Hva handler denne artikkelen om?

Artikkelen dokumenterer et praktisk prosjekt der Terraform, Vault og GitLab CI brukes til å automatisere utrulling av Cisco ACI-ressurser på en sikker og repeterbar måte, som del av forberedelsene til CCIE Automation-sertifiseringen.

Hvorfor er Terraform godt egnet for automatisering av Cisco ACI?

Terraform gjør det mulig å definere nettverksinfrastruktur deklarativt, håndtere avhengigheter automatisk og holde oversikt over faktisk tilstand, noe som gir forutsigbare og repeterbare endringer.

Hvordan brukes GitLab CI i løsningen?

GitLab CI orkestrerer Terraform-kjøringer i en kontrollert pipeline med separate steg for planlegging og utrulling, slik at endringer kan gjennomgås før de settes i produksjon.

Hvilken rolle spiller Vault i arkitekturen?

Vault brukes til sikker håndtering av brukernavn, passord og andre hemmeligheter, slik at sensitive data ikke lagres i kode eller konfigurasjonsfiler, men hentes dynamisk ved behov.

Hva er fordelene med en todelt plan/apply-tilnærming?

Denne tilnærmingen reduserer risiko, gir bedre kontroll og gjør det mulig å verifisere endringer før de faktisk påvirker nettverksmiljøet.

Hvordan kan Sicra hjelpe?

Sicra hjelper virksomheter med å etablere sikre og skalerbare løsninger for nettverks- og infrastrukturautomatisering, basert på prinsipper som infrastruktur som kode, sikker tilgangsstyring og robust overvåkning. Les mer om "Nettverk" her > Les mer om "Tilgangsstyring – Identity and Access Management (IAM)" her > Les mer om "Zero Trust-arkitektur" her > Les mer om "Overvåking, feilsøking og logging" her >

[Min reise mot CCIE Automation #6] Automatisering av Cisco ACI-utrulling med Terraform, Vault og GitLab CI

(Denne artikkelen var tidligere en del av Bluetree.no. Siden Sicra og Bluetree har slått seg sammen, er nå innhold fra Bluetree overført til Sicra.)

[Min reise mot CCIE Automation #6] Automatisering av Cisco ACI-utrulling med Terraform, Vault og GitLab CI er del av en serie som dokumenterer min reise mot CCIE Automation. I forrige innlegg jobbet jeg med pipelines for verifisering og utrulling av nettverksendringer. I dette innlegget fokuserer jeg på å automatisere Cisco ACI-utrulling ved hjelp av Terraform og Vault.

Blogg #6

Etter å ha jobbet med pyATS og CI/CD i blogg #5 ønsket jeg å gå dypere inn i infrastructure as code ved hjelp av Terraform, og integrere dette med GitLab CI.

Denne gangen utforsket jeg Terraform for å utrulle og administrere Cisco ACI fabric-ressurser på en tilstandsbasert og repeterbar måte, og integrerte Vault for å håndtere secrets i Nautix-applikasjonen min.

Hvorfor Terraform?

Terraform lar oss beskrive infrastruktur deklarativt. Det er godt egnet til blant annet:

Administrasjon av ACI tenants, VRF-er og EPG-er som kode
Automatisk håndtering av avhengigheter mellom ressurser
Sporing av state for å vite nøyaktig hva som er utrullet
Bruk av løkker og variabler for repeterbare, parameteriserte utrullinger
Sikker håndtering av secrets (Vault)

I stedet for å pushe konfigurasjon manuelt, lar Terraform koden forstå og administrere nettverkets tilstand.

Hvorfor Vault?

Vault gir en sikker måte å håndtere secrets og legitimasjon i automatiseringspipelines.

I dette prosjektet brukes Vault til å:

Lagre ACI-brukernavn og passord sikkert
Levere legitimasjon dynamisk til Terraform uten hardkoding
Rotere secrets uten å måtte endre kode
Kontrollere tilgang til sensitiv informasjon per miljø eller tjeneste

I stedet for å lagre legitimasjon i .tfvars eller Git, sørger Vault for at secrets ikke lekker, samtidig som automatiseringspipelines får tilgang til det de trenger.

Prosjektet i dette innlegget

Jeg opprettet et Terraform-prosjekt for å utrulle ACI-ressurser, integrert i GitLab CI:

Variables (aci.auto.tfvars) – sentraliserte definisjoner for tenants, VRF-er, applikasjonsprofiler og endpoint groups
GitLab CI (.gitlab-ci.yml) – orkestrerer Terraform-kjøringer i en pipeline
Vault-tjeneste – Docker Compose-fil som starter Vault og andre nødvendige tjenester lokalt

Pipeline-flyt:

1. Pipelinen trigges ved å opprette en pipeline

Med nødvendige JOB_METHOD- og miljøvariabler.

image-png-Oct-01-2025-08-16-36-9740-PM

2. Terraform plan-steg

Kjøres automatisk hvis JOB_METHOD er satt til "terraform".
Initialiserer Terraform
Genererer en plan-fil (tfplan) som viser hva som skal opprettes eller oppdateres

3. Terraform deploy-steg

Kjøres manuelt etter at planen er verifisert.
Utfører planen og provisjonerer Cisco ACI-infrastrukturen

Denne stegdelte tilnærmingen sikrer trygge utrullinger og gir mulighet til å gjennomgå endringer før de tas i bruk.

