函数计算自动化运维实战1 -- 定时任务

最新推荐文章于 2024-05-31 09:42:54 发布
最新推荐文章于 2024-05-31 09:42:54 发布
阅读量160 收藏
点赞数
文章标签: 运维 json
原文链接:https://yq.aliyun.com/articles/636911
版权

函数计算

阿里云函数计算是一个事件驱动的全托管计算服务。通过函数计算,您无需管理服务器等基础设施,只需编写代码并上传。函数计算会为您准备好计算资源,以弹性、可靠的方式运行您的代码,并提供日志查询,性能监控,报警等功能。借助于函数计算,您可以快速构建任何类型的应用和服务,无需管理和运维。更棒的是,您只需要为代码实际运行消耗的资源付费,而代码未运行则不产生费用。

函数计算中的TimeTrigger

触发器是触发函数执行的方式。有时候您不想手动调用函数执行,您希望当某件事情发生时自动触发函数的执行,这个事情就是事件源。您可以通过配置触发器的方式设置事件源触发函数执行。

例如,设置定时触发器,可以在某个时间点触发函数执行或者每隔5分钟触发函数一次;函数计算timetrigger

专题传送门 => 函数计算进行自动化运维专题

定时任务自动化场景分析

定时任务示例场景1

某些账号ak需要定期更换,以确保ak安全;
在下面的代码示例中,授权service具有访问kms权限的能力,使用kms,先对一个具有创建和删除ak权限的ak加密密文解密,获取具有创建和删除ak权限的AK, 之后利用这个AK进行ak的创建和删除操作

说明: 除了使用kms加密解密来获取较大权限的AK, 通过函数计算环境变量的设置也是一种很好的方法

操作步骤

注:记得给函数的service的role设置访问kms权限

  • 给函数配置定时器,详情可参考定时触发函数
    image
  • 函数代码(函数计算已经内置了相关sdk,直接使用下面的代码即可)
# -*- coding: utf-8 -*-
import logging, time, json
from aliyunsdkcore import client
from aliyunsdkram.request.v20150501.CreateAccessKeyRequest import CreateAccessKeyRequest
from aliyunsdkram.request.v20150501.DeleteAccessKeyRequest import DeleteAccessKeyRequest
from aliyunsdkkms.request.v20160120.EncryptRequest import EncryptRequest
from aliyunsdkkms.request.v20160120.DecryptRequest import DecryptRequest
from aliyunsdkcore.auth.credentials import StsTokenCredential

# ak Encrypt content
AK_CiphertextBlob = "NmQyY2ZhODMtMTlhYS00MTNjLTlmZjAtZTQxYTFiYWVmMzZmM1B1NXhTZENCNXVWd1dhdTNMWVRvb3V6dU9QcVVlMXRBQUFBQUFBQUFBQ3gwZTkzeGhDdHVzMWhDUCtZeVVuMWlobzlCa3VxMlErOXFHWWdXXXHELLwL1NSZTFvUURYSW9lak5Hak1lMnF0R2I1TWUxMEJiYmkzVnBwZHlrWGYzc3kyK2tQbGlKb2lHQ3lrZUdieHN2eXZwSVYzN2Qyd1cydz09"

USER_NAME = "ls-test" # sub-account name
LOGGER = logging.getLogger()

def handler(event, context):
  creds = context.credentials
  sts_token_credential = StsTokenCredential(creds.access_key_id, creds.access_key_secret, creds.security_token)
  # this demo ecs and function in same region, if not in same region, you need change region_id to your ecs instance's region_id
  clt = client.AcsClient(region_id=context.region, credential=sts_token_credential)
  request = DecryptRequest()
  request.set_CiphertextBlob(AK_CiphertextBlob)
  response = _send_request(clt, request)
  ak_info = json.loads(response.get("Plaintext","{}"))
  if not ak_info:
    return "KMS Decrypt ERROR"
  ak_id = ak_info["ak_id"]
  ak_secret = ak_info["ak_secret"]
  LOGGER.info("Decrypt sucessfully with key id: {}".format(response.get("KeyId","{}")))

