使用可程式設計安裝程式

Programmable Installer是一個規範驅動的自動化平台，用於在企業Linux（RHEL系列）和相關基礎設施（VMware vCenter、OpenShift、KVM、空隙式Kubernetes）上部署和操作思科軟體堆疊(包括網路服務協調器(NSO)、Crosswork網路控制器(CNC)、Crosswork資料網關(CDG)和業務流程自動化(BPA))。 該系統將宣告性意圖（YAML規範和可選的指導性意圖生成）與執行（Ansible角色和行動手冊）分離，並使用Python控制平面打包對象、在長時間運行安裝之前驗證捆綁包、準備加密的秘密以及協調驗證閘道。

本白皮書將介紹架構層、主資料流、實施模式（包括混合資料驅動的工件驗證模型）、部署模式（本地、容器化、聯機、空隙）以及驗證和日誌框架。對於交付和平台組織，該平台旨在儘早減少手動工作、表面錯誤配置和缺少二進位制檔案，並在保持特定於環境的引數化的同時，跨產品和拓撲實現自動化標準化。

關鍵字：基礎設施自動化、宣告性部署、Ansible、YAML規範、氣隙封裝、人工製品驗證、Crosswork、NSO、CNC、CDG、BPA、驗證策略、DevOps。

企業安裝的多層網路自動化和協調產品傳統上都是高度接觸式的：運行手冊長，手動步驟多，版本在站點間存在偏差，故障會顯現到整個流程中（缺少NED、錯誤的OVA路徑、空隙映像集不完整）。 這種模式增加了成本，延長了更改視窗，並且使稽核更困難。

可程式設計安裝程式將安裝視為由規範引數化的程式：拓撲、版本、平台選擇（vCenter與OpenShift與vanilla VM）、檔案路徑和授權。自動化在可能的情況下具有等效，可在所有客戶間重複執行，並會預先載入檢查，因此「未就緒」是在安裝群集或產品之前一個快速、明確的結果。

• 宣告：操作員描述必須部署的內容；實戰手冊實現方式。
• 資料驅動驗證：當模式穩定時，每個版本期望的對象來自表和規則，而不是臨時指令碼。
• 策略控制品質：部署前和部署後驗證在分層策略下運行，具有結構化報告和可選的故障單整合。
• 多模式操作：為首次使用者提供互動式選單；CLI和凍結的二進位制檔案，用於辭彙/光碟形式的重複；用於標準化運行時映像的基於Docker的流。

1. 說明明示意圖；它們可以引用路徑和非機密引數。秘密必須流經Ansible Vault工作流程，而不是可避免的純文字檔案規範欄位。
2. 物品儲存必須受到完整性保護；驗證重點在於線上狀態和命名與規範的一致性 — 在策略需要時，擴展組織控制（校驗和、帶符號的捆綁包）。
3. 安裝程式到目標的SSH是高許可權路徑；安裝程式主機受到危害影響極大。強化和訪問控制是操作先決條件。

1. 宣告性優先：YAML中的使用者意圖；自動化對其進行一致的解釋。
2. 規劃和執行分離：Python計畫、驗證和協調入口；Ansible執行基礎設施和產品步驟。
3. 可組合自動化：站點級行動手冊匯入重點行動手冊（預安裝、Kubernetes路徑、產品安裝）。
4. 漸進式披露：入職互動式設定；用於高級自動化的標籤和指令碼。
5. 相同的代碼庫、多個運行時間：本機AlmaLinux/RHEL路徑和基於Docker的路徑共用一個儲存庫佈局。
6. 顯式氣隙支援：在相連機器上封裝；轉讓套件組合；安裝前提條件並在公共網路上無運行時依賴關係進行部署。

1. 軟體包流程：必備工具將檔案下載或暫存到特定位置，可選擇為離線安裝生成可轉移的跟蹤球。
2. 驗證流程：協調器分析規範，解析預期對象（包括平台過濾器和權利清單），並在安裝前準備就緒/缺少報告。
3. 部署流程：Spec plus保管庫（和可選的預驗證）根據從專案生成的清單驅動Ansible手冊。

規範是描述平台（例如vCenter、OCP、VM、KVM）、主機、帶版本的應用程式、拓撲（例如NSO CFS/RFS佈局）、授權（NED和附加包）以及OVA、qcow2映像和應用程式層目標的檔案路徑的YAML文檔。

特定應用程式user_spec為CNC/CDG提供預設值和路徑回退。協調器的解析器將使用者規範視為真值來源，並在使用者鍵缺失時使用公用規範條目。

意圖生成器通過一組調查表、一個規則引擎(日期驅動邏輯)和到intent.yaml的模式支援對映。 

協調器是指令碼化或互動式generate-intent、verify-bundle和install coordination的單一條目。其設計明顯是混合的：

• ARTIFACT_DEFS：為每個應用程式宣告對象型別和命名模式(NSO安裝程式、NED簽名包、可選包；CNC OVA/qcow2/tier tarball;CDG影象；BPA圖表和氣隙影象標籤)。
• APP_CONFIG：將CLI —app值(nso、crossworksuite、bpa)對映到規範資料夾名稱和預設目的檔名。
• 解析器/處理程式：使用使用者規格和通用規格解析CNC/CDG路徑；自定義處理程式涵蓋非統一命名（例如TSDN/DLM）以及圖表路徑和tarball路徑的BPA版本格式。

