, а дальше что делать?
09:19
гугли mongo update :)
09:19
zi_rus нет. я пользовался не здравым смыслом. я пользовался инструкцией
09:19
мля :(
09:19
боюсь я
09:20
freeee: значит у тебя неправильная инструкция, там должно быть про бгп написано
09:20
нельзя всех сирот кинуть в ЛФ?
09:20
в ней написано что для устройства с название bgw и профмлем junos мне надо поставить тот самый валидатор
09:20
ну вот
09:20
для жуниперов с бгв один профиль, а без - другой
09:20
логично? просто?
09:20
прозрачно?
09:21
как я узнаю что мне надо сменить профиль у джунипера
09:21
misak: можно
09:21
проставив им поле container
09:21
freeee: когда название изменится, тогда и сменишь
09:21
zi_rus: один недостаток - профилей расплодится до хрена
09:21
подскажите плиз. как загрузить в нок записи с днс-сервера. а потом выгрузить назад
09:21
у железяки есть жизненный цикл. и есть внедренные на ней фичи
09:22
evyscr: и второй --- в них будет очень большой процент дубляжа
09:22
сегодня на ней нет bgp завтра есть
09:22
сегодня на ней нету ната а завтра он появился
09:22
при добавлении фич на железяку я должен зайти в нок и изменить профиль мо?
09:22
evyscr: в общем случае да, но надо просто исходить из логики что много железок у тебя объединены едыным профилем. если железка уникальна, то профиль с валидатором ей выделять бессмысленно, настройки все равно уникальны
09:23
вы предлагаете заниматься не работой а обслуживанием базы данных.
09:23
как нет то
09:23
у меня фич навернуто на коробку полсотни или больше
09:23
да вот так
09:24
и что?
09:24
железяк под две сотни
09:24
ты их раз в неделю перетряхиваешь?\
09:24
ну вот и подумай над этим
09:24
цикл внедрения одной фичи полгода
09:24
сеть настроена и работает
09:24
zi_rus: сколько штук у тебя использовалось профилей?
09:24
к моменту когда я внедрил одну яичу везде я на половине уже внедрил две другие
09:25
freeee: у тебя вообще должны быть ещё проекты
09:25
в ноке есть такая хрень
09:25
лёль
09:26
а нах нормальным людям перетряхивать раз в неделю?
09:26
TSergey: было с десяток, и только потому что некоторые профили пришлось разбить, есть у меня РЕ, для них один профиль, но на парочке включен CDP, пришлось им отдельный нарисовать, чтобы дискавери работал
09:26
zi_rus: это говорит о том, что у тебя одностипное оборудование и однотипный набор опций на нем
09:26
можно было просто включить, но я не хотел чтобы нок сношал мозги железке не по делу
09:27
оно у всех однотипное
09:27
сети уже 15 лет так строят
09:27
есть доступ, есть агрегация, есть ядро
09:27
да, и есть некоторое пересечение функций
09:28
zi_rus: короче это не вариант.
09:28
фичи на коробке надо дискаверить
09:28
надо что бы нок сам узнал что тут есть bgp
09:28
и проверил его
09:28
сам валидатор и может
09:28
если фича есть, она должна быть настроена корректно
09:28
нормальность нерабочести фичи - административное
09:28
валидатор не знает применим ли он
09:29
у меня стоит на доступе des-2108 и когда-то его заменят на des-3200, а профиль мне нужно указать без кучи дискавери, чтоб 2108 не снашали запросами
09:29
записал в факты, на железке есть bgp
09:29
и хули?
09:29
конфиг открывает не валидатор
09:29
валидатор вообще с конфигом не работает
09:29
да похер на терминологию
09:29
он работает с базой вактов
09:30
не похер. здесь важно
09:30
важно что нок может увидеть из конфига
09:30
вот только
09:30
это бгп железка
09:30
или наоборот
09:30
парсер вытащил информацию о том что тут есть bgp но он так же вытащил настройки этого bgp
09:30
и у нас есть факт
09:30
какой-то мудак включил бгп и его наоборот надо удалить
09:30
нок никогда не узнает
09:30
который называется bgp timeout
09:31
он установлен в 180 сек.