  clt2 = client.AcsClient(ak_id, ak_secret, context.region)
  request = CreateAccessKeyRequest()
  request.set_UserName(USER_NAME) # 给子账号ls-test创建AK
  response = _send_request(clt2, request)
  create_ak_id = response.get("AccessKey",{}).get("AccessKeyId")
  if not create_ak_id:
    return
  LOGGER.info("create ak {} sucess!".format(create_ak_id))
  
  time.sleep(10)
  
  request = DeleteAccessKeyRequest()
  request.set_UserName(USER_NAME)  
  request.set_UserAccessKeyId(create_ak_id)
  response = _send_request(clt2, request)
  LOGGER.info("delete ak {} sucess!".format(create_ak_id))
  
  return "OK"
  
# send open api request
def _send_request(clt, request):
    request.set_accept_format('json')
    try:
        response_str = clt.do_action_with_exception(request)
        LOGGER.debug(response_str)
        response_detail = json.loads(response_str)
        return response_detail
    except Exception as e:
        LOGGER.error(e)

定时任务示例场景2

定期检查自己ecs对应暴露的端口,确保安全,比如你的ecs是一个网站服务器,可能只需要对外暴露80端口就行,如果出现0.0.0.0/0这种允许所有人访问的,需要出现报警或者自动修复

操作步骤

注:记得给函数的service的role设置管理ecs权限

# -*- coding: utf-8 -*-
import logging
import json, random, string, time
from aliyunsdkcore import client
from aliyunsdkecs.request.v20140526.DescribeInstancesRequest import DescribeInstancesRequest
from aliyunsdkecs.request.v20140526.DescribeSecurityGroupAttributeRequest import DescribeSecurityGroupAttributeRequest
from aliyunsdkcore.auth.credentials import StsTokenCredential

LOGGER = logging.getLogger()
clt = None

# 需要检查的ecs列表, 修改成你的ecs id 列表
ECS_INST_IDS = ["i-uf6h07zdscdg9g55zkxx", "i-uf6bwkxfxh847a1e2xxx"]

def handler(event, context):
  creds = context.credentials
  global clt
  sts_token_credential = StsTokenCredential(creds.access_key_id, creds.access_key_secret, creds.security_token)
  # this demo ecs and function in same region, if not in same region, you need change region_id to your ecs instance's region_id
  clt = client.AcsClient(region_id=context.region, credential=sts_token_credential)
  invalid_perssions = {}
  for ecs_id in ECS_INST_IDS:
    ret = check_and_modify_security_rule(ecs_id)
    if ret:
      invalid_perssions[ecs_id] = ret
  return invalid_perssions

def check_and_modify_security_rule(instance_id):
  LOGGER.info("check_and_modify_security_rule, instance_id  is %s ", instance_id)
  request = DescribeInstancesRequest()
  request.set_InstanceIds(json.dumps([instance_id]))
  response = _send_request(request)
  SecurityGroupIds = []
  if response is not None:
    instance_list = response.get('Instances', {}).get('Instance')
    for item in instance_list:
      SecurityGroupIds = item.get('SecurityGroupIds', {}).get("SecurityGroupId", [])
      break
  if not SecurityGroupIds:
    LOGGER.error("ecs {} do not have SecurityGroupIds".format(instance_id))
    return 
  
  invalid_perssions = []
  
  for sg_id in SecurityGroupIds:
    request = DescribeSecurityGroupAttributeRequest()
    request.set_SecurityGroupId(sg_id)
    response = _send_request(request)
    LOGGER.info("Find a securityGroup id {}".format(sg_id))
    permissions = response.get("Permissions", {}).get("Permission",[])
    if not permissions:
      continue
    for permission in permissions:
      if permission["Direction"] == "ingress" and permission["SourceCidrIp"] == "0.0.0.0/0":
        LOGGER.error("ecs {0} , SecurityGroup id {1}, have a risk, need fix; permission = {2}".format(instance_id, sg_id, permission))
        invalid_perssions.append(permission)
        
