BPA使用手冊備份和還原v5.1
簡介
裝置配置備份和恢復功能對於管理網路裝置配置至關重要。此功能允許管理員和操作員儲存裝置的當前運行配置,並在需要時恢復該配置。
主要功能
備份和還原具有以下主要功能:
- 自動備份
- 可以定期安排以確保配置備份始終保持最新
- 降低人為錯誤風險並確保一致性
- 版本控制
- 保留多個版本的配置備份
- 跟蹤隨時間推移而發生的更改,如果需要,可以恢復到任何以前的版本
- 集中管理
- 從單個介面管理多個裝置的備份
- 將備份儲存在中央資料儲存中
- 更易於確保所有裝置定期備份
- 安全性
- 加密備份以保護敏感配置資料
- 實施訪問控制以限制哪些人可以建立、修改或還原備份
- 相容性
- 支援各種裝置型別和供應商
- 確保備份和恢復過程與不同的網路硬體和軟體相容
優勢
備份和還原具有以下優點:
- 災難恢復:在出現硬體故障或安全漏洞後快速恢復配置
- 效率:通過自動執行備份和還原過程節省時間並減少錯誤
- 合規性:維護稽核跟蹤和日誌以遵守行業管理法規和政策
- 高枕無憂:可靠的備份使使用者能夠自信地進行更改或更新
元件
支援的控制器和裝置型別
下表提供了備份和還原使用情形的控制器支援清單。
| 控制器 | 最新驗證控制器版本 | 交換矩陣型別 | 作業系統型別 | 支援備份 | 支援還原 |
|---|---|---|---|---|---|
| 網路服務協調器(NSO) | v6.4 | 不適用 | IOS, IOS XE, IOS XR, NX-OS, Netconf | 是 | 是 |
| 跨網路控制器(CNC) | v6.0 | 不適用 | IOS、IOS XE、IOS XR、NX-OS | 是 | 是 |
| Nexus儀表板光纖控制器(NDFC) | v3.0.1/Fabric 12.1.3b 在v3.2.1e/Fabric v12.2.2中完成備份和還原特定驗證 |
傳統Lan、vXLAN | NX-OS | 是 | 是 |
| Cisco Catalyst Center | v2.3.5 | 不適用 | IOS XE、IOS XR | 是 | 否 |
必要條件
本節中的先決條件對於有效使用合規性和補救用例是必需的。
- 上傳備份和還原使用案例的訂閱權利金鑰。如需詳細資訊,請參閱訂閱管理。
- 板載,並使相關控制器作為BPA Asset Manager的一部分可用。有關詳細資訊,請參閱BPA使用手冊的Asset Manager部分。
- 根據客戶要求,將入網資產分組到下一代(下一代)門戶中的資產組中。
組態備份
配置備份包括將裝置的當前運行配置儲存到中央儲存位置。它可以由管理員安排定期運行,也可以由操作員按需運行。與配置備份相關的操作捆綁在Asset Manager UI中。
要觸發按需備份,請執行以下操作:
- 在Assets頁面上,選擇一個或多個裝置。
- 選擇More Options圖示> Device Actions > Backup Config。將開啟Backup Configuration視窗。
- 選擇Policy Name並分配一個自定義標籤。
- 按一下Submit以對所選裝置進行備份。
檢視備份
使用者可以使用View Backups(檢視備份)選項檢視備份的歷史記錄。
- 在Assets頁面上,選擇一個裝置。
- 選擇更多選項圖示> 檢視備份。
在Backups頁籤中,可用的裝置備份顯示其各自的選項。使用者有以下選項:
| 備份選項 | 說明 |
|---|---|
| 檢視備份配置 | 檢視在所選備份日期可用的備份配置 |
| 與當前配置比較 | 將備份配置與運行或裝置當前配置進行比較 |
檢視備份配置
使用者可以在選定的備份日期檢視備份配置。
- 從Backups頁籤中選擇More Options圖示> View Backup Config。將開啟Backup Configuration視窗。
- 檢視備份的組態。
Backup Configuration(備份配置)視窗中提供以下選項:
| 備份配置選項 | 說明 |
|---|---|
| 複製 | 將備份配置複製到剪貼簿 |
| 下載 | 以文本格式下載備份配置 |
| 還原 | 啟動還原備份配置 |
與當前配置比較
使用者可以將備份配置與裝置的當前或運行配置進行比較。
- 在Backups頁籤中,選擇More Options圖示> Compare with Current Config。Compare With Current Config視窗開啟。
- 檢視比較。
Compare With Current Config視窗中提供了以下選項:
| 與當前配置選項比較 | 說明 |
|---|---|
| 還原 | 啟動還原備份配置 |
還原備份裝置配置
要恢復備份配置,請執行以下操作:
- 在「Compare with Current Config」視窗中,按一下Restore。系統會顯示確認。
- 按一下「OK」(確定)。系統隨即會顯示「Configuration Restore」頁面。
配置恢復
配置恢復涉及將以前儲存的配置應用到裝置。執行此操作可從配置錯誤或故障中恢復,或在測試更改後快速恢復到確認完好的配置。
配置恢復使用案例包括以下功能:
此應用程式遵守訂閱管理強制規定,如果證書中提供了萬用字元或CFGBNR權利代碼,則呈現此應用程式。
恢復作業清單
Configuration Restore頁籤顯示由使用者執行的裝置配置恢復作業的清單,按開始日期和時間以降序排序。預設情況下,該清單顯示當前月份的作業。使用者可以通過選擇篩選器圖示來更新日期範圍篩選器以檢視舊作業。在頁面頂部,使用者可以找到包含作業總數、使用者任務總數的摘要和具有狀態資訊的圖表。在左滑軌中,使用者可以按照關鍵過濾器引數(如控制器型別、控制器和策略名稱)過濾作業清單。
啟用後,如果清單中至少有一個正在運行的作業,自動刷新切換允許配置恢複資料每30秒自動更新一次。
使用者任務詳細資訊
如果Tasks列值大於零並用於開啟「使用者任務詳細資訊」對話方塊,則會顯示使用者任務圖示。在「使用者任務詳細資訊」(user task details)對話方塊中,按一下「任務名稱」(Task Name)列下的選項開啟使用者任務的視窗。檢視預檢查是使用者任務,如下例所示。
在檢視預檢查視窗中(如上例所示),使用者可以通過按一下繼續、重試或取消來檢視任務詳細資訊並確定任務的後續步驟。
里程碑摘要
更新的NDFC VXLAN執行里程碑
執行流程已更新,在初始階段與除NDFC VXLAN交換矩陣之外的所有方案的預檢查執行之間包括四個新的里程碑。這一更新過程遵循了上圖所述的步驟。
更新的流程明細包括:
- 初始化:開始為後續步驟奠定基礎的流程。
- 還原型別選擇:選擇要執行的還原操作的型別。
- 還原預覽:檢查恢復計畫,然後繼續。
- 還原意圖:確認打算恢復,確保包括所有必要的元素。
- 配置預覽:在執行之前,預覽配置以驗證所有設定。
- 執行預檢:執行執行前檢查以確保環境準備就緒。
- 配置部署:以前稱為「執行還原」,這是部署配置的最後一步。
- 檢查裝置狀態:訪問裝置的狀態控制面板以檢視其當前運行狀態,包括正常運行時間、運行狀況和效能指標。
- 執行Post檢查:進行任何配置更改或更新後,執行後期檢查以確保所有系統均按預期運行。
- 檢視分析差異:訪問「分析」部分並選擇「差異」選項以檢視預檢查和後檢查之間的差異。
使用者可通過按一下「里程碑」(Milestone)列中的值來檢視所有里程碑詳細資訊。下節將概述里程碑詳細資訊。
里程碑詳細資訊
- 初始化:第一個里程碑步驟必須先收到所需資料,然後才能繼續恢復里程碑流程。如果使用者已在恢復策略中提供其他前置模板或後置模板,則里程碑摘要詳細資訊將顯示在使用者任務中。使用者可以新增詳細資訊並提交表單。
- 還原型別選擇:在NDFC VXLAN過程中,恢復型別選擇里程碑涉及名為「選擇NDFC恢復」的任務:
- 選擇NDFC Restore User Task:
- 恢復所選裝置:此選項允許恢復交換矩陣中的特定裝置
- 恢復整個交換矩陣:此選項允許恢復整個交換矩陣
- 決策點:
- 繼續工作流:如果結果令人滿意,使用者可以繼續執行工作流
- 取消工作流:如果存在疑慮或問題,使用者可以取消工作流以進行必要的調整
- 選擇NDFC Restore User Task:
- 還原預覽:「檢視還原預覽」任務是NDFC VXLAN流程中的一個關鍵步驟,在此流程中,使用者會看到還原預覽結果,以便在繼續操作之前進行徹底檢查。此任務適用於以下工作流程:
- 檢視還原預覽使用者任務:
- 通知:使用者將收到「檢視還原預覽」任務的通知
- 檢視還原預覽結果:使用者可以檢視還原預覽的結果,從而提供有關還原操作的見解
- 決策點:
- 繼續工作流:如果結果令人滿意,使用者可以繼續執行工作流
- 取消工作流:如果存在疑慮或問題,使用者可以取消工作流以進行必要的調整
- 檢視還原預覽使用者任務:
- 配置預覽:NDFC VXLAN進程中涉及檢視配置預覽結果的特定使用者任務。此任務為使用者提供評估計畫配置更改的關鍵機會。該任務的結構如下:
- 配置預覽使用者任務:
- 通知:將任務通知使用者以檢視配置預覽結果
- 檢視配置預覽結果:將向使用者詳細預覽計畫部署的配置
- 決策點:
- 繼續工作流:如果配置正確且符合預期,則使用者可以繼續執行工作流
- 取消工作流:如果存在差異或疑慮,使用者可以在繼續之前取消工作流以解決問題
- 配置預覽使用者任務:
- 執行預檢:已執行前或後模板,並提供執行結果。
- 檢視預檢:使用者可以通過按一下繼續、重試或取消來檢視任務詳細資訊並確定任務的後續步驟。但是,如果使用者在恢復型別選擇里程碑期間選擇Restore Entire Fabric,則會對該結構下的所有裝置執行預檢查。
- 票證:如果使用者已在還原策略中啟用票證並且擁有外部票證系統(如ServiceNow)及其流程工作流,則該選項可用。此外,如果為外部票證系統配置了介面卡,它將呼叫票證子流程。
完成子流程後,工作流將進入下一個里程碑。
- 檢視PreRestore Config差異:包含將備份配置與運行配置進行比較的使用者任務
- 執行還原:進行裝置配置恢復過程
- 檢查裝置狀態:還原過程完成後,將檢查裝置的連線和配置同步
- 檢視PostRestore Config Diff:還原過程完成後,使用者可以檢視運行配置和備份配置之間的比較
- 執行後檢查:已執行前或後模板,並提供執行結果
- 檢視後檢查:系統隨即會顯示使用者任務。使用者可以通過按一下繼續、重試或取消來檢視任務詳細資訊並確定任務的後續步驟。如果使用者選擇Restore Entire Fabric for NDFC VXLAN,則會對該交換矩陣下的所有裝置執行後期檢查。
- 檢視分析差異:系統隨即會顯示使用者任務。使用者可以檢視檢查前和檢查後執行的比較;完成「檢視分析差異」里程碑後,還原過程完成。如果使用者選擇Restore Entire Fabric for NDFC VXLAN,則會對該交換矩陣下的所有裝置執行預後比較。
還原作業詳細資訊
在Configuration Restore頁籤中,使用者可以按一下一行檢視還原作業的詳細資訊,例如:
- 作業中的使用者任務
- 完成百分比
- 工作流里程碑
- 狀態和工作流程執行詳細資訊,例如檢查前和檢查後的命令輸出
Milestone Status部分提供檢視附加到不同里程碑的現有內容的選項。預設情況下,以下內容可用:
- 執行預檢查的輸出
- 執行後檢查的輸出
- View AnalyticsDiff輸出
管理員應用程式
備份和還原框架使裝置配置備份能夠從各種控制器獲取,並儲存在可配置的資料儲存中。此框架還支援基於工作流程的方法,以便恢復特定裝置上的備份配置。Backup and Restore Administrator應用程式具有以下元件:
- 政策
- 計畫
- 裝置組態 — 上傳
- 備份歷史記錄
- 目標儲存庫
- 目標外掛
政策
策略是在運行備份和還原流程時要遵守的後設資料定義。
Policies頁籤提供系統中所有可用策略的網格檢視,以及新增、編輯、刪除、上載和下載策略的選項。策略可以從一個環境下載並上傳到另一個環境。
新增或編輯策略
Policies頁籤包括以下鍵欄位:
- 策略名稱:策略的名稱(必須是唯一的)
- 活動:啟用時,策略處於活動狀態;如果未啟用,則不會向使用者顯示策略以進行備份,並且會禁用所有相應的計畫
Backup Details部分包括以下欄位:
- 目標回購:儲存備份的目標儲存庫
- 最大保留計數:每台裝置要保留的備份總數;一旦達到此值,就會刪除舊裝置備份
- 遮蔽敏感資料的模式:可用於在顯示期間遮罩敏感資料的圖案清單;這不會更改儲存的配置
- 忽略模式:比較兩個配置時可用於忽略線路的模式清單;在建立校驗和時使用,以決定上一個備份和當前備份是否相同,且不更改儲存的配置
- 壓縮:啟用時,備份在儲存之前會被壓縮
- Encrypt:啟用後,備份在儲存之前會被加密
Restore Details部分包括以下欄位:
- 還原工作流:還原過程中執行的工作流
- 控制器型別:策略適用的控制器型別(例如,資料中心網路管理器(DCNM)、NSO)
- 模板:可以新增一個或多個前或後模板和/或分析模板;在還原工作流期間用於驗證
- 篩選條件(標籤):可使用標籤篩選還原工作流和模板
- 預檢查模板:僅用於預檢查的模板清單
- Post Check模板:僅用於後檢查的模板清單
- 啟用票證整合:實現票證系統整合;使用案例提供與ServiceNow系統的開箱即用整合
計畫
計畫是根據策略建立的。使用者可以選擇裝置清單並選擇備份裝置的時間。計畫可以是一次性的,也可以是定期的。
Schedules頁籤列出了系統中配置的所有計畫。管理員可以選擇新增、編輯和刪除計畫。
新增或編輯計畫
Schedules頁籤具有以下關鍵欄位:
- 計畫名稱:用於標識排程的唯一名稱
- 策略名稱:使用此計畫進行備份時使用的策略
- 標籤:要附加到此計畫中的所有備份的可選標籤
- 資產組:要備份的資產組(即裝置清單)
- 「計畫詳細資訊」和「計畫重複」部分:包含用於定義各種計畫引數的欄位,例如開始日期和時間、重複模式(包括Cron)和結束日期
Device Config - Upload
在Device Config - Upload頁籤中,使用者可以上傳包含一個或多個裝置配置的.tar.gz或.tgz檔案,將其另存為配置備份。
上傳檔案結構如下:"sample.tar.gz" > "sample.tar" > "device-name.txt"
Device Config - Upload頁籤包括以下關鍵欄位:
- 控制器型別:控制器例項所屬的控制器型別(例如DCNM、NSO)
- 控制器:控制器裝置已加入的控制器例項
- 原則:通過此裝置配置上載進行備份時使用的策略
- 標籤:附加到在此裝置配置上載中執行的所有備份的可選標籤
- Files部分:要以.tgz或.tar.gz格式上載的配置檔案
備份歷史記錄
Backup History頁籤提供已完成備份的歷史檢視,並引用其日期、策略、計畫和狀態。
使用者可以檢視每次執行的詳細狀態。
目標儲存庫
目標儲存庫是儲存備份配置資料的資料系統。預配置的預設目標儲存庫是內部資料庫。
Target Repositories頁籤顯示為系統配置的目標儲存庫的清單。管理員可以針對不同的目標型別定義儲存庫例項。
新增或編輯目標儲存庫
Edit Target Repositories視窗具有以下關鍵欄位:
- 目標名稱:儲存庫的名稱
- 目標型別:目標型別的名稱,包含目標型別頁籤中的值列表
- 目標表單:可選目標表單;必須完成要用於此目標儲存庫例項的配置資料(如Adaptor Name、Adapter Version等)
- 目標批處理大小:目標批處理大小
目標外掛