09:31
это правильная цифра ?
09:31
freeee: нок отдискаверил что на железке включен бгп и применил валидатор бгп - это правильно или бгп вообще надо отключить?
09:32
ответь сначала на мой вопрос
09:32
кроме тебя никто не знает что должно работать на железке и с какими настройками
09:32
freeee: мой вопрос автоматически отменяет твой
09:32
я знаю что цифра 180 может разниться от внедренных фич и роли железяки.
09:32
не отменяет, вообще-то
09:32
хах
09:32
а может зависеть от пира
09:33
и может зависить от пира
09:33
да
09:33
и похер на внедрённые фичи
09:33
evyscr: просто придется сделать пир профиль и засунуть в peering management Ж)
09:33
ты изменяешь набор фич, а таймаут определяется пиром
09:34
zi_rus: ну я не знаю...
09:34
zi_rus: дело в том что ты не принимаешь в расчет то что валидатор bgp должен получить какой то конфиг себя
09:35
freeee: а давай я скажу, что должно быть две конфигурации сети - плановая и фактическая
09:35
и плановую ты никак не отдискаверишь
09:35
:))))) "конфигурация сети"
09:35
evyscr: ты в банке что ли работаешь ?
09:36
у тебя два дифа в месяц ?
09:36
больше
09:36
и что?
09:36
о боже мой. четыре ?
09:37
ПЯТЬ! ?
09:37
ребят
09:37
вот представьте, что у вас 50k железок
09:37
смысл в том что сеть живет сама. в нее разные люди в разных городах примерно 100 человек вписывают настройки
09:37
e_zombie: зачет
09:38
мы не знаем когда и кто добавил или изменил что либо
09:38
фотка к сожалению не моя. но эту тёлочку 21 числа буду фоткать. возможно даже с вагиной
09:38
но в этом хаусе нам надо валидировать хорошо ли они это сделали
09:39
они должны открыть рекомендации по внедрению фич и накотить их
09:39
они не могут и не должны обсуживать какую то базу данных. они про нее могут даже не знать
09:40
но потом придет нок. увидит что тут есть кусок конфигурации которй относиться к этой фиче. и проверит работу этого человека
09:43
долбоёб включил и настроил по шаблону bgp там, где не надо. пришёл нок и сказал: всё заебись
09:43
seems legit
09:43
evyscr: bgp настроен верно ?
09:44
ну-ка, раскрой термин "верно"
09:45
лехко
09:45
в ноке регулярно работает не то, что надо
09:45
значит полдела уже сделано.
09:45
и не работает то, что надо
09:45
то что надо вадидировать совместимость ролей это уже отдельный вопрос
09:47
но совершенно очевидно, что количество моментов когда у нас настроили что то не там где надо ментше количества раз когда настроили что то не правильно
09:48
согласен. не очевидно.
09:48
просто более вероятно.
09:49
в конечном счете на железяке будет несколько ролей или "сервисных тегов" или еще чего то там
09:50
смысл этой конструкции будет в том что бы она была контейнером описывающим ожидаемое поведение для этого сервиса
09:50
капабилити нашел что у нас есть нат. ему похер насамом деле. он просто добавил в список ролей
09:50
раскрывай "ожидаемое"
09:51
валидатор пришел и увидел так это железяка претендует на то что она делает нат
09:51
значит у нее должно быть включены следующие alg
09:51
а то оно у тебя на фактическое больше похоже
09:51
таймауты расписаны вот так
09:51
а наты, как известно, разные бывают
09:52
в роли мы описали то как должно быть
09:52
и роль автодискаверится??
09:52
роль это набор включенных фич
09:53
я хочу такой нок и такой как у dvlolodin, в котором все работает :)
09:53
"в роли мы описали то как должно быть"
09:53
"автодискаверится"
09:53
/0
09:53
хм.
09:53
можно пример ?
09:53
TSergey: изи, просто никогда не проверяй работу
09:54
freeee: ты сам задал вопрос про таймаут
09:54
возьмите как пример что-то попроще --- LLDP
09:54
он правильный или нет?