  return invalid_perssions

# send open api request
def _send_request(request):
    request.set_accept_format('json')
    try:
        response_str = clt.do_action_with_exception(request)
        LOGGER.debug(response_str)
        response_detail = json.loads(response_str)
        return response_detail
    except Exception as e:
        LOGGER.error(e)
_miccretti
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
〖Python自动化办公篇㉑〗- python实现邮件自动化 - 定时发送邮件
易编橙 · 终身成长社群,相遇已是上上签!
05-23 4万+
该章节为 [Python自动化办公篇]的最后一章,通过定时任务发送邮件的方式学习定时模块的使用 --> `schedule` 。(该章内容篇幅较少)
〖Python WEB 自动化测试实战篇⑮〗 实战 - 自动化测试的持续集成
热门推荐
易编橙 · 终身成长社群,相遇已是上上签!
06-16 4万+
今天要和大家来聊聊关于自动化测试的持续集成,通过前文的学习,我们的自动化测试框架、测试的思想已经融入到了整体的代码编写过程中了。接下里的下一步就是如何让自动化测试能够像开发一样、敏捷思想一样,能够持续集成的跑起来。可能大家对持续集成还不是太了解,那就先简单的了解一下持续集成的思想吧。.....................
函数计算进行自动化运维专题
阿里巴巴云原生的博客
12-02 1111
前言 通常来说,自动化运维有两种类型的运维方式: 定时的脚本任务, 比如定时更换云服务的 acess key secret , 定时检查 ecs 对外暴露的端口等 报警事件的紧急处理, 比如 ecs 实例发生异常重启 在传统的运维中,对于定时任务的处理通常用crontab脚本来实现,但是一旦管理的机器多了,必定会对脚本进行集中管理,这个时候对集中管理脚本的机器的可用性、脚本里面会散落密码明...
python自动化运维快速入门 pdf 郑征_Python自动化运维快速入门
weixin_39650994的博客
02-04 2672
目 录第一篇 Python与基础运维第1章 自动化运维与Python 31.1 自动化运维概述 31.1.1 自动化运维势在必行 31.1.2 什么是成熟的自动化运维平台 41.1.3 为什么选择Python进行运维 41.2 初识Python 81.3 Python环境搭建 81.3.1 Windows系统下的Python安装 81.3.2 Linux系统下的Python安装 111.4 开发工...
项目实战10.1—企业级自动化运维工具应用实战-ansible
jj1130050965的博客
01-16 763
实战环境:   公司计划在年底做一次大型市场促销活动,全面冲刺下交易额,为明年的上市做准备。公司要求各业务组对年底大促做准备,运维部要求所有业务容量进行三倍的扩容,并搭建出多套环境可以共开发和测试人员做测试,运维老大为了在年底有所表现,要求运维部门同事尽快实现,当你接到这个任务时,有没有更快的解决方式?   项目实战系列,总架构图Linux运维企业架构实战系列 - alonghub - 博客园 一、简单介绍 1、定义   ansible是新出现的自动化运维工具,基于Python开发,集合了众多..
python-自动化运维、办公、爬虫和娱乐
stqer的博客
04-13 2451
自动化 作为一个会一些基本的办公自动化技术的老人,我想告诉大家一件最重要的事情: 你可以学办公自动化,可以学vba,Python,JavaScript,学各种东西都行,但千万记住一点:不要暴露自己的实力。 不要暴露自己的实力。。 不要暴露自己的实力。! 你可以一次合并2000个表格,但不要告诉别人这是你半个小时之内完成的。 要表现出自己是忙了一天才干完这几个项目的样子。 有些活你可以说是熬通宵干完的。 这样单位才知道你的价值。 不然你总是十分钟搞定8000张图片,你的老板就会以为处理8000张图片只需要十
