之前在主產(chǎn)品用過一個(gè)運(yùn)維同事寫的工具呕寝,devpssh。可以通過指定主機(jī)列表來執(zhí)行一條shell命令岗屏,然后獲取到所有的返回結(jié)果,輸出到屏幕上暇屋。
我個(gè)人覺得這個(gè)工具很實(shí)用,尤其是在有多臺Nginx服務(wù)器的時(shí)候,由于負(fù)載均衡策略下联予,不同的請求可能會被下放到不同的get機(jī),因此產(chǎn)生的日志文件就可能分布在多臺機(jī)器上麦向。如果我們一個(gè)個(gè)地到每臺get機(jī)上去執(zhí)行shell語句话告。首先工作量會很大,另外獲取到的結(jié)果也不容易整理病线。而此時(shí)用一下devpssh,就沒有這些負(fù)擔(dān)了惕耕。
在正式介紹如何寫一個(gè)這樣的工具之前挤安,先來看看需要哪些基礎(chǔ)的知識。
- 主機(jī)間信任
- shell腳本
主機(jī)間信任
說到主機(jī)之間的信任,還是要將歷史往前追溯一下。談?wù)凷SH。簡單來說SSH是一種網(wǎng)絡(luò)協(xié)議,用于計(jì)算機(jī)之間的加密登錄。之所以是加密登錄就是應(yīng)為原始的用戶遠(yuǎn)程登錄是明文的助析,一旦被截獲掀泳,信息就泄露了固灵。
SSH是協(xié)議,具體有很多實(shí)現(xiàn)。有商業(yè)實(shí)現(xiàn)的可很,也有開源實(shí)現(xiàn)苇本。不過大致來看瓣窄,用法是一致的俺夕。
先來看看安裝了ssh的機(jī)器有什么不同吧劝贸。
id_rsa是使用RSA算法得到的私鑰
id_rsa.pub是對稱的RSA算法得到的公鑰疙剑。
了解過對稱加密算法的應(yīng)該都知道禁灼,妥善保存好私鑰是一件很重要的事情。
一般來說,第一次使用ssh登錄到遠(yuǎn)程主機(jī)的時(shí)候,會有如下提示信息:
The authenticity of host 'host (12.18.429.21)' can't be established.
RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
Are you sure you want to continue connecting (yes/no)?
這段話的大致意思是說,無法確認(rèn)你即將登錄的遠(yuǎn)程主機(jī)的真實(shí)性送矩,但是可以了解的就只有它的公鑰指紋蚕甥,如果確定要進(jìn)行連接,選擇yes即可栋荸。
然后會出現(xiàn)如下字樣:
Warning: Permanently added 'host,12.18.429.21' (RSA) to the list of known hosts.
然后ssh會提示你使用密碼進(jìn)行登錄了菇怀。正確輸入密碼后,就可以正常的登錄了晌块。這個(gè)時(shí)候爱沟,其實(shí)遠(yuǎn)程主機(jī)的公鑰就被保存到了~/.ssh/known_hosts文件中了。內(nèi)容如下:
其中每一行都代表了一個(gè)曾經(jīng)成功連接過的遠(yuǎn)程主機(jī)的公鑰信息匆背。
但是每次遠(yuǎn)程登錄都需要輸入一遍密碼呼伸,感覺次數(shù)多了,總是感覺有點(diǎn)麻煩。而ssh也支持使用公鑰進(jìn)行登錄括享,這樣就省去了每次登陸都要輸入一遍密碼的步驟了搂根。
具體的做法如下:
將自己的電腦的公鑰發(fā)送到目標(biāo)主機(jī)的.ssh/authorized_keys中,這樣登錄的時(shí)候ssh協(xié)議通過對稱加密铃辖,解密的驗(yàn)證過程剩愧,就可以實(shí)現(xiàn)公鑰登錄了。
這個(gè)對稱加密娇斩,解密大致有這么個(gè)流程仁卷。
- 本地主機(jī)使用ssh進(jìn)行遠(yuǎn)程登錄
- 遠(yuǎn)程主機(jī)借助authorized_keys里面本地主機(jī)的信息生成一個(gè)隨機(jī)字符串發(fā)給本地主機(jī)
- 本地主機(jī)用自己的私鑰將這個(gè)字符串進(jìn)行加密,發(fā)給遠(yuǎn)程主機(jī)犬第。
- 遠(yuǎn)程主機(jī)使用本地主機(jī)的公鑰進(jìn)行 解密锦积,如果成功,身份驗(yàn)證也就通過了歉嗓。
最后來一個(gè)小總結(jié):
- known_hosts里面是已經(jīng)成功遠(yuǎn)程登錄過的主機(jī)的公鑰信息丰介。
- authenrized_keys是已經(jīng)授權(quán)的,可以免密碼登錄到本機(jī)的“主機(jī)”的公鑰信息鉴分。
公鑰免密登錄也會是待會主機(jī)間的信任的基礎(chǔ)基矮。再來回顧下需求,我要在某一臺主機(jī)上執(zhí)行一條命令冠场,然后獲取全部的get機(jī)上相對應(yīng)的內(nèi)容。那么這臺主機(jī)就可以作為master本砰。
在master上碴裙,將通過ssh-keygen命令生成的公鑰發(fā)送到要進(jìn)行遠(yuǎn)程登錄的get機(jī)的.ssh/authenrized_keys中。
比如:
master機(jī)器為192.168.30.100
get機(jī)列表是:
192.168.32.102
192.168.32.105
192.168.32.109
192.168.32.110
我們就可以依次將100的公鑰使用SCP命令或者其他的上傳工具点额,上傳到對應(yīng)的get機(jī)的authenrized_keys文件中舔株。
ssh-keygen -t rsa //此處一路回車,生成秘鑰
scp .ssh/id_rsa.pub 192.168.32.102:~/ //把秘鑰拷貝到其他遠(yuǎn)程機(jī)器
ssh 192.168.30.102 ‘cat id_rsa.pub >> .ssh/authorized_keys’ //(遠(yuǎn)程執(zhí)行命令)在遠(yuǎn)程機(jī)器上生成認(rèn)證文件
這樣,將master的公鑰就成功的添加到102這臺get機(jī)上了还棱。其他的get機(jī)就可以按照同樣的方法做下處理载慈。處理完之后,就可以使用公鑰進(jìn)行免密碼登錄到遠(yuǎn)程主機(jī)了珍手。
至此办铡,主機(jī)間的信任就算結(jié)束了。
shell腳本編寫
目標(biāo)需求是獲取所有g(shù)et機(jī)上執(zhí)行的shell命令琳要,并進(jìn)行整合輸出寡具。我在網(wǎng)上找了一個(gè)shell腳本,大致的內(nèi)容如下:
#!/usr/bin bash
docommand()
{
hosts=`sed -n '/^[^#]/p' hostlist`
for host in $hosts
do
echo "" # 換個(gè)行
ssh $host "$@"
done
return 0
}
if [ $# -lt 1 ]
then
echo "$0 cmd"
exit
fi
docommand "$@"
然后需要在同級目錄下創(chuàng)建一個(gè)get主機(jī)列表稚补。
192.168.32.102
192.168.32.105
192.168.32.109
192.168.32.110
然后懶得輸入bash前綴來執(zhí)行命令的話童叠,就可以寫一個(gè)alias了在~/.bashrc 文件末尾添加如下內(nèi)容:
alias devpssh='bash /home/developer/runcommand.sh'
然后*source ~/.bashrc
這樣就可以通過如下格式,來批量在主機(jī)之間執(zhí)行shell命令了课幕,具體的格式如下:
devpssh 'cat /var/log/nginx/api_acces.log | grep curuserid=2614677 | tail -1'
至此厦坛,在多臺主機(jī)之間執(zhí)行shell命令也就得以實(shí)現(xiàn)了五垮。
總結(jié)
本次內(nèi)容比較少,單純的了解了下ssh的一些相關(guān)知識點(diǎn)杜秸。然后是利用公鑰免密登錄并執(zhí)行相關(guān)的shell命令放仗。
麻雀雖小,但是卻很實(shí)用亩歹。