備份和還原框架提供了將外部系統配置為備份配置的儲存的選項。此功能由外掛架構提供支援。每個外掛都實現了一個預定義的介面,該介面包含函式、輸入和輸出引數清單,並且可以在「目標外掛」頁籤中上傳。
新增或編輯目標外掛
Edit Target Plugins視窗具有以下鍵欄位:
- 目標型別:外掛的名稱
- 執行環境:外掛運行的位置;當前僅支援NodeJS
- 上傳外掛程式:要以.tgz或.tar.gz格式上載的外掛檔案;這應該是節點包管理器(NPM)包
備份限制
備份過程利用高級排隊框架(AQF),利用其限制功能實現高效操作。AQF在定時備份期間最佳化了請求處理,確保在定義的限制引數內無縫。
角色和訪問控制
靜態許可權清單
下一代門戶中的配置備份和配置還原頁面支援BPA基於角色的訪問控制功能,具有以下許可權:
| 許可權組 | 動作 | 說明 |
|---|---|---|
| ui-app | restore-jobs.show | 顯示或隱藏還原作業應用程式 |
| 還原作業 | 檢視 | 檢視活動和存檔的恢復作業,包括檢視相應里程碑詳細資訊的能力 |
| restore-config | 管理 | 觸發還原工作流和宣告使用者任務 |
| backup-config | 檢視 | 檢視、比較和下載裝置配置備份 |
| backup-config | 管理 | 觸發裝置配置備份 |
預定義角色
管理員可以根據客戶要求建立或更新角色。此用例具有以下預定義角色:
| 使用者角色 | 說明 | 許可權 |
|---|---|---|
| 備份還原管理員 | 所有備份備份和還原操作許可權允許此使用者使用還原選項許可權 | ui-app:backup-jobs.show、restore-jobs.show 備份作業:檢視 backup-config:檢視,管理 backup-restore-policy:檢視 restore-config:管理 restore-jobs:檢視,管理 |
| 備份還原只讀 | 使用者可以檢視裝置配置、比較配置、檢視備份歷史記錄以及檢視配置恢復作業 | ui-app:backup-jobs.show、restore-jobs.show 備份作業:檢視 backup-config:檢視 backup-restore-policy:檢視 restore-jobs:檢視 |
| 備份操作員 | 使用者可以對允許的裝置進行備份、檢視裝置配置,並與當前配置進行比較 | ui-app:backup-jobs.show, 備份作業:檢視 backup-config:檢視,管理 backup-restore-policy:檢視 |
訪問策略
訪問策略功能可確保使用者具有對特定備份和還原策略以及資產組的適當訪問許可權。此功能允許管理員根據使用者角色和責任定義並實施訪問控制,從而增強安全性和運營效率。訪問策略通過訪問策略頁進行管理,管理員可以在該頁建立、編輯策略並將其分配給使用者或組。管理員可以定義精細許可權,指定每個使用者或組可以檢視、編輯或管理的符合性策略和資產組。這一級別的詳細資訊有助於對敏感資訊和關鍵操作保持嚴格的控制。
在下一代UI中的所有配置備份和配置還原頁上定義訪問策略後,會根據當前使用者有權訪問的備份和還原策略及資產的清單限制資料。
要授予使用者訪問許可權:
- 建立使用者並將其分配給使用者組。
- 建立使用者角色並將其分配給建立的使用者組。
- 將資產新增到資產組。
- 建立資源分配策略資源的資源組。
- 建立訪問策略並選擇相關使用者組、資產組和資源組。
建立資源組
要在「新增資源組」視窗中建立資源組,請執行以下操作:
- 在「資源組名稱」欄位中輸入名稱。
- 從Resource Type下拉選單中選擇backup-restore-policy。
- 選中要提供對使用者組的訪問許可權的所需備份策略的覈取方塊。
- 按一下「Submit」。
建立訪問策略
使用需要授予使用者組許可權的資源組和資產組建立訪問策略。
傳統UI:使用者、組和許可權
傳統UI中的配置合規性應用程式支援具有以下許可權的BPA基於組的許可權功能:
- 檢視策略配置檔案:啟用對配置頁籤(例如Policies、Rules和Blocks)的只讀訪問許可權
- 建立/更新策略配置檔案:啟用對配置頁籤(例如Policies、Rules和Blocks)的完全訪問(例如,讀取和寫入)。
- 檢視作業:啟用對「符合性作業」頁籤及其內容的只讀訪問許可權
- 選擇加入/退出作業:允許對「符合性作業」選項卡及其選項進行完全訪問
- 從符合性摘要檢視執行詳細資訊:啟用從「符合性摘要」頁到「執行詳細資料」頁的向下鑽取
- 從執行詳細資訊中檢視違規詳細信息:啟用從「執行詳細資料」頁中的網格向下鑽取到Device Compliance Details頁
- 從網路摘要網格檢視違規詳細資訊:允許從Network Summary頁中的網格向下鑽取到Device Compliance Details頁
通過Ingester部署工件
使用Ingester框架可以自動載入備份和還原使用案例對象。一旦開發對象,就可以按照以下步驟將其匯出、打包並部署到目標環境中。
- 使用以下命令建立NPM軟體包:
mkdir <> cd < > npm init - 從BPA門戶(傳統UI)匯出配置:
- 導航至BPA Classic UI > Admin > Backup & Restore。
- 匯出策略和目標外掛。
- 按如下方式重新命名匯出的檔案:
- 策略:"<<filename>>.bnrpolicy.json"
- 目標外掛:"<<filename>>.targettype.tgz"
- 封裝Ingester資料(.tgz):
- 將所有匯出檔案複製到步驟1中建立的NPM軟體包中。
- 在NPM包中運行
npm pack命令以建立.tgz檔案。
- 將Ingester資料(.tgz)部署到BPA單節點環境中:
- 將.tgz檔案複製到部署BPA捆綁包的伺服器中的<<BPA核心捆綁>>/packages/data資料夾中。
- 使用
docker restart ingester-service命令重新啟動Ingester伺服器。
- 將ingester資料(.tgz)部署到BPA多節點環境中:
- 將.tgz檔案複製到/opt/bpa/packages/data資料夾,該資料夾位於部署了舵圖的伺服器上。
- 使用
kubectl rollout restart deployment ingester-service -n bpa-ns命令重新部署ingester pod。
API 說明文件
有關備份和還原的API文檔詳細資訊位於傳統UI About視窗中。
疑難排解
問題:裝置備份狀態為「備份無更改」
潛在原因:如果裝置的先前備份配置和當前備份配置之間沒有配置更改,則狀態為「備份無更改」。
問題:系統顯示多個備份,即使配置沒有任何更改
潛在原因:
- 系統會為每個觸發器啟動新的備份執行,即使上次備份的配置沒有任何更改。這意味著系統不會建立新的裝置配置備份;相反,執行操作會引用以前的備份。
- 一旦從裝置檢索到備份,系統將其與先前可用的備份(即兩個備份的校驗和)進行比較,以決定是否儲存新的備份。在許多情況下,備份的日期時間等差異並不明顯,導致同一配置被再次儲存。
分析:檢視並更新備份策略的Ignore patterns部分,以指示系統在比較前應忽略的線路。
問題:NSO控制器裝置的備份狀態為「失敗」
潛在原因:如果未部署ciscoutils NSO軟體包,則NSO控制器裝置的備份將失敗。
分析:確保已在伺服器中成功部署ciscoutils NSO包。
潛在原因:如果未在裝置中啟用SCP配置,則NSO控制器裝置的備份失敗。
分析:確保在裝置中啟用了SCP配置。
請參閱安全殼層組態設定指南(Cisco IOS XE版本3S),以瞭解更多有關為IOS XE裝置啟用安全複製(SCP)的資訊。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
23-Sep-2025
|
初始版本 |
意見