自动化运维工具-Ansible实战指南
chuanghu4145的博客
04-10 650
一:Ansible基础介绍 1、背景 在日常服务器运维中,我们经常要配置相同的服务器配置,前期我们都是一台一台的去配置,这种方法操作主要应对于服务器数量不多且配置简单的情况还可以继续这样操作,如果我们后期维护几百服务器或者几万服务器呢? 我应该怎样去快速配置服务器...
自动化运维Serverless新玩法-- 阿里云函数计算进行自动化运维的姿势
落枫的专栏
09-13 933
前言 通常来说,自动化运维有两种类型的运维方式: 定时的脚本任务, 比如定时更换云服务的 acess key secret , 定时检查 ecs 对外暴露的端口等 报警事件的紧急处理,  比如 ecs 实例发生异常重启 在传统的运维中,对于定时任务的处理通常用crontab脚本来实现,但是一旦管理的机器多了,必定会对脚本进行集中管理,这个时候对集中管理脚本的机器的可用性、脚本里...
网络运维(Python自动化运维)考点
時雨的博客
06-27 2204
自动化运维大学课程的相关考点和知识点,带有案例和详解
Python自动化运维_文件内容差异对比分析
01-20
模块:difflib 安装:Python版本大于等于2.3系统自带 ...#text1_lines=text1.splitlines() # 以行进行分割,便于进行对比 #text2=''' #Hello World. #how are you! #Nice to meet you~ #''' #text2_lin
Linux运维-运维系统服务04-Shell脚本d6-Shell函数与正则表达式-02实战案例3统计web服务的连接状态.mp4
06-20
Linux运维-运维系统服务04-Shell脚本d6-Shell函数与正则表达式-02实战案例3统计web
SQL数据库-规范化函数依赖.ppt
11-21
SQL数据库-规范化函数依赖.ppt
Linux运维-运维课程d2-MySQL基本SQL语句(下)-15-GROUP BY子句之统计函数.mp4
05-31
Linux运维-运维课程d2-MySQL基本SQL语句(下)-15-GROUP BY子句之统计函数.mp4
在WordPress中使用wp-cron插件来设置定时任务
10-23
主要介绍了在WordPress中使用wp-cron插件来设置定时任务的方法,文中给出了几个常用的相关PHP函数和参数,需要的朋友可以参考下
学习整理 docker
最新发布
wonder_dog的博客
05-31 121
nexus。
操作系统 - 输入/输出(I/O)管理
qq_56815564的博客
05-27 989
1、设备的分类I/O设备是指**可以将数据输入计算机的外部设备,或者可以接收计算机输出数据的外部设备**按信息交换的单位分类块设备。信息交换以**数据块为单位,如磁盘、磁带等磁盘设备的基本特征是传输速率较高、可寻址,即对它可随机地读/写任意一块**字符设备。信息交换以**字符为单位,如交互式终端机、打印机等它们的基本特征是传输速率低、不可寻址,并且时常采用中断I/O方式**按设备的传输速率分类低速设备。传输速率仅为每秒几字节到数百字节,如键盘、鼠标等中速设备。
Mac vm虚拟机激活版:VMware Fusion Pro for Mac支持Monterey 1
2401_85140364的博客
05-29 249
相信之前使用过Win版系统的朋友们对这款VMware Fusion Pro for Mac应该都不会陌生,这款软件以其强大的功能和适配能力广受用户的好评,在Mac端也同样是一款最受用户欢迎之一的虚拟机软件,VM虚拟机mac版可以让您能够轻松的在Apple的macOS和Mac的硬件上无缝运行Windows,Solaris,Linux和Netware操作系统。下载地址:https://www.macz.com/mac/800.html?
zabbix自定义监控项
ADY的博客
05-27 895
zabbix自定义监控项
自动化运维shell脚本
09-05
您可以使用Shell脚本编写一些自动化任务,以简化重复的运维操作。 以下是一个简单的示例,展示了如何使用Shell脚本来自动化运维任务: ```bash #!/bin/bash # 检查服务状态函数 check_service_status() { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值