Python批量給雲主機配置安全組

天府雲創發表於2018-01-16
Python

     這幾年對運維人員來說最大的變化可能就是公有云的出現了,我相信可能很多小夥伴公司業務就跑在公有云上, 因為公司業務關係,我個人接觸公有云非常的早,大概在12年左右就是開始使用亞馬遜雲,後來逐漸接觸到國內的阿里,騰訊雲等,隨著公司業務往國內發展,這幾年我們也使用了很多國內的公有云廠商,所以在雲運維方面也積累了一些經驗,從傳統的物理機到公有云運維,我個人認為最大的問題就是你能不能用公有云的思路去思考去實現一個安全穩定、可伸縮和經濟的業務構架,雲運維是有別與傳統運維的,比如說了解公有云的都知道安全組的概念,安全組跟防火牆功能很相似,那我的機器是要設定iptables還是要設定安全組呢?設定了安全組還要設定iptables嗎?他們有什麼區別?我相信很多人對這些有些困惑,以我個人經驗(因為我接觸亞馬遜後就再也沒有給雲主機配置過iptables了),我給的建議是如果可以用安全組就不用iptables來管理機器,因為它們有本質的區別:

第一,安全組是在宿主上面的攔截,iptables是在系統層面的攔截,也就是說如果有人想攻擊你,你採用的是安全組方式,這個攻擊包根本就到不了你機器上。

第二,配置iptables是項複雜的工程,如果稍有不慎,後果是毀滅性的,我猜測有過2年運維經驗小夥伴應該有把自己關在主機外面的經歷,如果採用安全組這方面是可控的,即使有問題,你基本上也可以快速恢復。

第三,iptables是在每臺伺服器上寫大量的重複規則,而且不可以分層去管理這些規則,安全組是按層來管理機器的安全配置,只需調整你需要改動的部分就可以實現批量去管理機器。

ok,概念就介紹到這裡,接下來我們要上乾貨了,因為給幾百臺機器配置不同的安全組也是個大工程,如果你在控制檯去操作,我想你會瘋掉,所以這就說到如何去批量管理和操作這些安全組,這裡用到了公有云提供的API,因為公有云j基本都有自己的API介面,所以呼叫他們的API來實現一些自動化操作我認為是每個使用公有云來構架自己業務的運維必須要學會的,今天我就分享下如何批量給大量機器新增和移除安全組,指令碼本身是在qcloudcli的基礎上封裝了一層,指令碼如下:

#!/usr/bin/env python
 
# -*- coding:utf-8 -*-
 
import subprocess
 
import json
 
import sys
 
import argparse
 
def R(s):
 
return "%s[31;2m%s%s[0m"%(chr(27), s, chr(27))
 
def get_present_sgid(vmid):
 
descmd = '/usr/bin/qcloudcli dfw  DescribeSecurityGroups --instanceId ' + vmid.strip()
 
p = subprocess.Popen(descmd, shell=True, stdout=subprocess.PIPE)
 
output = p.communicate()[0]
 
res = json.loads(output)
 
sgid = []
 
for d in res['data']:
 
sid = d['sgId']
 
sgid.append(str(sid))
 
return sgid
 
def make_json(vmid,sgid):
 
pdata = {}
 
pdata["instanceId"] = vmid
 
pdata["sgIds"] = sgid
 
pjson = json.dumps(pdata)
 
return pjson
 
def add_sgid(vmfile,newsid):
 
fi = open(vmfile)
 
for v in fi:
 
v = v.strip()
 
res = get_present_sgid(v)
 
print res
 
res.append(newsid)
 
pjson = make_json(v,res)
 
modcmd = 'qcloudcli dfw ModifySecurityGroupsOfInstance --instanceSet ' + "'[" + pjson+ "]'"
 
p = subprocess.Popen(modcmd, shell=True, stdout=subprocess.PIPE)
 
output = p.communicate()[0]
 
print output
 
def remove_sgid(vmfile,newsid):
 
fi = open(vmfile)
 
for v in fi:
 
v = v.strip()
 
res = get_present_sgid(v)
 
res.remove(newsid)
 
pjson = make_json(v,res)
 
modcmd = 'qcloudcli dfw ModifySecurityGroupsOfInstance --instanceSet ' + "'[" + pjson+ "]'"
 
p = subprocess.Popen(modcmd, shell=True, stdout=subprocess.PIPE)
 
output = p.communicate()[0]
 
#print output
 
if __name__ == "__main__":
 
parser=argparse.ArgumentParser(description='change sgid', usage='%(prog)s [options]')
 
parser.add_argument('-f','--file', nargs='?', dest='filehost', help='vmidfile')
 
parser.add_argument('-g','--sgid', nargs='?', dest='sgid', help='sgid')
 
parser.add_argument('-m','--method', nargs='?', dest='method', help='Methods only support to add or remove')
 
if len(sys.argv)==1:
 
parser.print_help()
 
else:
 
args=parser.parse_args()
 
if args.filehost is not None and args.sgid is not None and args.method is not None:
 
if args.method == 'add':
 
add_sgid(args.filehost, args.sgid)
 
elif args.method == 'remove':
 
remove_sgid(args.filehost, args.sgid)
 
else:
 
print R('Methods only support to add or remove')
 
else:
 
print R('Error format, please see the usage:')
 
parser.print_help()

這個指令碼支援批量增加和刪除某個安全組,-f後面接一個檔案,寫入例項的id的列表,-g後面是要增加和刪除的安全組Id,-m後面支援add 和remove操作,就是增加或刪除,指令碼整體思路是先找出例項的安全組列表,然後將新的安全組Id在列表中加入或移除,指令碼就介紹到這裡,歡迎小夥伴們留言交流。

相關文章