Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

gRPC-Services für Junos Telemetry Interface

Konfigurieren von gRPC für die Junos Telemetry Interface

Beginnend mit Junos OS Version 16.1R3 auf Routern der MX-Serie und PTX3000- und PTX5000-Routern können Telemetriedaten für verschiedene Netzwerkelemente über gRPC gestreamt werden, einem Open Source-Framework zur Bearbeitung von TCP-basierten Remote-Prozeduraufrufen. Die Junos Telemetry Interface basiert auf einem sogenannten Push-Modell, um Daten asynchron bereitzustellen, wodurch das Abfragen überflüssig wird. Für alle Geräte von Juniper, auf denen eine Version von Junos OS mit aktualisiertem FreeBSD-Kernel ausgeführt wird, müssen Sie das Junos Network Agent-Softwarepaket installieren, das die Schnittstellen zur Verwaltung von gRPC-Abonnements bereitstellt. Für Geräte von Juniper Network, auf denen alle anderen Versionen des Junos OS ausgeführt werden, ist diese Funktionalität in die Junos OS-Software eingebettet. Weitere Informationen zur Installation des Junos Network Agent-Pakets finden Sie unter Installation des Network Agent-Pakets.

Junos Telemetry Interface und gRPC-Streaming werden auf QFX10000- und QFX5200-Switches und PTX1000-Routern ab Junos OS Version 17.2R1 unterstützt.

Junos Telemetry Interface und gRPC-Streaming werden auf den Switches QFX5110, EX4600 und EX9200 ab Junos OS Version 17.3R1 unterstützt.

Bevor Sie beginnen:

  • Installieren Sie Junos OS Version 16.1R3 oder höher auf Ihrem Gerät von Juniper Networks.

  • Wenn auf Ihrem Gerät von Juniper Networks eine Version von Junos OS mit einem aktualisierten FreeBSD-Kernel ausgeführt wird, installieren Sie das Junos Network Agent-Softwarepaket.

  • Installieren Sie OpenConfig für Junos-Modul. Weitere Informationen finden Sie unter Installation des OpenConfig-Pakets.

So konfigurieren Sie Ihr System für gRPC-Services:

  1. Geben Sie die API-Verbindungseinstellung entweder basierend auf der SSL-Technologie (Secure Socket Layer) an.

    Zum Beispiel, um die API-Verbindung basierend auf einem SSL festzulegen:

    Für eine SSL-basierte Verbindung müssen Sie einen namen des lokalen Zertifikats angeben, und Sie können sich auf die Standard-IP-Adresse verlassen (::) um Junos das Abhören aller IPv4- und IPv6-Adressen bei eingehenden Verbindungen zu ermöglichen. Wenn Sie lieber eine IP-Adresse angeben möchten, folgen Sie nachfolgend stp b..

    1. Geben Sie einen lokalen Zertifikatsnamen an. Das Zertifikat kann ein beliebiger benutzerdefinierter Wert aus der Zertifikatskonfiguration sein (hier nicht dargestellt). Der Zertifikatsname sollte in diesem Beispiel verwendet werden jsd_certificate:
      Hinweis:

      Geben Sie den Namen eines Zertifikats ein, das Sie mit der local certificate-name Anweisung auf der [edit security certificates] Hierarchieebene konfiguriert haben.

    2. (Optional) Geben Sie eine IP-Adresse zum Abhören eingehender Verbindungen an. Beispiel 192.0.2.0:
      Hinweis:

      Wenn Sie keine IP-Adresse angeben, wird die Standardadresse von :: zum Abhören eingehender Verbindungen verwendet.

  2. Geben Sie Port 32767 für die Annahme eingehender Verbindungen über gRPC an.
    Hinweis:

    Port 32767 ist der erforderliche Port für gRPC-Streaming für nicht gesicherte und SSL-basierte Verbindungen.

Konfigurieren der bidirektionalen Authentifizierung für gRPC für Junos Telemetry Interface

Ab Junos OS Version 17.4R1 können Sie die bidirektionale Authentifizierung für gRPC-Sitzungen konfigurieren, die zum Streamen von Telemetriedaten verwendet werden. Bisher wurde nur die Authentifizierung des Servers, das heißt des Geräts von Juniper, unterstützt. Nun kann der externe Client, also die Management-Station, die Daten sammelt, auch über SSL-Zertifikate authentifiziert werden. Der JET-Serviceprozess (jsd), der die Interaktion von Anwendungen mit Junos OS unterstützt, verwendet die vom externen Client bereitgestellten Anmeldeinformationen, um den Client zu authentifizieren und eine Verbindung zu autorisieren.

Bevor Sie beginnen:

Um die Authentifizierung für den externen Client zu konfigurieren, das heißt eine Verwaltungsstation, die Telemetriedaten erfasst, die vom Gerät von Juniper gestreamt werden:

  1. Aktivieren Sie die bidirektionale Authentifizierung, und geben Sie die Anforderungen für ein Clientzertifikat an.

    Geben Sie beispielsweise die stärkste Authentifizierung an, die ein Zertifikat und dessen Validierung erfordert:

    Hinweis:

    Standard ist no-certificate. Die anderen Optionen sind: request-certificate, request-certificate-and-verify, require-certificate, require-certificate-and-verfiy.

    Wir empfehlen, die Option nur in einer Testumgebung zu verwenden no-certificate .

  2. Geben Sie die Zertifizierungsstelle an.
    Hinweis:

    Geben Sie für die Zertifizierungsstelle ein auf der Hierarchieebene konfiguriertes Zertifikatsautoritätsprofil [edit security pki ca-profile] an. Dieses Profil wird verwendet, um das vom Client bereitgestellte Zertifikat zu validieren.

    Ein digitales Zertifikat bietet eine Möglichkeit, Benutzer über einen vertrauenswürdigen Drittanbieter zu authentifizieren, der als Certificate Authority (CA) bezeichnet wird. Die Zertifizierungsstelle validiert die Identität eines Zertifikatsinhabers und "signiert" das Zertifikat, um zu bezeugen, dass es nicht gefälscht oder verändert wurde. Weitere Informationen finden Sie unter Übersicht über digitale Zertifikate und Beispiel: Anfordern eines digitalen CA-Zertifikats.

    Geben Sie beispielsweise ein Zertifikatsautorisierungsprofil mit dem Namen jsd_certificate:

  3. Vergewissern Sie sich, dass ein externer Client sich über jsd den Prozess erfolgreich mit dem Gerät von Juniper verbinden kann, und rufen Sie OpenConfig RPCs auf.

    Der externe Client gibt die Anmeldeinformationen für Benutzername und Kennwort als Teil der Metadaten in jeder RPC weiter. Die RPC ist zulässig, wenn gültige Anmeldeinformationen verwendet werden. Andernfalls wird eine Fehlermeldung zurückgegeben.

Versionsverlaufstabelle
Release
Beschreibung
17,4 R1
Ab Junos OS Version 17.4R1 können Sie die bidirektionale Authentifizierung für gRPC-Sitzungen konfigurieren, die zum Streamen von Telemetriedaten verwendet werden.
17.3R1
Junos Telemetry Interface und gRPC-Streaming werden auf den Switches QFX5110, EX4600 und EX9200 ab Junos OS Version 17.3R1 unterstützt.
17.2R1
Junos Telemetry Interface und gRPC-Streaming werden auf QFX10000- und QFX5200-Switches und PTX1000-Routern ab Junos OS Version 17.2R1 unterstützt.
16.1R3
Beginnend mit Junos OS Version 16.1R3 auf Routern der MX-Serie und PTX3000- und PTX5000-Routern können Telemetriedaten für verschiedene Netzwerkelemente über gRPC gestreamt werden, einem Open Source-Framework zur Bearbeitung von TCP-basierten Remote-Prozeduraufrufen.