09:54
типа он включен, проверяем --- должен ли
09:54
капабилити пришел на коробку и сделал sh ip bgp
09:55
увидел что есть пиры
09:55
TSergey: как это проверить?-)
09:55
а если пир в дауне?
09:55
парсер пришел за конфигом
09:55
evyscr: валидацией конфига же, или нет?
09:55
увиедл тут два пира
09:55
настройки вот такие
09:55
TSergey: это административное решение
09:55
сделал из этого факты
09:56
с учетом дефолтов
09:56
есть свичи, на которых по административному решению нельзя включать lldp
09:56
валидатор пришел смотреть на факты
09:57
"8[15:52] evyscr: и роль автодискаверится??"
09:57
а это делается валидацией валидатора, по роли валидируемого валидатора
09:57
проверил факты. говорит bgp настроен верно
09:57
пришел валидатор ролей
09:57
о, вот он и пришел, валидатор ролей :)
09:57
и говорит эта железяка является l2 свитчом. а еще она bgp
09:57
это не порядок
09:58
и в итоге мы получили ошибку. на l2 свитче настроен bgp
09:59
dj всей концепции которая есть у меня в голове именно это звено самое слабое.
09:59
я предлагаю над ним подумать
10:00
как узнать на самом деле что на с3650 не стоит настраивать bgp
10:01
где-то долдно быть правило, по которому она в какой-то группе, на которой не должен быть bgp (профиль, роль, etc)
10:01
*должно
10:01
ну вот мне каежтся надо что бы была совместимость ролей. но ее очень не просто будет контролировать
10:02
быть может при создании ролей указывать что вот этосписок плохосовместимых ролей
10:03
и завдавать весовые коэффициенты совместимости. но это очень усложняет схему, хотя и добавляет гибкость
10:03
zi_rus: йопт :)
10:05
так, я вернулся с обеда
10:09
freeee: ты обкурился
10:10
ок. расказывай как надо
10:10
ты не знаешь какие роли должны быть на железке но предлагаешь их дискаверить
10:10
я не знаю какие должны быть роли да
10:11
ты тасуешь роли между железками, но пытаешься избежать ручной работы
10:11
но тем неменее я делаю и развиваю скрипты get_caps
10:11
и отдаю их в паблик что бы узнавать что на длинке вдруг появился bgp
10:12
что значит я тасую роли между железяками ?
10:12
по моему опыту, роли на железки назначаются единожды и дальнейшая работа сети, дальнейшее развитие сети пляшет от этого дизайна
10:12
все
10:13
сеть построена или как минимум спланирована
10:13
хорошо. давай уйдем от слова роли
10:13
роли распределены
10:13
начинается настройка
10:13
и придем к слову сервисы
10:13
сервисы тоже ограничены
10:13
и определяются на этапе дизайна
10:13
но маркетинг хочет новые сервисы
10:14
по десять новых сервисов в месяц?
10:14
нет такого
10:14
на маленькой сети можно поизъебываться, но там нет проблемы
10:14
а на большой это многоэтапный процесс
10:14
"по моему опыту, роли на железки назначаются единожды"
10:14
по моему (очень скромному пока) --- нет, железка сначала может быть доступом, затем на нее включить юрика, а затем и вовсе пустить транзитом трафик на другой узел
10:15
и участие нока только в самом конце, на этапе реализации
10:15
TSergey: и при этом она останется доступом
10:15
но настройки на ней изменятся трижды
10:15
но валидировать ее надо уже по другому
10:15
с соответсвующим профилем и валидатором
10:15
да ни хера
10:16
именно трижды и изменятся настройки
10:16
включеноие толстого брика может привести к тому что на ее порту появится qiniq настройки
10:16
которых быть не должно для свитча доступа
10:16
кто-то сказал слово сервисы
10:16
а если валидаторы накручивать на типы заявок?
10:16
freeee: это отсутствие дизайна сети, если включение одного клиента ведет к тотальному реконфигу
10:16
dvolodin: только не это
10:16
ты не должен был прочитать именно эту строку
10:17
именно ее я и прочитал
10:17
одну
10:17
:)
10:17
теперь все рухнуло
10:17
zi_rus: на свитче дотсупа не должно быть qiniq это нормально
10:17
но клиент вязл и купил.
10:17
валидация как примочка к ordering? :)
10:18
железяку тотально переконфигурили
10:18
6 строк новых.
10:18
freeee: это уже обсуждали. валидатор в профиле интерфейсов
10:18
и поставили на мониторинг в спец сислог и спец трапилку
10:19
которая отдает данные в vip мониторинг
10:19
эм...
10:19
и тем неменее
10:19
даже циска не делает отправку трапов на особые сервера пер-порт
10:19
есть единый мониторинг
10:19
в идеале сам нок
10:20
и все
10:20
зирус ты не разу не сталкивался с действительно большими юриками.
10:20
у нас под некоторых таких спец отдел поддержки создали
10:20
у меня был особый профиль в ноке VIP, я его руками вешал на особые порты
10:20
еще раз ОТДЕЛ ПОДДЕРЖКИ
10:21
ВЫДЕЛЕННЫЙ
10:21
БЛЯТЬ, БЛЯТЬ, БЛЯТЬ
10:21
у них все своё.
10:21
им им нахуй не нужны все свитчи.
10:22
только несколько сотен по всем городам
10:22
у нас такие называются "федеральные клиенты"
10:22
dvolodin: у нас тоже. но прецедент уже создан.
10:22
есть вот отдел такой поддержки.
10:23
ну и чего
10:23
ну есть
10:23
сейчас то с ними ты что делаешь
10:23
тотальный реконфиг железяки.
10:23
поесть появление фичи прямо ведет к другой валидации.
10:23
и ты считаешь что это нормально
10:24
я не считаю что это нормально
10:24
что все должны делать также
10:24
но это требование бизнеса
10:24
у тебя есть пирули ;)
10:24
валидация и пирули не связанные вещи
10:24
ты сам из нока все что угодно можешь сделать
10:24
связанная
10:24
чтобы не реконфигурить железки
10:25
есть точка входа
10:25
и она разруливает твои бизнес-заебы\
10:26
не надо реконфигурить железки, это ебанатство, потом при проблеме концов не найдешь
10:26
есть феодальные клиенты, определил их и по метке сделал обработку с ноке
10:27
несколько сотен свитчей из более чем 200к
10:27
пришла авария по порту такого клиента - форварднул на спец отдел
10:27
делается скриптом
10:27
каким скриптом ?
10:28
их поделючает какой то инженер в городе
10:28
он подключил и все. забыл.
10:28
один раз придумать и потом похер хоть 100500 из 500к свичей таких
10:28
я как об этом должен узнать ?
10:28
как-то узнаешь для перенастройки свича
10:29
zi_rus: не задумывался, что ты советуешь как что-то делать, не имея опыта конкретной ситуации? ну типа мы просто другие пользователи нока, с другим набором оборудования, с другим набором бизнес-задач?
10:29
это сделал другой инженер в тп или в городе
10:29
TSergey: не важно какой есть опыт, важно наличие здравого смысла
10:29
я про такого клиента и не узнаю вовсе. и валидатор отпработав придет не мне. а комуто другому
10:30
zi_rus: ну так-то да, или ты ошибаешься про опыт и переоцениваешь здравость :)
10:30
zi_rus: ладно я понял. ты просто еще не сталкивался с такими задачами.
10:33
TSergey: есть херова туча контор, все работают по-разному, но домен у них на винде и работает он по майкрософтовским правилам
10:34
zi_rus: я с тобой полностью согласен, просто допусти что ты можешь ошибаться или не до конца понимать необходимость того или иного действия
10:34
как и любой другой спец
10:34
freeee: ты натягиваешь сову на глобус. у вас там творится какая-то херня и в соответствии с ней ты пытаешься вшить в нок свою логику, когда должен быть достаточный базис, а для своих заебов ты сам сделаешь обвес
10:35
TSergey: я признаю логичные аргументы, я таких не услышал, почему надо делать так, а не иначе. тут сидит сорок человек, но так как рассказывает freeee нужно только ему
10:36
zi_rus: я как раз не пытаюсь вшивать никакую жетскую логику
10:36
даже dvolodin такого не преложил, а уж от него я тоже наслушался норкомании
10:36
она вся мягкая и поддатливая
10:37
очень здравое предложил freeee, только нереализуется то никогад, так что можно расслабиться
10:37
просто я решаю вопрос исходя из действительного опыта того как это работает
10:37
TSergey: если оно нереализуемо, значит здравого там чуть меньше чем ничего
10:37
у меня валидаторы внедрены уже пару тройку лет
10:37
у меня тоже есть свои, кривенькие
10:37
и я имею опыт эксплуатации их
10:38
а еще у тебя сеть которая не имеет дизайна
10:38
эм. странный вывод.