就緒:AReportaggregates發現的項目；is_readyis true時，在規範分析後沒有丟失所需的檔案。該模組支援通過sys.frozen路徑解析的PyInstaller凍結二進位制檔案。

此元件為專案打包和主機先決條件安裝提供互動式選單和CLI模式：線上、氣隙或自動檢測；包括組合CNC_NSO的多應用程式套件。它填充Ansible和verify-bundle邏輯預期的對象樹。

• 組合：這說明了堆疊的多路徑性質：它匯入不同的Kubernetes載入程式路徑 — 反映不同的產品以不同的Kubernetes載入程式路徑為目標。
• 角色（代表系列）：預安裝（SELinux、防火牆、SSH、登錄檔幫助程式）、k8s_install / rke2、deploy_nso、deploy_cnc、deploy_cdg、deploy_bpa、postinstall、解除安裝和證書續訂幫助程式。所有權和測試最好在角色界限進行管理；巢狀任務資料夾實現子工作流（例如NSO L3 HA）。

→此框架提供分層策略控制(全域性策略應用→階段→單個檢查)、檢查的自動發現、對結構化日誌的增強報告以及可選的JIRA整合。操作員根據用於安裝的同一規格運行部署前或部署後階段，使自動化與適合企業更改規則的品質門相匹配。

典型分支上的指示性刻度：在BPA和NSO之間按照三十次檢查的順序進行檢查(在檢查時使用make list-validation-checkson確認計數)。

從規範中匯出所需的儲存庫變數，在策略下提示或接受密碼，並為Ansible發出加密的group_vars/all_secrets.yaml和儲存庫密碼檔案，從而減少了在行動手冊中的臨時加密嵌入。

• 秘密：優選Ansible Vault加密組變數；在合適的情況下使用保險儲存管理器嚴格模式。
• 安裝程式主機：視為高信任的控制平面；限制訪問和監控。
• 對象：保護採集通道；組織過程可以通過加密驗證來增強verify-bundle。
• 日誌記錄：應用程式和Ansible日誌未部署/日誌/ 

部署前呼叫示例：

cd /opt/cx-installer
python3 validation_checks/run_validation_checks.py -t pre -s specification/your_spec.yaml

 這是一種內部資源調配模式，對於更多的思科應用安裝，遵循相同的原則可劃分儲存庫。 

量化指標（安裝持續時間、缺陷率）特定於組織;各團隊必須參照可比較拓撲上的舊版runbook。

1. ExtendARTIFACT_DEFS(如果需要，還會新增標籤)，包括x_deploy_orchestrator.py。
2. 當命名無法單獨由模式捕獲時，新增acustom控制代碼。
3. 自動下載時，更新setup_cxinstaller_preresq中的打包邏輯。

優先使用聚合角色中的新任務；在邊界明確時引入新角色。Wire playbooks viaimport_playbookor已記錄的入門手冊。在group_vars / vars中保留安全預設值。

更新YAML架構下意圖生成器/架構/和chatbot輸入；確保生成的檔案與APP_CONFIG預期的檔名匹配。

• 更深入的SBOM或影象簽名驗證整合。
• 擴展了CNC/CDG方案的驗證範圍。
• 用於規範連結和Ansible語法檢查的CI引用。

CX可程式設計安裝程式結合了宣告性規範、用於打包和驗證的Python控制平面以及Ansible自動化平面，可在各種基礎架構和連線模型中擴展、可重複地部署Crosswork相關產品。其架構有意將意圖與執行分離，在實際中應用資料驅動的人工預期，並嵌入適合企業交付的驗證和保管庫工作流程。有關完整的操作附件（攻略表、故障排除矩陣、連線矩陣和擴展命令參考），請參閱配套的內部白皮書。

cx-installer/
├── ansible_playbooks/     # ansible.cfg, files/, group_vars/, playbooks/, roles/, vars/
├── apps/                  # App-specific supporting content
├── deploy/                # Python deploy helpers, logging utilities
├── docs/                  # Technical documentation
├── intent-generator/      # Chatbot, rule engine, schemas, output/
├── scripts/               # Docker setup/start, vault_secrets_manager.py, ...
├── specification/         # User specs, samples, common fragments
├── validation_checks/     # Policies, runners, reports
├── cx_deploy_orchestrator.py
├── setup_cxinstaller_prereqs*
├── requirements.txt
└── README.md

安裝後專案焦點（典型）：ansible_playbooks/files/artifaces/、files/bin/、files/charts/、files/images/。

指令碼:cx_deploy_orchestrator.py

環境（典型會話）：

export PYTHONPATH=$(pwd)
export ANSIBLE_CONFIG=$(pwd)/ansible_playbooks/ansible.cfg