Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Services gRPC pour l’interface de télémétrie Junos

Configuration de gRPC pour l’interface de télémétrie Junos

À partir de Junos OS Version 16.1R3 sur les routeurs MX Series et les routeurs PTX3000 et PTX5000, vous pouvez transmettre des données télémétriques pour divers éléments réseau via gRPC, une structure open source pour le traitement des appels de procédure à distance basés sur TCP. L’interface de télémétrie Junos s’appuie sur un soi-disant modèle push pour fournir des données de façon asynchrone, ce qui élimine l’interrogation. Pour tous les équipements Juniper exécutant une version de Junos OS avec le noyau FreeBSD mis à niveau, vous devez installer le package logiciel Junos Network Agent, qui fournit les interfaces permettant de gérer les abonnements gRPC. Pour les équipements Juniper Network qui exécutent toutes les autres versions de Junos OS, cette fonctionnalité est intégrée au logiciel Junos OS. Pour plus d’informations sur l’installation du package Junos Network Agent, reportez-vous à l’installation du package Agent réseau.

L’interface de télémétrie Junos et la diffusion gRPC sont prises en charge sur les commutateurs QFX10000 et QFX5200, et sur les routeurs PTX1000 à partir de Junos OS version 17.2R1.

L’interface de télémétrie Junos et la diffusion gRPC sont prises en charge sur les commutateurs QFX5110, EX4600 et EX9200 à partir de Junos OS version 17.3R1.

Avant de commencer :

  • Installez Junos OS version 16.1R3 ou ultérieure sur votre équipement Juniper Networks.

  • Si votre équipement Juniper Networks exécute une version de Junos OS avec un noyau FreeBSD mis à niveau, installez le package logiciel Junos Network Agent.

  • Installer le module OpenConfig for Junos. Pour plus d’informations, voir Installation du package OpenConfig.

Pour configurer votre système pour les services gRPC :

  1. Indiquez le paramètre de connexion de l’API en fonction de la technologie SSL (Secure Socket Layer).

    Par exemple, pour définir la connexion d’API en fonction d’un SSL :

    Pour une connexion SSL, vous devez spécifier un nom de certificat local et vous pouvez compter sur l’adresse IP par défaut (::) pour permettre à Junos d’écouter toutes les adresses IPv4 et IPv6 sur les connexions entrantes. Si vous préférez spécifier une adresse IP, suivez stp b. ci-dessous.

    1. Indiquez un nom de certificat local. Le certificat peut être n’importe quelle valeur définie par l’utilisateur à partir de la configuration du certificat (non indiquée ici). Le nom du certificat doit être utilisé dans cet exemple :jsd_certificate
      Note:

      Saisissez le nom d’un certificat que vous avez configuré avec l’instruction local certificate-name au niveau de la [edit security certificates] hiérarchie.

    2. (Facultatif) Indiquez une adresse IP à écouter pour les connexions entrantes. Par exemple, 192.0.2.0:
      Note:

      Si vous ne spécifiez pas d’adresse IP, l’adresse par défaut de :: est utilisée pour écouter les connexions entrantes.

  2. Indiquez le port 32767 pour accepter les connexions entrantes via gRPC.
    Note:

    Le port 32767 est le port requis pour la diffusion en continu gRPC pour les connexions non sécurisées et basées sur SSL.

Configuration de l’authentification bidirectionnelle pour gRPC pour l’interface de télémétrie Junos

À partir de Junos OS Version 17.4R1, vous pouvez configurer l’authentification bidirectionnelle pour les sessions gRPC utilisées pour transmettre des données télémétriques. Auparavant, seule l’authentification du serveur, c’est-à-dire l’équipement Juniper, était prise en charge. Désormais, le client externe, c’est-à-dire la station de gestion qui collecte des données, peut également être authentifié à l’aide de certificats SSL. Le processus de service JET (jsdqui prend en charge l’interaction entre l’application et Junos OS) utilise les données d’identification fournies par le client externe pour authentifier le client et autoriser une connexion.

Avant de commencer :

Pour configurer l’authentification du client externe, c’est-à-dire, une station de gestion qui collecte les données télémétriques transmises à partir de l’équipement Juniper :

  1. Activez l’authentification bidirectionnelle et spécifiez les exigences d’un certificat client.

    Par exemple, pour spécifier l’authentification la plus forte, qui nécessite un certificat et sa validation :

    Note:

    La valeur par défaut est no-certificate. Les autres options sont : request-certificate, request-certificate-and-verify, require-certificaterequire-certificate-and-verfiy.

    Nous vous recommandons d’utiliser l’option no-certificate dans un environnement de test uniquement.

  2. Indiquez l’autorité de certification.
    Note:

    Pour l’autorité de certification, spécifiez un profil d’autorité de certification que vous avez configuré au niveau de la [edit security pki ca-profile] hiérarchie. Ce profil permet de valider le certificat fourni par le client.

    Un certificat numérique permet d’authentifier les utilisateurs par le biais d’un tiers de confiance appelé autorité de certification (CA). L’autorité de certification valide l’identité du titulaire d’un certificat et « signe » le certificat pour attester qu’il n’a pas été contrefait ou modifié. Pour plus d’informations, consultez la présentation des certificats numériques et l’exemple : Demande de certificat numérique d’autorité de certification.

    Par exemple, pour spécifier un profil d’autorité de certification nommé jsd_certificate:

  3. Vérifiez qu’un client externe peut se connecter à l’équipement Juniper via le jsd processus et appeler les RPC OpenConfig.

    Le client externe transmet les identifiants de nom d’utilisateur et de mot de passe dans les métadonnées de chaque RPC. Le RPC est autorisé si des données d’identification valides sont utilisées. Sinon, un message d’erreur est renvoyé.

Tableau Historique des versions
Libération
Description
17.4R1
À partir de Junos OS Version 17.4R1, vous pouvez configurer l’authentification bidirectionnelle pour les sessions gRPC utilisées pour transmettre des données télémétriques.
17.3R1
L’interface de télémétrie Junos et la diffusion gRPC sont prises en charge sur les commutateurs QFX5110, EX4600 et EX9200 à partir de Junos OS version 17.3R1.
17.2R1
L’interface de télémétrie Junos et la diffusion gRPC sont prises en charge sur les commutateurs QFX10000 et QFX5200, et sur les routeurs PTX1000 à partir de Junos OS version 17.2R1.
16.1R3
À partir de Junos OS Version 16.1R3 sur les routeurs MX Series et les routeurs PTX3000 et PTX5000, vous pouvez transmettre des données télémétriques pour divers éléments réseau via gRPC, une structure open source pour le traitement des appels de procédure à distance basés sur TCP.