10:39
zi_rus: а ты неприятная личность :)
10:39
если роли твоих железок не определны и каждодневно меняются
10:39
некоторые сервисы появляются а некоторые исчезают
10:39
при чем тут дизайн ?
10:40
модель предоставления сервисов - часть дизайна сети
10:41
TSergey: то есть и у тебя аргументы закончились, но почему-то виноватым считают меня
10:41
мне не нравится твой тон, а аргументы я понимаю и твои и freee
10:41
zi_rus: почему вдруг новые сервисы то не появляются я понять не могу ?
10:42
TSergey: ты видишь буквы, а не интонацию
10:42
пришел маркетинг и сказал надо сделать 100 мбит до яндекса
10:42
zi_rus: сделай одолжение, скажи что таоке дизайн сети, в рамках вот твоей фразы?
10:42
*такое
10:42
это новый сервис
10:42
его надо разработать. и внедрить
10:42
цикл внедрения пару месяцев.
10:43
где то уже внедрили
10:43
где то у яндекса прописать 3 сетки в acl
10:43
где то четыре
10:43
спустя полгода у яндекса появился еще одна подсеть
10:43
какие 100 мбит до яндекса?
10:43
л3 впн?
10:43
л2 канал?
10:44
интернет
10:44
пиринг
10:44
нет. всем пользователям 100 мбит внезависимости от тарифа
10:44
новоле направление
10:44
*новое
10:44
так вот спустя полгода я просто в найстройках валидатора скажу что есть 5 сетей
10:44
или даже лучше просто поставлю сети яндекса в ipam отметку о том что она должна быть в этой acl
10:45
и на всех железяках валидатор проверит этот acl
10:45
зачем тебе сети яндекса в твоем ипаме?
10:45
потому что все сети использованные в конфигах должны быть описаны в ipam
10:45
ну и все
10:46
в валидаторе для браса вставляешь эти строчки
10:46
или ты по приходу менеджера ASBR под брас перестраиваешь?
10:46
а при чем тут брас ?
10:47
он только ~20% мест где указаны эти сети
10:47
сколько у нас длинна строки максимальная для атребута объекта МО ?
10:48
TSergey: дизайн это сложный термин, определяет как должна строиться сеть, от общих принципов, до конкретных настроек, в том числе там определяется модель предоставления различных сервисов
10:49
да блин. новые сервисы то чо ?
10:49
это не новый сервис
10:49
3 года назад мы разобрали трафиковый доступ в интренет
10:49
это модификация существующего
10:49
все он стал ненужен
10:49
нам надо валидировать его отсуствие
10:49
zi_rus: и говоря что отсутствует дизайн сети, ты имеешь ввиду, что вся сложность не реализована
10:50
нет, я говорю что настройки на оборудовании не соответствуют единому подходу
10:50
при эксплуатации такой сети будут постоянные проблемы
10:51
потому что ты никогда не будешь знать ожидаемого поведения от конкретной железки
10:51
либо каждый раз это придется перепроверять
10:51
что катастрафически увеличивает сложность обслуживания
10:51
вот пусть вадидатор и провряет
10:51
он для этого и нужен
10:52
валидатор должен быть настроен по шаблону
10:52
шаблон определен дизайном
10:52
отсутсвие жалоб от валидатора означает что я должен руководствоваться последней версией дизайна
10:53
роли железок также определяются дизайном
10:53
то
10:54
асбр это асбр а не брас
10:54
Илья, ты - перфекционист.
