前言
這幾年對運維人員來說最大的變化可能就是公有云的出現了,我相信可能很多小伙伴公司業務就跑在公有云上, 因為公司業務關系,我個人接觸公有云非常的早,大概在12年左右就是開始使用亞馬遜云,后來逐漸接觸到國內的阿里,騰訊云等,隨著公司業務往國內發展,這幾年我們也使用了很多國內的公有云廠商,所以在云運維方面也積累了一些經驗,從傳統的物理機到公有云運維,我個人認為最大的問題就是你能不能用公有云的思路去思考去實現一個安全穩定、可伸縮和經濟的業務構架,云運維是有別與傳統運維的,比如說了解公有云的都知道安全組的概念,安全組跟防火墻功能很相似,那我的機器是要設置iptables還是要設置安全組呢?設置了安全組還要設置iptables嗎?他們有什么區別?我相信很多人對這些有些困惑,以我個人經驗(因為我接觸亞馬遜后就再也沒有給云主機配置過iptables了),我給的建議是如果可以用安全組就不用iptables來管理機器,因為它們有本質的區別:
第一,安全組是在宿主上面的攔截,iptables是在系統層面的攔截,也就是說如果有人想攻擊你,你采用的是安全組方式,這個攻擊包根本就到不了你機器上。
第二,配置iptables是項復雜的工程,如果稍有不慎,后果是毀滅性的,我猜測有過2年運維經驗小伙伴應該有把自己關在主機外面的經歷,如果采用安全組這方面是可控的,即使有問題,你基本上也可以快速恢復。
第三,iptables是在每臺服務器上寫大量的重復規則,而且不可以分層去管理這些規則,安全組是按層來管理機器的安全配置,只需調整你需要改動的部分就可以實現批量去管理機器。
ok,概念就介紹到這里,接下來我們要上干貨了,因為給幾百條機器配置不同的安全組也是個大工程,如果你在控制臺去操作,我想你會瘋掉,所以這就說到如何去管理和操作這些安全組了,因為公有云都有自己的API接口,所以調用他們的API來實現一些自動化操作事非常方便的,今天我就分享下如何批量給大量機器添加和移除安全組,腳本本身是在qcloudcli的基礎上封裝了一層,腳本如下:
#!/usr/bin/env python/271183.html">python# -*- coding:utf-8 -*- import subprocessimport jsonimport sysimport argparse def R(s): return "%s[31;2m%s%s[0m"%(chr(27), s, chr(27)) def get_present_sgid(vmid): descmd = '/usr/bin/qcloudcli dfw DescribeSecurityGroups --instanceId ' + vmid.strip() p = subprocess.Popen(descmd, shell=True, stdout=subprocess.PIPE) output = p.communicate()[0] res = json.loads(output) sgid = [] for d in res['data']: sid = d['sgId'] sgid.append(str(sid)) return sgid def make_json(vmid,sgid): pdata = {} pdata["instanceId"] = vmid pdata["sgIds"] = sgid pjson = json.dumps(pdata) return pjson def add_sgid(vmfile,newsid): fi = open(vmfile) for v in fi: v = v.strip() res = get_present_sgid(v) print res res.append(newsid) pjson = make_json(v,res) modcmd = 'qcloudcli dfw ModifySecurityGroupsOfInstance --instanceSet ' + "'[" + pjson+ "]'" p = subprocess.Popen(modcmd, shell=True, stdout=subprocess.PIPE) output = p.communicate()[0] print output def remove_sgid(vmfile,newsid): fi = open(vmfile) for v in fi: v = v.strip() res = get_present_sgid(v) res.remove(newsid) pjson = make_json(v,res) modcmd = 'qcloudcli dfw ModifySecurityGroupsOfInstance --instanceSet ' + "'[" + pjson+ "]'" p = subprocess.Popen(modcmd, shell=True, stdout=subprocess.PIPE) output = p.communicate()[0] #print output if __name__ == "__main__": parser=argparse.ArgumentParser(description='change sgid', usage='%(prog)s [options]') parser.add_argument('-f','--file', nargs='?', dest='filehost', help='vmidfile') parser.add_argument('-g','--sgid', nargs='?', dest='sgid', help='sgid') parser.add_argument('-m','--method', nargs='?', dest='method', help='Methods only support to add or remove') if len(sys.argv)==1: parser.print_help() else: args=parser.parse_args() if args.filehost is not None and args.sgid is not None and args.method is not None: if args.method == 'add': add_sgid(args.filehost, args.sgid) elif args.method == 'remove': remove_sgid(args.filehost, args.sgid) else: print R('Methods only support to add or remove') else: print R('Error format, please see the usage:') parser.print_help()這個腳本支持批量增加和刪除某個安全組,-f后面接一個文件,寫入實例的id的列表,-g后面是要增加和刪除的安全組Id,-m后面支持add 和remove操作,就是增加或刪除,腳本整體思路是先找出實例的安全組列表,然后將新的安全組Id在列表中加入或移除,腳本就介紹到這里,歡迎小伙伴們留言交流。
總結
以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作能帶來一定的幫助,如果有疑問大家可以留言交流,謝謝大家對VEVB武林網的支持。
新聞熱點
疑難解答
