利用python批量給云主機配置安全組的方法教程

更新時間：2017年06月21日 08:44:05 作者：mindg

這篇文章主要給大家介紹了利用python批量給云主機配置安全組的方法教程，文中介紹的非常詳細，對大家具有一定的參考學習價值，需要的朋友們下面跟著小編一起來學習學習吧。

前言

這幾年對運維人員來說最大的變化可能就是公有云的出現(xiàn)了，我相信可能很多小伙伴公司業(yè)務就跑在公有云上，因為公司業(yè)務關系，我個人接觸公有云非常的早，大概在12年左右就是開始使用亞馬遜云，后來逐漸接觸到國內(nèi)的阿里，騰訊云等，隨著公司業(yè)務往國內(nèi)發(fā)展，這幾年我們也使用了很多國內(nèi)的公有云廠商，所以在云運維方面也積累了一些經(jīng)驗，從傳統(tǒng)的物理機到公有云運維，我個人認為最大的問題就是你能不能用公有云的思路去思考去實現(xiàn)一個安全穩(wěn)定、可伸縮和經(jīng)濟的業(yè)務構架，云運維是有別與傳統(tǒng)運維的，比如說了解公有云的都知道安全組的概念，安全組跟防火墻功能很相似，那我的機器是要設置iptables還是要設置安全組呢？設置了安全組還要設置iptables嗎？他們有什么區(qū)別？我相信很多人對這些有些困惑，以我個人經(jīng)驗（因為我接觸亞馬遜后就再也沒有給云主機配置過iptables了），我給的建議是如果可以用安全組就不用iptables來管理機器，因為它們有本質(zhì)的區(qū)別：

第一，安全組是在宿主上面的攔截，iptables是在系統(tǒng)層面的攔截，也就是說如果有人想攻擊你，你采用的是安全組方式，這個攻擊包根本就到不了你機器上。

第二，配置iptables是項復雜的工程，如果稍有不慎，后果是毀滅性的，我猜測有過2年運維經(jīng)驗小伙伴應該有把自己關在主機外面的經(jīng)歷，如果采用安全組這方面是可控的，即使有問題，你基本上也可以快速恢復。

第三，iptables是在每臺服務器上寫大量的重復規(guī)則，而且不可以分層去管理這些規(guī)則，安全組是按層來管理機器的安全配置，只需調(diào)整你需要改動的部分就可以實現(xiàn)批量去管理機器。

ok，概念就介紹到這里，接下來我們要上干貨了，因為給幾百條機器配置不同的安全組也是個大工程，如果你在控制臺去操作，我想你會瘋掉，所以這就說到如何去管理和操作這些安全組了，因為公有云都有自己的API接口，所以調(diào)用他們的API來實現(xiàn)一些自動化操作事非常方便的，今天我就分享下如何批量給大量機器添加和移除安全組，腳本本身是在qcloudcli的基礎上封裝了一層，腳本如下：

#!/usr/bin/env python
# -*- coding:utf-8 -*- 
 
 
import subprocess
import json
import sys
import argparse
 
def R(s):
 return "%s[31;2m%s%s[0m"%(chr(27), s, chr(27))
 
def get_present_sgid(vmid):
 descmd = '/usr/bin/qcloudcli dfw DescribeSecurityGroups --instanceId ' + vmid.strip()
 p = subprocess.Popen(descmd, shell=True, stdout=subprocess.PIPE) 
 output = p.communicate()[0]
 res = json.loads(output)
 sgid = []
 for d in res['data']:
  sid = d['sgId']
  sgid.append(str(sid))
 return sgid
 
def make_json(vmid,sgid):
 pdata = {}
 pdata["instanceId"] = vmid
 pdata["sgIds"] = sgid
 pjson = json.dumps(pdata)
 return pjson
 
def add_sgid(vmfile,newsid):
 fi = open(vmfile)
 for v in fi:
  v = v.strip()
  res = get_present_sgid(v)
  print res
  res.append(newsid)
  pjson = make_json(v,res)
  modcmd = 'qcloudcli dfw ModifySecurityGroupsOfInstance --instanceSet ' + "'[" + pjson+ "]'"
  p = subprocess.Popen(modcmd, shell=True, stdout=subprocess.PIPE)
  output = p.communicate()[0]
  print output
 
def remove_sgid(vmfile,newsid):
 fi = open(vmfile)
 for v in fi:
  v = v.strip()
  res = get_present_sgid(v)
  res.remove(newsid)
  pjson = make_json(v,res)
  modcmd = 'qcloudcli dfw ModifySecurityGroupsOfInstance --instanceSet ' + "'[" + pjson+ "]'"
  p = subprocess.Popen(modcmd, shell=True, stdout=subprocess.PIPE)
  output = p.communicate()[0]
  #print output
 
 
if __name__ == "__main__":
 parser=argparse.ArgumentParser(description='change sgid', usage='%(prog)s [options]')
 parser.add_argument('-f','--file', nargs='?', dest='filehost', help='vmidfile')
 parser.add_argument('-g','--sgid', nargs='?', dest='sgid', help='sgid')
 parser.add_argument('-m','--method', nargs='?', dest='method', help='Methods only support to add or remove')
 if len(sys.argv)==1:
  parser.print_help()
 else:
  args=parser.parse_args()
  if args.filehost is not None and args.sgid is not None and args.method is not None:
   if args.method == 'add':
    add_sgid(args.filehost, args.sgid)
   elif args.method == 'remove':
    remove_sgid(args.filehost, args.sgid)
   else:
    print R('Methods only support to add or remove')
  else:
   print R('Error format, please see the usage:')
   parser.print_help()

這個腳本支持批量增加和刪除某個安全組，-f后面接一個文件，寫入實例的id的列表，-g后面是要增加和刪除的安全組Id,-m后面支持add 和remove操作，就是增加或刪除，腳本整體思路是先找出實例的安全組列表，然后將新的安全組Id在列表中加入或移除，腳本就介紹到這里，歡迎小伙伴們留言交流。

總結

以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對大家的學習或者工作能帶來一定的幫助，如果有疑問大家可以留言交流，謝謝大家對腳本之家的支持。

您可能感興趣的文章: