這幾年對維運人員來說最大的變化可能就是公有雲的出現了,我相信可能很多小伙伴公司業務就跑在公有云上, 因為公司業務關係,我個人接觸公有云非常的早,大概12年左右就是開始使用亞馬遜雲,後來逐漸接觸到國內的阿里,騰訊雲等,隨著公司業務往國內發展,這幾年我們也使用了很多國內的公有雲廠商,所以在雲運維方面也累積了一些經驗,從傳統的實體機到公有雲運維,我個人認為最大的問題就是你能不能用公有雲的思路去思考去實現一個安全穩定、可伸縮和經濟的業務架構。
雲運維是有別與傳統運維的,比如說了解公有雲的都知道安全組的概念,安全組跟防火牆功能很相似,那我的機器是要設定iptables還是要設定安全群組呢?設定了安全群組還要設定iptables嗎?他們有什麼區別?我相信很多人對這些有些困惑,以我個人經驗(因為我接觸亞馬遜後就再也沒有給雲端主機配置過iptables了),我給的建議是如果可以用安全組就不用iptables來管理機器,因為它們有本質的區別:
第一,安全組是在宿主上面的攔截,iptables是在系統層面的攔截,也就是說如果有人想攻擊你,你採用的是安全組方式,這個攻擊包根本就到不了你機器上。
第二,配置iptables是項複雜的工程,如果稍有不慎,後果是毀滅性的,我猜測有過2年運維經驗小伙伴應該有把自己關在主機外面的經歷,如果採用安全組這方面是可控的,即使有問題,基本上也可以快速恢復。
第三,iptables是在每台伺服器上寫大量的重複規則,而且不可以分層去管理這些規則,安全群組是按層來管理機器的安全配置,只需調整你需要改動的部分就可以實現批量去管理機器。
ok,概念就介紹到這裡,接下來我們要上乾貨了,因為給幾百台機器配置不同的安全組也是個大工程,如果你在控制台去操作,我想你會瘋掉,所以這就說到如何去批量管理和操作這些安全組,這裡用到了公有雲提供的API,因為公有云j基本上都有自己的API接口,所以調用他們的API來實現一些自動化操作我認為是每個使用公有雲來架構自己業務的運維必須要學會的,今天我就分享下如何批量給大量機器添加和移除安全組,腳本本身是在qcloudcli的基礎上封裝了一層,腳本如下:
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import subprocess
import json
import sys
import argparse
def R(s):
return “%s[31;2m%s%s[0m”%(chr(27), s, chr(27))
def get_present_sgid(vmid):
descmd = ‘/usr/bin/qcloudcli dfw DescribeSecurityGroups –instanceId ‘ + vmid.strip()
p = subprocess.Popen(descmd, shell=True, stdout=subprocess.PIPE)
output = p.communicate()[0]
res = json.loads(output)
sgid = []
for d in res[‘data’]:
sid = d[‘sgId’]
sgid.append(str(sid))
return sgid
def make_json(vmid,sgid):
pdata = {}
pdata[“instanceId”] = vmid
pdata[“sgIds”] = sgid
pjson = json.dumps(pdata)
return pjson
def add_sgid(vmfile,newsid):
fi = open(vmfile)
for v in fi:
v = v.strip()
res = get_present_sgid(v)
print res
res.append(newsid)
pjson = make_json(v,res)
modcmd = ‘qcloudcli dfw ModifySecurityGroupsOfInstance –instanceSet ‘ + “‘[” + pjson+ “]'”
p = subprocess.Popen(modcmd, shell=True, stdout=subprocess.PIPE)
output = p.communicate()[0]
print output
def remove_sgid(vmfile,newsid):
fi = open(vmfile)
for v in fi:
v = v.strip()
res = get_present_sgid(v)
res.remove(newsid)
pjson = make_json(v,res)
modcmd = ‘qcloudcli dfw ModifySecurityGroupsOfInstance –instanceSet ‘ + “‘[” + pjson+ “]'”
p = subprocess.Popen(modcmd, shell=True, stdout=subprocess.PIPE)
output = p.communicate()[0]
#print output
if __name__ == “__main__”:
parser=argparse.ArgumentParser(description=’change sgid’, usage=’%(prog)s [options]’)
parser.add_argument(‘-f’,’–file’, nargs=’?’, dest=’filehost’, help=’vmidfile’)
parser.add_argument(‘-g’,’–sgid’, nargs=’?’, dest=’sgid’, help=’sgid’)
parser.add_argument(‘-m’,’–method’, nargs=’?’, dest=’method’, help=’Methods only support to add or remove’)
if len(sys.argv)==1:
parser.print_help()
else:
args=parser.parse_args()
if args.filehost is not None and args.sgid is not None and args.method is not None:
if args.method == ‘add’:
add_sgid(args.filehost, args.sgid)
elif args.method == ‘remove’:
remove_sgid(args.filehost, args.sgid)
else:
print R(‘Methods only support to add or remove’)
else:
print R(‘Error format, please see the usage:’)
parser.print_help()這個腳本支援批量增加和刪除某個安全組,-f後面接一個文件,寫入實例的id的列表,-g後面是要增加和刪除的安全組Id,-m後面支援add 和remove操作,就是增加或刪除,腳本整體思路是先找出實例的安全群組列表,然後將新的安全群組Id在列表中加入或移除,腳本就介紹到這裡,歡迎小伙伴們留言交流。
以上是Python如何批次給雲端主機設定安全群組?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