10:54
дык вот бизнес к перфекционизму отношения не имеет.
10:55
перфекционизм это к религии больше.
10:55
бизнес нет, а технические решения могут
10:55
и даже должны
10:56
ты определил проблему
10:56
и пытаешься ее решить
10:57
валидаторы позволяют автоматизировать ручную работу
10:57
и подойти к идеалу
10:57
когда обычные люди лажают
10:58
ладно. в пездцу. давай конкретику.
10:58
где должден быть задан параметр bgp таймаут ?
10:58
в валидаторе
10:59
ваилдатор привязан к профилю
10:59
как выглядит валидатор ?
10:59
профиль навешен на мо
10:59
как-то выглядит
11:00
if not (bgp_timeout==30) then: error
11:00
если клиент хочет другой таймаут ?
11:00
dvolodin: добавил бы удаление шасси для объекта у которого сняли "is_managed", вот сейчас тупил почему переставленный не линкуется
11:01
freeee: щзначит судьба
11:01
ты от меня чего хочешь?
11:01
хорошо давай проще.
11:01
мне вообще не надо эти таймауты валидировать
11:02
в настрйоках задан сислог сервер
11:02
как узнать праивльный ли он
11:02
и все ли ожидаемые сислог сервера заданы
11:03
тбе пример показать?
11:03
я делал это
11:03
нет мне не пример показать
11:03
и все ожидаемые нтп сервера и локальных юзеров проверял
11:03
это работает
11:03
мне расказать как выглядит валидатор и как он узнает какой для железяки правильный сислог
11:05
lkz rf;ljq ;tktprb cdjq dfkblfnjh c erfpfyysvb ghfdbkmysvb flhtcfvb
11:05
для каждой железки свой валидатор с указанными неправильными адресами
11:06
что значит свой ?
11:06
у нас валидация же по профилю
11:06
то и значит
11:06
отдельный
11:06
профиль у меня мы уже определились какой
11:06
дял одних железок один профиль
11:07
для других-другой
11:07
вот давай без этого
11:07
а если с такой стороны пойти
11:07
у меня есть в астрахани брас
11:07
на нем 6 сислогов
11:07
текущий набор ролей мы выводим из результатов работы парсера
11:08
а в профиле задаем обязательные и опциональные роли для профиля
11:08
то есть если на свиче доступа выползет BGP -- то это уже ошибка
11:08
zi_rus: каие из них правильные как узнать ? где записаны правильные ?
11:09
dvolodin: согласен.
11:09
такой вариант позвлит мне задать все роли как опциональные
11:09
да
11:09
и отсечь заведомо неверные
11:09
и позволит контролировать уже записать уже внедренные роли
11:09
например, ospf на свиче доступа
11:10
да и вообще L3 на нем
11:10
ну и кто должен знать какие у тебя правильные
11:10
то есть мы берем профиль
11:10
навешиваем на него набор валидаторов и конфигов
11:10
часть валидаторов требует ролей
11:10
берем железку
11:10
парсим конфиг
11:10
прогоняем правила и извлекаем результирующие роли
11:11
как коробочные, так и свои
11:11
если выскочили чудные роли -- поднимаем ошибку, что железка в чудной позе
11:12
хорошо. так годиться
11:12
у нас тогда есть роли, статикой
11:12
они все определены и мы их все знаем
11:13
для них для всех есть настройки
11:13
меня единственное что смущает что мы валидацию делаем на основании конфига.
11:13
в капсах я хотел давать команду и смотреть на ответ.
11:14
валидация конфига на основании конфига, да это очень странно :)
11:14
да. вот этот момент и торозит.
11:15
tckb ;tktprf hf,jnftn yt gj rjyabue - djn 'nj ,eltn cnhfyyj
11:15
если железка работает не по конфигу - это будет странно
11:15
практически для любой внедренной фичи я могу определить ключевую команду. которая бы сказала что вообще эта фича тут есть.