Implementasjon

Mappestrukturen ser slik ut:

pipelines/jobs/setup_aci/

main.tf – Terraform-ressurser, løkker og avhengigheter
aci.auto.tfvars – variabler og legitimasjon for ACI-utrulling

I tillegg er følgende filer oppdatert:

.gitlab-ci.yml – orkestrerer Terraform i CI/CD-pipelinen
docker-compose.yml – starter Vault og andre tjenester for lokal testing

Hvordan det fungerer

La oss gå gjennom det steg for steg.

1. GitLab CI

Filen .gitlab-ci.yml binder arbeidsflyten sammen og bestemmer hvilke steg som kjøres basert på JOB_METHOD-variabelen.

image-png-Oct-01-2025-08-28-17-3758-PM

image-png-Oct-01-2025-08-29-07-9419-PM

Sørger for at Terraform er installert i GitLab runneren.

image-png-Oct-01-2025-08-34-34-6759-PM

Første steg kjøres automatisk (terraform plan) og produserer en plan-fil.

image-png-Oct-01-2025-08-35-49-3622-PM

Deploy-steget (terraform apply) kjøres manuelt og utruller ACI-ressursene basert på planen.

2. Terraform

Prosjektet består av main.tf og aci.auto.tfvars.

image-png-Oct-01-2025-08-40-17-8051-PM

Providers: Cisco ACI provider for ressursopprettelse Vault provider for sikker håndtering av legitimasjon

image-png-Oct-01-2025-08-45-34-1038-PM

Vault-integrasjon: Bruker VAULT_TOKEN-miljøvariabelen (export TF_VAR_VAULT_TOKEN=root-token) for å hente secrets dynamisk.

image-png-Oct-01-2025-08-50-36-9011-PM

Variabler:

TENANT_NAME – navn på ACI tenant ("NAUTIX")
APPLICATIONS – liste over applikasjoner med navn, beskrivelser og endpoint groups
VRFS – liste over VRF-er som skal opprettes under tenant (["RED", "BLUE"])

image-png-Oct-01-2025-08-50-53-6109-PM

image-png-Oct-01-2025-08-54-40-3623-PM

Tenant

Oppretter en ACI tenant med navnet "NAUTIX".

Application profiles

Oppretter én applikasjonsprofil per applikasjon i tenant.
Bruker for_each-løkke slik at Terraform dynamisk oppretter profiler for
- bluetree.no
- upstacked.com

Endpoint groups

Oppretter EPG-er for hver applikasjon.
Itererer over alle endpoint_groups fra locals.endpoint_groups.
Bruker en nøkkel som kombinerer app_name og epg_name for å sikre unike nøkler i for_each.

VRF-er

Oppretter VRF-er for tenant, én per navn i VRFS.
Konverterer listen til et sett for å sikre unike oppføringer.

3. Vault

En ny Vault-tjeneste er lagt til i Docker Compose-filen for å levere sikker legitimasjon til Nautix, uten å eksponere den i kode.

image-png-Oct-01-2025-09-04-41-0784-PM

Hvorfor dette er viktig

I stedet for å konfigurere ACI manuelt får vi nå:

Repeterbare og versjonskontrollerte utrullinger
Enkel skalering ved hjelp av løkker og variabler
Beskyttede secrets med Vault
Automatisk håndtering av avhengigheter mellom tenants, VRF-er og EPG-er
Sikker infrastrukturadministrasjon med Terraform og GitLab CI

Nautix-arkitektur

image-png-Sep-18-2025-08-11-55-2259-AM (1)

Hva skjer videre

I blogg #7 vil jeg fokusere på model-driven telemetry:

Blueprint item 3.4 Designe en model-driven telemetry-løsning basert på gitte forretningsmessige og tekniske krav ved bruk av gNMI dial-in, gRPC dial-out og NETCONF dial-in

Blueprint item 3.5 Opprette YANG model-driven telemetry-abonnementer
3.5.a Identifisere modelelementer og kadens
3.5.b On-change eller event-drevet
3.5.c Optimalisere frekvens
3.5.d Dial-out abonnement
3.5.e Sikre telemetry-strømmer
3.5.f Bekrefte datatransmisjon
3.5.g Identifisere nettverksproblemer og gjøre endringer