11:16
номер acl-я там или состояние сессии или еще чего то
11:17
dvolodin: приведи примеры ролей
11:17
ну смотри, в clips есть хороший предикат exists
11:17
кроме router bgp/ospf
11:17
для некоторых фич мне надо знато что есть правило номер 150 в ip filter
11:17
другое дело,что в таком случае получается вот такая петрушка
11:17
роли мы берем из коробки или определяем
11:18
там просто имя и описание, это обычная коллекция
11:18
но помимо этого в роли мы определяем правила матчинга
11:21
dvolodin: и что мы имеем на выходе. по-моему роли опять лишняя надсущность над валидатором
11:22
ты разделил процесс на два этапа, но это видимость
11:22
по сути делается тоже самое
11:24
zi_rus: мы имеем на выходе следующее
11:24
роли ты узнаешь от того же парсера, только в одном месте ты выбираешь роли которые хотел бы видеть, а потом отдельно настройки
11:24
если не вводить роли, то придется эти условия повторять по всем валидаторам
11:24
их все равно придется
11:24
zi_rus: парсер про роли ничего не знает
11:25
dvolodin: шта?
11:25
<dvolodin> текущий набор ролей мы выводим из результатов работы парсера
11:32
то есть ты мог бы иметь плоскую структуру с настройками
11:32
а1=1
11:32
а2=3
11:32
и тд
11:32
а в другом создаешь иерархию
11:32
фича АААА
11:33
а1=1
11:33
а2=3
11:33
в любом случае настройки каждой фичи очень вероятно будут мало пересекаться
11:34
то есть оптимизация какая-то полоучится
11:34
но я совершенно не уверен что в этом есть ощущаемые профит
11:38
насчет ощущаемого - не могу сказать
11:39
правила, да, могут упроститься
11:39
самое главное -- во всех правилах под L2 свичем будет пониматься одно и то же
11:39
и не будет разногласий
11:39
эмм
11:40
чую вероятные проблемы
11:40
ладно, делайте как хотите
11:40
я свое слово сказал
12:45
ну что
12:45
дали мне виртуалку
12:45
будем ставить нок
12:48
кровь кишки распидорасило (с)
12:48
анальный секас
12:48
копрофилия
12:48
палится твоя контора
12:48
вот вот прямо вижу как у вас там по углам
12:48
всякие непотребства творятся
12:54
it is possible to integrate in noc an automate generator for config?
12:54
something like netomata
12:54
zi_rus: а потом вы скажете, что NOC плох, в нем нет SS7
12:55
mpanait: django templates :)
12:55
and how i can use it?
12:55
dvolodin: пока что ипам, а там посмотрим как пойдет
12:55
look after Snippets
12:56
but in snippets (who use curently) is an push config
12:58
but for automate generation an config (from an minimal config) - just ip on interface, and configure from an scenario.....standard (build like snippets) or custom
13:10
it is ok
13:10
thx
13:10
and has resolved problems
13:11
:)
13:37
"[17:45] <zi_rus> будем ставить нок" ггг.
13:37
нок почти так же аддиктивен как gpl
13:42
*адиттивен
13:44
а нет все таки я праивльно сначала написал
13:44
аддиктивен
13:47
pfcnfdbkb vtyz ueukbnm gjikst ckjdf
13:47
заставили меня гуглить пошлые слова
13:47
но схерали gpl, ежели бздя?
13:50
кстати, а кто-нибудь тыркал netcrunch? коммерческий который
14:32
freeee: чего ему не нравится на пустой инсталляции pastebin.com/JkKB1MdE
14:33
django.db.utils.IntegrityError: null value in column "description" violates not-null constraint
14:33
миграция не очень
14:46
freeee: я вижу, это апгрейд первый пытаюсь прогнать
14:46
сломать не мог еще ничего
15:02
мля
15:02
и апгрейд начало клинить
15:02
по кругу стал себя перезапускать
15:05
ну ты же не первый год в ноке
21:31
Вопрос пятничный, даром что суббота. Есть сниппет, довольно сложный. Как бы его перелицевать в пируль или просто запускать про расписанию?
21:32
Т.е. нужно либо сниппет в шедулер засунуть, либо из пируля на железку залезать(что кажется не вариант)
Share this page
Share this page: