stunnel+squid搭建代理服务器

一、网络环境

  • 主机A :192.168.0.11

  • 主机B:66.0.0.6

  • 主机C:4.2.2.2

主机A和B互通,B和C互通,A访问C网络较慢或不通,可以通过stunnel+squid代理跳转访问。

二、squid 安装配置

squid和stunnel可以在主机B上配置,也可在不同主机配置实现网络跳转。这里squid和stunnel server在主机B配置,stunnel client 在客户端主机A配置

  • 安装 yum install squid

  • 配置 vim /etc/squid/squid.conf,主要配置如下两处

acl localnet src 66.0.0.6/32  # 根据实际情况修改,添加允许 stunnel-client 的ip地址
http_port 3128  # squid监听端口

启动服务 service squid start

三、stunnel 配置

  • 安装yum -y install stunnel openssl openssl-devel

1、stunnel server 配置

  • 生成证书认证文件
openssl req -new -x509 -days 365 -nodes -out stunnel.pem -keyout stunnel.pem
openssl gendh 512>> stunnel.pem   #不是必须的
  • 配置

vim /etc/stunnel/stunnel_ser.conf (;;; 注释形式)

cert = /etc/stunnel/stunnel.pem   ;;;# 认证文件
CAfile = /etc/stunnel/stunnel.pem  ;;;# 认证文件
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
;;;chroot = /var/run/stunnel
pid = /tmp/stunnel_server.pid
verify = 3
;;; CApath = certs
;;; CRLpath = crls
;;; CRLfile = crls.pem
setuid = web
setgid = web
;;; client=yes
compression = zlib
;;; taskbar = no
delay = no
;;; failover = rr
;;; failover = prio
;;; sslVersion = TLSv1
;;; fips=no
sslVersion = all
;;; options = NO_SSLv2
;;; options = NO_SSLv3
debug = 7
syslog = no
output = /var/logs/stunnel_server.log
client = no  ;;;# 服务端
[sproxy]
accept = 44550  ;;;# 监听端口
connect = 66.0.0.6:3128  ;;;# squid服务连接端口
  • 启动服务 stunnel /etc/stunnel/stunnel_ser.conf

2、squid client 安装配置

yum -y install stunnel openssl openssl-devel
vim  /etc/stunnel/stunnel_cli.conf 

cert = /usr/local/etc/stunnel/stunnel_cli.pem  ;;;#步骤1中生成的stunnel.pem,改了名字而已
CAfile = /usr/local/etc/stunnel/stunnel_cli.pem
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

;;;chroot = /var/run/stunnel
pid = /tmp/stunnel.pid
verify = 3

;;; CApath = certs
;;; CRLpath = crls
;;; CRLfile = crls.pem

setuid = web
setgid = web

;;; client=yes
compression = zlib
;;; taskbar = no
delay = no
;;; failover = rr
;;; failover = prio
;;; fips=no
sslVersion = all
;;; options = NO_SSLv2
;;; options = NO_SSLv3

debug = 7
syslog = no
output = /data/logs/stunnel.log
client = yes   ;;;# 客户端

[sproxy]
accept = 0.0.0.0:44550  ;;;# 监听地址
connect = 66.0.0.6:44550  ;;;# stunnel 服务端地址

四、测试及错误解决

  • 测试:配置代理服务器地址:192.168.0.11,端口44550后,可以访问主机C
  • 错误解决:
stunnel 报错:CERT: Verification error: certificate has expired

stunnel客户端连不上服务端,连上几秒就断开了,具体报错信息如下

# stunnel 客户端:
2017.09.25 10:16:19 LOG7[13955:140155381970688]: Starting certificate verification: depth=0, /C=CN/L=Default City/O=Default Company Ltd
2017.09.25 10:16:19 LOG4[13955:140155381970688]: CERT: Verification error: certificate has expired
2017.09.25 10:16:19 LOG4[13955:140155381970688]: Certificate check failed: depth=0, /C=CN/L=Default City/O=Default Company Ltd
2017.09.25 10:16:19 LOG7[13955:140155381970688]: SSL alert (write): fatal: certificate expired
2017.09.25 10:16:19 LOG3[13955:140155381970688]: SSL_connect: 14090086: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
2017.09.25 10:16:19 LOG5[13955:140155381970688]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
2017.09.25 10:16:19 LOG7[13955:140155381970688]: Remote socket (FD=13) closed
2017.09.25 10:16:19 LOG7[13955:140155381970688]: Local socket (FD=3) closed
2017.09.25 10:16:19 LOG7[13955:140155381970688]: Service [sproxy] finished (0 left)

# stunnel 服务端:
2017.09.25 10:13:24 LOG7[15546:140344803059456]: SSL state (accept): SSLv3 flush data
2017.09.25 10:13:24 LOG7[15546:140344803059456]: SSL alert (read): fatal: certificate expired
2017.09.25 10:13:24 LOG3[15546:140344803059456]: SSL_accept: 14094415: error:14094415:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate expired
2017.09.25 10:13:24 LOG5[15546:140344803059456]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2017.09.25 10:13:24 LOG7[15546:140344803059456]: sproxy finished (0 left)

需要安装上面的证书生成命令,重新生成证书后手动更新

openssl req -new -x509 -days 365 -nodes -out stunnel.pem -keyout stunnel.pem

squid代理服务器

squid缓存代理概述

——–搭建代理服务器可以提高上网打开网页的速度,可以对非法网站进行屏蔽,限制文件下载,以及查看员工访问internet的情况,包括上网的地址,用户,时间等,是企业网络管理的常用手段。
———–代理服务器分为传统代理和透明代理,传统代理适用于浏览internet,需要在浏览器上手工指定服务器地址和端口,不是很方便,但是可以隐藏本机真实的ip地址,而且为下载工具使用多个代理可以规避服务器的并发连接显示。透明代理适用于共享上网网关,不需要指定服务器地址和端口,无需额外的设置即可上网,在实际工作中透明代理较多。

未分类

未分类

squid安装及运行控制

(一)传统代理

未分类

——配置并启用squid服务(主机B)

未分类

未分类

未分类

未分类

未分类

未分类

未分类

未分类

未分类

未分类

未分类

未分类

——–在web服务器打开网站(第一台)

未分类

——–设置代理客户端(主机C)
——– 测试代理Web访问(主机C)

未分类

未分类

—–关闭代理服务的时候

未分类

未分类

—-验证代理服务器
在客户机访问网站,然后查看web服务器的访问日志,发现客户机172.16.16.110访问网站172.16.16.172的记录,但是在web服务器中,查看网站日志文件,显示的访问者是代理服务器的地址172.16.16.22,不是客户端的地址。

未分类

未分类

(二)透明代理,常用。

未分类

未分类

未分类

未分类

未分类

—-或者vim /sysctl.conf sysctl -p —

未分类

未分类

未分类

未分类

—–验证透明代理—

未分类

未分类

设置ACL访问控制

未分类

未分类

未分类

未分类

未分类

未分类

未分类

未分类

squid日志分析

未分类

未分类

未分类

未分类

未分类

未分类

未分类

正则表达式sed

sed 能实现grep查找的功能,还可以替换指定的字符。

匹配查找文件中root字符(其中的 -n表示段落,p表示打印出来print)

[root@localhost sed]# sed -n '/root/'p test.txt 

root:x:0:0:root:/root:/bin/bash

operator:x:11:0:operator:/root:/sbin/nologin

. 点 (匹配任意一个字符)

[root@localhost sed]# sed  -n '/r.t/'p test.txt 

operator:x:11:0:operator:/root:/sbin/nologin

sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin

* (匹配一个或多个字符)

[root@localhost sed]# sed -n '/r*t/'p test.txt 

root:x:0:0:root:/root:/bin/bash

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

operator:x:11:0:operator:/root:/sbin/nologin

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin

dbus:x:81:81:System message bus:/:/sbin/nologin

polkitd:x:999:997:User for polkitd:/:/sbin/nologin

postfix:x:89:89::/var/spool/postfix:/sbin/n1ogin

sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin

+ 加号表示一个或者多个字符

[root@localhost sed]# sed -n '/r+t/'p test.txt

不脱义,需要加一个-r

[root@localhost sed]# sed -nr '/r+t/'p test.txt 

[root@localhost sed]# sed -nr '/o+t/'p test.txt 

root:x:0:0:root:/root:/bin/bash

operator:x:11:0:operator:/root:/sbin/nologin

显示第2行内容

[root@localhost sed]# sed -n '2'p test.txt 

bin:x:1:1:bin:/bin:/sbin/NOLOGIN

显示2到5行

[root@localhost sed]# sed  -n '2,5'p test.txt 

bin:x:1:1:bin:/bin:/sbin/NOLOGIN

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

显示5到后面的行 5,;;表示后面的行

[root@localhost sed]# sed -n '5,$'p test.txt

显示全部内容 1,$

[root@localhost sed]# sed -n '1,$'p test.txt

显示第一行 和 匹配bus字符 用-e 可以执行多步操作 -n是显示段落 p是print打印输出

[root@localhost sed]# sed -e '1'p -e '/bus/'p  -n test.txt 

root:x:0:0:root:/root:/bin/bash

dbus:x:81:81:System message bus:/:/sbin/nologin

显示第一段,匹配root字符,匹配oo字符

[root@localhost sed]# sed -e '1'p  -e '/root/'p -e '/oo/'p -n test.txt 

root:x:0:0:root:/root:/bin/bash

root:x:0:0:root:/root:/bin/bash

root:x:0:0:root:/root:/bin/bash

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

operator:x:11:0:operator:/root:/sbin/nologin

operator:x:11:0:operator:/root:/sbin/nologin

ooooqq

osdaoooo

postfix:x:89:89::/var/spool/postfix:/sbin/n1ogin

查找bus字符所在的行

[root@localhost sed]# sed -n '/bus/'p test.txt 

dbus:x:81:81:System message bus:/:/sbin/nologin

不区分大小写查找bus字符 (I 表示不区分大小写 grep -i 不区分大小写查找)

[root@localhost sed]# sed -n '/bus/'Ip test.txt 

dbus:x:81:81:System message bus:/:/sbin/nologin

polkitd:x:999:997:User for BUSpolkitd:/:/sbin/nologin

postfix:x:89:89::/var/spool/posBustfix:/sbin/nologin

删除1,10行,列出剩下的行(d 是delete删除) 不删除原来文件里面的内容,只是

显示的时候删除1到10行,显示剩下的内容。

[root@localhost sed]# sed '1,10'd test.txt 

games:x:12:100:games:/usr/games:/sbin/nologin

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

nobody:x:99:99:Nobody:/:/sbin/nologin

systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin

dbus:x:81:81:System message bus:/:/sbin/nologin

polkitd:x:999:997:User for BUSpolkitd:/:/sbin/nologin

postfix:x:89:89::/var/spool/posBustfix:/sbin/nologin

chrony:x:998:996::/var/lib/chrony:/sbin/nologin

sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin

xiaobo:x:1000:1000::/home/xiaobo:/bin/bash

删除1到25行内容,会删除原文件里面的内容! (-i)

[root@localhost sed]# sed  -i '1,25'd test.txt

删除原文件里面的user2相关的行

[root@localhost sed]# sed -i '/user2/'d test.txt

替换文件中1到10行 root字符替换成toor字符; s表示字符串;g(globle)全局

[root@localhost sed]# sed '1,10s/root/toor/g' test.txt

可以使用正则表达式,将正则表达式的内容进行替换

替换 ro+ (正则表达式 加号表示1个或者多个字符) 把ro+ 替换为r

[root@localhost sed]# sed  -r '1,10s/ro+/r/g' test.txt |head 

rt:x:0:0:rt:/rt:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

operator:x:11:0:operator:/rt:/sbin/nologin

head 显示

[root@localhost sed]# head test.txt 

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

operator:x:11:0:operator:/root:/sbin/nologin

把第一段跟最后一段替换 (第一段 冒号之前,最后一段 冒号之后)

[^:]表示非冒号字符,一个字符不是冒号

+号表示一个或多个字符

分成3部分

用反斜杠 3 :表示第3段 ([^:]+)

2 :第二段 (.*)

1 第一段([^:]+)

[root@localhost sed]# head test.txt |sed  -r 's/([^:]+):(.*):([^:]+)/3:2:1/'

/bin/bash:x:0:0:root:/root:root

/sbin/nologin:x:1:1:bin:/bin:bin

/sbin/nologin:x:2:2:daemon:/sbin:daemon

/sbin/nologin:x:3:4:adm:/var/adm:adm

/sbin/nologin:x:4:7:lp:/var/spool/lpd:lp

/bin/sync:x:5:0:sync:/sbin:sync

/sbin/shutdown:x:6:0:shutdown:/sbin:shutdown

/sbin/halt:x:7:0:halt:/sbin:halt

/sbin/nologin:x:8:12:mail:/var/spool/mail:mail

/sbin/nologin:x:11:0:operator:/root:operator

把 /root 替换成123,/root 之前加一个反斜杠 脱义

[root@localhost sed]# head test.txt  |sed 's//root/123/g'

root:x:0:0:root:123:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

operator:x:11:0:operator:123:/sbin/nologin

加反斜杠 脱义

[root@localhost sed]# head test.txt  |sed 's//sbin/nologin/123/g'

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:123

daemon:x:2:2:daemon:/sbin:123

adm:x:3:4:adm:/var/adm:123

lp:x:4:7:lp:/var/spool/lpd:123

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

mail:x:8:12:mail:/var/spool/mail:123

operator:x:11:0:operator:/root:123

也可以用@ 分隔开

[root@localhost sed]# head test.txt  |sed 's@/sbin/nologin@123@g'

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:123

daemon:x:2:2:daemon:/sbin:123

adm:x:3:4:adm:/var/adm:123

lp:x:4:7:lp:/var/spool/lpd:123

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

mail:x:8:12:mail:/var/spool/mail:123

operator:x:11:0:operator:/root:123

删除文件中所有字母, 用[a-zA-Z]来表示字母

[root@localhost sed]# head  test.txt  |sed 's/[a-zA-Z]//g'

::0:0::/://

::1:1::/://

::2:2::/://

::3:4:://://

::4:7::///://

::5:0::/://

::6:0::/://

::7:0::/://

::8:12::///://

::11:0::/://

在所有的行前面加上aaa字符,(.*)表示一整行,&/(and符号表示前面的小括号),添加字符为aaa:

[root@localhost sed]# head test.txt  |sed -r 's/(.*)/aaa:&/'

aaa:root:x:0:0:root:/root:/bin/bash

aaa:bin:x:1:1:bin:/bin:/sbin/nologin

aaa:daemon:x:2:2:daemon:/sbin:/sbin/nologin

aaa:adm:x:3:4:adm:/var/adm:/sbin/nologin

aaa:lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

aaa:sync:x:5:0:sync:/sbin:/bin/sync

aaa:shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

aaa:halt:x:7:0:halt:/sbin:/sbin/halt

aaa:mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

aaa:operator:x:11:0:operator:/root:/sbin/nologin

CentOS7 SAMBA服务器搭建

samba有三个模式: share|user|domain,平常使用也就是用user模式,也就是使用samba服务器本身的密码资料库,跟passsdb backend有关。

安装软件:

# yum install samba -y

配置SMABA:

# vim /etc/samba/smb.conf
Bash
[global]
workgroup = SAMAB
netbios name = CentOS
server string = This is  samba server
unix charset = utf8
display charset = utf8
dos charset = cp950
log file = /var/log/samba/log.%m
max log size = 50
load printers = no
#与密码有关的设定项目
security = user <==这行就是重点啦!改成user层级
passdb backend = tdbsam <==使用的是TDB资料库格式!
# 分享的资源设定方面:删除temp加入homes与project
[homes] <==分享的资源名称,登入samba的账户的家目录,这个可以不考虑配置
comment = Home Directories
browseable = no <==除了使用者自己外,不可被其他人浏览
writable = yes <==挂载后可读写此分享
create mode = 0664 <==建立档案的权限为664
directory mode = 0775 <= =建立目录的权限为775
[project] <==共享资源
comment = smbuser's project
path = /home/project <==实际的Linux上面的目录位置
browseable = yes <==可被其他人所浏览到资源名称(非内容)
writable = yes <==可以被写入
write list = @users <==写入者有哪些人的意思

每次改完smb.conf都重新检查一下语法正确:

# testparm

创建相应的目录:

# mkdir /home/project
# chgrp users /home/project
# chmod 2770 /home/project

创建系统账号,并设置密码

# useradd -G users smb1
#echo 1234 | passwd --stdin smb1

新增samba账号,使用刚刚创建好的系统账号:

# pdbedit -a -u smb1

输入两次密码即可

# pdbedit -L 可以列出已存在的账号
# smbpasswd smab1可以修改账号密码
# pdbedit -x -u smb1可以删除账户

设置开机自启服务

# systemctl enable smb.service
# systemctl enable nmb.service
# systemctl start smb.service
# systemctl start nmb.service

匿名登录smb服务器测试:

# smbclient -L //smbserverip

使用账号登录smb服务器测试:

# smbclient -L //serverip -U smb1

挂载测试:

# mount -t cifs //serverip/smb1 /mnt -o username=smb1

防火墙设置:

# firewall-cmd --zone=public --add-service=samba --permanent
# firewall-cmd --reload

Selinux设置:

这一步很重要,不然没法正常用的

# getsebool -a | grep samba查看samba的selinux规则
# setsebool -P samba_enable_home_dirs=1
# chcon -t samba_share_t /home/project也可以用# restorecon -Rv '/home/project'

完事在windows上挂载试试就没问题了。

CentOS7 Samba简单配置

1. 安装

yum -y install samba

# 备份配置文件
cp  /etc/samba/smb.conf  /etc/samba/smb.conf.bak

# 创建samba用户
# 首先 添加系统用户
useradd officecoop
rm -rf /home/officecoop/.*
# 然后添加smb用户,按提示输入密码
smbpasswd -a officecoop

其他注意 iptables(或防火墙配置) 和 selinux 配置

2. 设置共享目录

2.1 目标

windows 访问 10.0.209.140 (假设samba服务器假设在140) 时显示 officecoop 目录

2.2 步骤

# 追加如下内容到配置文件
cat >> /etc/samba/smb.conf << EOF
[officecoop]
comment = officecoop
path = /home/officecoop/officecoop
writable = yes
EOF

# 创建文件夹
mkdir /home/officecoop/officecoop

# 设置属主
chmod officecoop /home/officecoop/officecoop

# 重启服务
systemctl restart smb

saltstack/salt的state.sls和pillar定义以及使用

SLS(代表SaLt State文件)是Salt State系统的核心。SLS描述了系统的目标状态,由格式简单的数据构成。这经常被称作配置管理 首先,在master上面定义salt的主目录,默认是在/srv/salt/下面,vim /etc/salt/master:

file_roots:
   base:
     - /srv/salt
   dev:
    - /srv/salt-dev

然后,在/srv/salt下面创建top.sls文件(如果有的话,就不用创建了,直接编辑好了) vim top.sls

base:
  '*':

top.sls 默认从 base 标签开始解析执行,下一级是操作的目标,可以通过正则,grain模块,或分组名,来进行匹配,再下一级是要执行的state文件

base:
  '*':               #通过正则去匹配所有minion
    - nginx          #这里都是我自己写的state.sls模块名 这里可以无视 后面会提到

  my_app:             #通过分组名去进行匹配 必须要定义match:nodegroup
    - match: nodegroup
    - nginx

  'os:Redhat':        #通过grains模块去匹配,必须要定义match:grain
    - match: grain
    - nginx

整个top.sls大概的格式就是这个样子,编写完top.sls后,编写state.sls文件;

cd /srv/salt 
vim nginx.sls

nginx.sls内容:

nginx:
  pkg:               #定义使用(pkg state module)
    - installed      #安装nginx(yum安装)
  service.running:   #保持服务是启动状态
    - enable: True
    - reload: True
    - require:
      - file: /etc/init.d/nginx
    - watch:                 #检测下面两个配置文件,有变动,立马执行上述/etc/init.d/nginx 命令reload操作
      - file: /etc/nginx/nginx.conf
      - file: /etc/nginx/fastcgi.conf
      - pkg: nginx
/etc/nginx/nginx.conf:       #绝对路径
  file.managed:
    - source: salt://files/nginx/nginx.conf  #nginx.conf配置文件在salt上面的位置
    - user: root
    - mode: 644
    - template: jinja   #salt使用jinja模块
    - require:
      - pkg: nginx

/etc/nginx/fastcgi.conf:
  file.managed:
    - source: salt://files/nginx/fastcgi.conf 
    - user: root
    - mode: 644
    - require:
      - pkg: nginx

在当前目录下面(salt的主目录)创建files/nginx/nginx.conf、files/nginx/fastcgi.conf文件,里面肯定是你自己项配置的nginx配置文件的内容啦;使用salt做自动化,一般nginx都是挺熟悉的,这里不做详细解释了

测试安装:

root@salt salt # salt 'sa10-003' state.sls nginx test=True
··········这里省略输出信息
Summary
------------
Succeeded: 8
Failed:    0
------------
Total:     8

往minion上面进行推送的时候,一般salt ‘sa10-003’ state.sls nginx 这种命令;当然,也可以执行 salt sa10-003 state.highstate 这种命令会默认匹配所有的state.sls模块。其中test=True 是指测试安装 ,也就是不进行实际操作,只是查看测试效果。

state的逻辑关系列表:
include: 包含某个文件 比如我新建的一个my_webserver.sls文件内,就可以继承nginx和php相关模块配置,而不必重新编写

root@salt salt # cat my_webserver.sls 
include:
  - nginx
  - php

match: 配模某个模块,比如 之前定义top.sls时候的 match: grain match: nodegroup require: 依赖某个state,在运行此state前,先运行依赖的state,依赖可以有多个 比如文中的nginx模块内,相关的配置必须要先依赖nginx的安装

- require:
  - pkg: nginx

watch: 在某个state变化时运行此模块,文中的配置,相关文件变化后,立即执行相应操作

- watch:
  - file: /etc/nginx/nginx.conf
  - file: /etc/nginx/fastcgi.conf
  - pkg: nginx

order: 优先级比require和watch低,有order指定的state比没有order指定的优先级高,假如一个state模块内安装多个服务,或者其他依赖关系,可以使用

nginx:
  pkg.installed:
    - order:1

想让某个state最后一个运行,可以用last

Pillar是Salt非常重要的一个组件,它用于给特定的minion定义任何你需要的数据,这些数据可以被Salt的其他组件使用。这里可以看出Pillar的一个特点,Pillar数据是与特定minion关联的,也就是说每一个minion都只能看到自己的数据,所以Pillar可以用来传递敏感数据(在Salt的设计中,Pillar使用独立的加密session,也是为了保证敏感数据的安全性)。 另外还可以在Pillar中处理平台差异性,比如针对不同的操作系统设置软件包的名字,然后在State中引用等。

定义pillar数据

默认情况下,master配置文件中的所有数据都添加到Pillar中,且对所有minion可用。默认如下:

#pillar_opts: True

master上配置文件中定义pillar_roots,用来指定pillar的数据存储在哪个目录

pillar_roots:
   base:
    - /srv/salt/pillar

首先,和state系统一样,pillar也是需要一个top.sls文件作为一个入口,用来指定对象。

base:
  '*':
    - pillar #这里指定了一个pillar模块

pillar.sls文件:

############IDC################
{% if grains['ip_interfaces'].get('eth0')[0].startswith('10.10') %}
nameservers: ['10.10.9.31','10.10.9.135']
zabbixserver: ['10.10.9.234']
{% else %}
nameservers: ['10.20.9.75']
zabbixserver: ['10.20.9.234']
{% endif %}

######## nginx ########
ngx_home_dir: /var/cache/nginx

上文的IDC这块是我自己整理的通过ip来划分不同的nameserver等,这里只是放出来参考,在State文件中将可以引用Pillar数据,比如引用
ngx_home_dir:

nginx:
  pkg:
    - installed
  user.present:
    - home: {{ pillar['ngx_home_dir'] }}
    - shell: /sbin/nologin
    - require:
      - group: nginx
  group.present:
    - require:
      - pkg: nginx
  service.running:
    - enable: True
    - reload: True
    - require:
      - file: /etc/init.d/nginx
      - file: /data1/logs/nginx
    - watch:
      - file: {{ pillar['ngx_conf_dir'] }}/nginx.conf
      - file: {{ pillar['ngx_conf_dir'] }}/fastcgi.conf
      - pkg: nginx

······ 后面关于配置就省略了

在pillar内可以提前将不同的部分根据在pillar内定义好,这样统一配置的时候就可以实现根据机器实际情况配置;比如根据机器的硬件情况配置nginx的worker_processes:

user nginx;
{% if grains['num_cpus'] < 8 %}
worker_processes {{ grains['num_cpus'] }};
{% else %}
worker_processes 8;
{% endif %}
worker_rlimit_nofile 65535;
``````````具体配置省略

很多定义的时候,都可以使用到pillar来进行自定义相关数据,具体情况可以自行摸索,这里只是个举例。

SaltStack配置管理–状态间的关系

1、include的引用

需求场景:用于含有多个SLS的状态,使用include可以进行多个状态的组合

[root@linux-node1 prod]# pwd
/srv/salt/prod
[root@linux-node1 prod]# vim lamp.sls
include:
  - apache.init
  - php.init
  - mysql.init
[root@linux-node1 prod]# vim ../base/top.sls 
prod:
  'linux-node1.example.com':
    - lamp
[root@linux-node1 prod]# salt -S "192.168.56.11" state.highstate
linux-node1.example.com:
----------
          ID: apache-install
    Function: pkg.installed
        Name: httpd
      Result: True
     Comment: All specified packages are already installed
     Started: 09:29:20.324067
    Duration: 984.864 ms
     Changes:   
----------
          ID: apache-config
    Function: file.managed
        Name: /etc/httpd/conf/httpd.conf
      Result: True
     Comment: File /etc/httpd/conf/httpd.conf is in the correct state
     Started: 09:29:21.311111
    Duration: 50.95 ms
     Changes:   
----------
          ID: apache-service
    Function: service.running
        Name: httpd
      Result: True
     Comment: The service httpd is already running
     Started: 09:29:21.362769
    Duration: 52.404 ms
     Changes:   
----------
          ID: php-install
    Function: pkg.installed
      Result: True
     Comment: All specified packages are already installed
     Started: 09:29:21.415555
    Duration: 0.693 ms
     Changes:   
----------
          ID: php-config
    Function: file.managed
        Name: /etc/php.ini
      Result: True
     Comment: File /etc/php.ini is in the correct state
     Started: 09:29:21.416438
    Duration: 15.578 ms
     Changes:   
----------
          ID: mysql-install
    Function: pkg.installed
      Result: True
     Comment: All specified packages are already installed
     Started: 09:29:21.432162
    Duration: 0.542 ms
     Changes:   
----------
          ID: mysql-config
    Function: file.managed
        Name: /etc/my.cnf
      Result: True
     Comment: File /etc/my.cnf is in the correct state
     Started: 09:29:21.432807
    Duration: 38.858 ms
     Changes:   
----------
          ID: mysql-service
    Function: service.running
        Name: mariadb
      Result: True
     Comment: The service mariadb is already running
     Started: 09:29:21.471799
    Duration: 38.431 ms
     Changes:   

Summary for linux-node1.example.com
------------
Succeeded: 8
Failed:    0
------------
Total states run:     8
Total run time:   1.182 s

2、extend的使用

需求场景:软件包安装的时候,需求假设:只在node1上按装php-mbstring包,其他的机器不安装。

[root@linux-node1 prod]# pwd
/srv/salt/prod
[root@linux-node1 prod]# vim lamp.sls 
include:
  - apache.init
  - php.init
  - mysql.init

extend:
  php-install:
    pkg.installed:
      - name: php-mbstring
[root@linux-node1 prod]# salt -S "192.168.56.11" state.highstate

3、require和require_in的使用

require:我依赖谁
require_in:我被谁依赖
需求场景:如果安装不成功或者配置httpd不成功,不启动httpd

(1)require使用
[root@linux-node1 apache]# pwd
/srv/salt/prod/apache
[root@linux-node1 apache]# systemctl stop httpd
[root@linux-node1 apache]# vim init_require.sls 
apache-install:
  pkg.installed:
    - name: httpd

apache-config:
  file.managed:
    - name: /etc/httpd/conf/httpd.conf
    - source: salt://apache/files/httpd1.conf----->将此处的文件改错,模拟配置错误
    - user: root
    - group: root
    - mode: 644

apache-service:
  service.running:
    - name: httpd
    - enable: True
    - require:---------------------------->使用require,表示依赖
      - pkg: apache-install--------------->依赖的状态模块为pkg模块,id为apache-install
      - file: apache-config--------------->依赖的状态模块为file模块,id为apache-config
[root@linux-node1 apache]# salt -S "192.168.56.11" state.highstate   #执行模块提示会有报错,此时httpd不会正常启动
......
----------
          ID: apache-config
    Function: file.managed
        Name: /etc/httpd/conf/httpd.conf
      Result: False
     Comment: Source file salt://apache/files/httpd1.conf not found
     Started: 09:48:33.459243
    Duration: 40.414 ms
     Changes:   
----------
          ID: apache-service
    Function: service.running
        Name: httpd
      Result: False
     Comment: One or more requisite failed: apache.init.apache-config
     Changes:   
----------
......
Summary for linux-node1.example.com
------------
Succeeded: 6
Failed:    2
------------
Total states run:     8
Total run time:   1.110 s
[root@linux-node1 apache]# systemctl status httpd
● httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
   Active: inactive (dead) since Sat 2018-01-20 09:44:04 CST; 4min 59s ago
     Docs: man:httpd(8)
           man:apachectl(8)
  Process: 65439 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=0/SUCCESS)
 Main PID: 1025 (code=exited, status=0/SUCCESS)
   Status: "Total requests: 0; Current requests/sec: 0; Current traffic:   0 B/sec"

Jan 17 10:41:59 linux-node1 systemd[1]: Starting The Apache HTTP Server...
Jan 17 10:42:02 linux-node1 systemd[1]: Started The Apache HTTP Server.
Jan 18 03:49:02 linux-node1 systemd[1]: Reloaded The Apache HTTP Server.
Jan 20 09:43:53 linux-node1 systemd[1]: Stopping The Apache HTTP Server...
Jan 20 09:44:04 linux-node1 systemd[1]: Stopped The Apache HTTP Server.


(2)require_in使用
[root@linux-node1 apache]# vim init_require_in.sls 
apache-install:
  pkg.installed:
    - name: httpd
    - require_in:------------------>被依赖
      - service: apache-service---->被依赖的模块是service,id为apache-service

apache-config:
  file.managed:
    - name: /etc/httpd/conf/httpd.conf
    - source: salt://apache/files/httpd.conf
    - user: root
    - group: root
    - mode: 644
    - require_in:
      - service: apache-service

apache-service:
  service.running:
    - name: httpd
    - enable: True

解释说明:require和require_in都能实现依赖的功能,主动和被动的关系不同

4、watch和watch_in的使用

需求场景:监控配置文件变动,重启服务或重载服务

[root@linux-node1 apache]# pwd
/srv/salt/prod/apache
[root@linux-node1 apache]# vim init_watch.sls 
apache-install:
  pkg.installed:
    - name: httpd

apache-config:
  file.managed:
    - name: /etc/httpd/conf/httpd.conf
    - source: salt://apache/files/httpd.conf
    - user: root
    - group: root
    - mode: 644

apache-service:
  service.running:
    - name: httpd
    - enable: True
    - watch:---------------------->使用watch
      - file: apache-config------->监控的模块为file,id为apache-config
[root@linux-node1 apache]# vim files/httpd.conf   #随意修改配置文件
[root@linux-node1 apache]# salt -S "192.168.56.11" state.highstate
......
----------
          ID: apache-config
    Function: file.managed
        Name: /etc/httpd/conf/httpd.conf
      Result: True
     Comment: File /etc/httpd/conf/httpd.conf updated
     Started: 10:07:14.430189
    Duration: 55.133 ms
     Changes:   
              ----------
              diff:
                  --- 
                  +++ 
                  @@ -1,4 +1,5 @@
                   #
                  +#hahahaaha--------------->检测到配置文件增加的内容
                   #hahahaaha
                   # This is the main Apache HTTP server configuration file.  It contains the
                   # configuration directives that give the server its instructions.
----------
          ID: apache-service
    Function: service.running
        Name: httpd
      Result: True
     Comment: Service restarted---------------------->将服务重启
     Started: 10:07:14.533852
    Duration: 1219.798 ms
     Changes:   
              ----------
              httpd:
                  True
......

#增加reload参数,让服务重载
[root@linux-node1 apache]# vim init_watch.sls 
apache-install:
  pkg.installed:
    - name: httpd

apache-config:
  file.managed:
    - name: /etc/httpd/conf/httpd.conf
    - source: salt://apache/files/httpd.conf
    - user: root
    - group: root
    - mode: 644

apache-service:
  service.running:
    - name: httpd
    - enable: True
    - reload: True----------------------------------->增加参数重载
    - watch:
      - file: apache-config

[root@linux-node1 apache]# salt -S "192.168.56.11" state.highstate
----------
          ID: apache-config
    Function: file.managed
        Name: /etc/httpd/conf/httpd.conf
      Result: True
     Comment: File /etc/httpd/conf/httpd.conf updated------>检测文件有变化
     Started: 10:10:08.493557
    Duration: 53.016 ms
     Changes:   
              ----------
              diff:
                  --- 
                  +++ 
                  @@ -1,4 +1,5 @@
                   #
                  +#hahahaaha
                   #hahahaaha
                   #hahahaaha
                   # This is the main Apache HTTP server configuration file.  It contains the
----------
          ID: apache-service
    Function: service.running
        Name: httpd
      Result: True
     Comment: Service reloaded---------------->服务重载
     Started: 10:10:08.596434
    Duration: 158.753 ms
     Changes:   
              ----------
              httpd:
                  True
----------
#watch_in的使用和require_in是一样的

5、unless:状态间的条件判断

需求场景:给apache的admin目录进行加密登陆查看

(1)修改配置文件,添加认证功能
[root@linux-node1 apache]# vim files/httpd.conf 
<Directory "/var/www/html/admin">
        AllowOverride All
        Order allow,deny
        Allow from all
        AuthType Basic
        AuthName "haha"
        AuthUserFile /etc/httpd/conf/htpasswd_file
        Require user admin
</Directory>


(2)修改状态文件init.sls
[root@linux-node1 apache]# vim init.sls 
apache-install:
  pkg.installed:
    - name: httpd

apache-config:
  file.managed:
    - name: /etc/httpd/conf/httpd.conf
    - source: salt://apache/files/httpd.conf
    - user: root
    - group: root
    - mode: 644

apache-auth:
  pkg.installed:
    - name: httpd-tools
  cmd.run:------>使用cmd模块的run方法
    - name: htpasswd -bc /etc/httpd/conf/htpasswd_file admin admin---->生成密码文件
    - unless: test -f /etc/httpd/conf/htpasswd_file---->unless判断条件,test -f判断为假则执行。即htpasswd文件如果不存在就执行生成密码

apache-service:
  service.running:
    - name: httpd
    - enable: True
    - reload: True
    - watch:
      - file: apache-config

[root@linux-node1 apache]# salt -S "192.168.56.11" state.highstate
......
----------
          ID: apache-auth
    Function: cmd.run
        Name: htpasswd -bc /etc/httpd/conf/htpasswd_file admin admin
      Result: True
     Comment: Command "htpasswd -bc /etc/httpd/conf/htpasswd_file admin admin" run
     Started: 10:34:54.930867
    Duration: 48.152 ms
     Changes:   
              ----------
              pid:
                  4166
              retcode:
                  0
              stderr:
                  Adding password for user admin
              stdout:
----------
          ID: apache-service
    Function: service.running
        Name: httpd
      Result: True
     Comment: Service reloaded
     Started: 10:34:55.014468
    Duration: 162.844 ms
     Changes:   
              ----------
              httpd:
                  True
......

浏览器访问192.168.56.11/admin/index.html会出现密码验证

SaltStack配置管理-3、之安装tomcat状态

1、本次使用salt简单安装tomcat环境,下面是salt的安装tomcat状态实现。

# cd /srv/salt/base/
# mkdir web     #创建一个web目录
# cd web/
# cat tomcat.sls        #安装java环境及tomcat的salt状态
jdk-install:       #状态ID
  pkg.installed:       #需要有java-1.8.0的包,没有则安装,有则什么也不做
    - name: java-1.8.0-openjdk

tomcat-install:       #状态ID
  file.managed:       #file模块的方法
    - name: /usr/local/src/apache-tomcat-8.0.46.tar.gz       #放到执行的salt-minion端的这个路径下
    - source: salt://web/files/apache-tomcat-8.0.46.tar.gz     #将salt-master端的这个文件,这里的路径可以是http的路径或者是ftp的路径。
    - user: root      #文件权限设置
    - group: root
    - mode: 755
  cmd.run:    #状态里的执行命令的模块
    - name: cd /usr/local/src && tar zxf apache-tomcat-8.0.46.tar.gz && mv apache-tomcat-8.0.46 /usr/local/ && ln -s /usr/local/apache-tomcat-8.0.46 /usr/local/tomcat
    - unless: test -L /usr/local/tomcat && test -d /usr/local/apache-tomcat-8.0.46

# mkdir -p /srv/salt/base/web/files          #创建存放文件目录并长传文件bao包
# cd /srv/salt/base/web/files && ls
apache-tomcat-8.0.46.tar.gz

2、执行状态

# salt '*' state.sls web.tomcat           #多级目录通过.来调用,和python调用模块类似

由于时间关系,更新速度不是很快,后续会做更多更新,请持续关注。

自动化运维工具之SaltStack-2、SaltStack配置管理

1、salt-master的配置文件编写格式之YAML语法说明

YAML语法数据的结构通过缩进来表示,每一级用两个空格来表示缩进,如果有下一
级结构需要以冒号结尾,连续的列表通过减号“-”来表示,减号后面需要有空格,不
是以冒号结尾的冒号后面需要有空格。

2、修改salt-master配置文件

# vim /etc/salt/master +416
416 file_roots:        #告诉salt状态文件的位置
417   base:    #base为必须存在的,
418     - /srv/salt/base      #base状态对应的文件位置
说明:/etc/salt/master 配置文件的格式是采用YAML的格式写的,所以修改需要注意
每个缩进级别由两个空格组成,不支持tabs键,有下一个级别需要以冒号结尾,列表
用“-”减号开头,注意减号后面需要有一个空格。

创建/etc/salt/master配置文件里状态文件目录:

# mkdir /srv/salt/base

修改配置后重启salt-master:

# systemctl restart salt-master

重启后测试salt-master与salt-minion端的通讯

# salt 'linux-node1' test.ping
linux-node1:
    True     #确定能成功通讯

3、使用salt写一个自动化安装apache的状态并执行

# cd /srv/salt/base
# vim apache.sls      #状态文件的名字
apache-install:    #安装状态的ID声明
  pkg.installed:    #pkg为状态模块,installed是pkg模块下的方法(即安装)
    - name: httpd    #installed方法的参数,name是一个特殊的参数(安装的东西)
注:以上整个状态的意思为:{应该有一个httpd服务,如果有则啥也不干,如果没有则下载一个}

apache-service:    #服务状态的ID
  service.running:   #service是状态模块,running是service模块下的方法(running即启动)
    - name: httpd    #方法的目标参数(启动的目标)
    - enable: True   #目标参数的动作(是否启动True则表示启动)
注:以上状态意思为{如果有httpd这个服务则启动httpd,如果没有httpd这个服务,就下载一个httpd并启动httpd}

执行这个apache状态:

[root@linux-node1 base]# salt 'linux-node1*' state.sls apache
linux-node1:      #minion端ID
----------
          ID: apache-install    #状态的ID
    Function: pkg.installed     #模块.模块的方法
        Name: httpd    #参数
      Result: True     #True为成功
     Comment: Package httpd is already installed.     #描述信息
     Started: 22:25:05.529566     #启动时间
    Duration: 1274.843 ms    #用了多少秒
     Changes:      #如果下东西了会有输出
----------
          ID: apache-service
    Function: service.running
        Name: httpd
      Result: True
     Comment: Service httpd is already enabled, and is in the desired state
     Started: 22:25:06.805143
    Duration: 268.049 ms
     Changes:   #都做了啥
              ----------
              httpd:
                  True     #启动了httpd

Summary
------------
Succeeded: 2    #成功了两个
Failed:    0
------------
Total states run:     2

执行之后即可到目标服务器去查看apache的启动装了,或者使用salt查看目标服务器的apache状态

# salt "linux-node1" cmd.run "systemctl status httpd"     #在salt-master端用此命令查看apache启动状态

本次就更新到这里,请关注后续更新,如有问题欢迎指出与交流。

自动化运维工具之SaltStack-1、SaltStack介绍及安装

1、SaltStack简介

官方网址:http://www.saltstack.com
官方文档:http://docs.saltstack.com
GitHub:https:github.com/saltstack

SaltStack是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、
监控等功能,一般可以理解为简化版的puppet和加强版的func。SaltStack基于
Python语言实现,结合轻量级消息队列(ZeroMQ)与Python第三方模块
(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建。
通过部署SaltStack环境,我们可以在成千上万台服务器上做到批量执行命令,
根据不同业务特性进行配置集中化管理、分发文件、采集服务器数据、操作系统基
础及软件包管理等,SaltStack是运维人员提高工作效率、规范业务配置与操作的利
器。

2、SaltStack特性

(1)、部署简单、方便;
(2)、支持大部分UNIX/Linux及Windows环境;
(3)、主从集中化管理;
(4)、配置简单、功能强大、扩展性强;
(5)、主控端(master)和被控端(minion)基于证书认证,安全可靠;

(6)、支持API及自定义模块,可通过Python轻松扩展。

3、SaltStack的结构

saltstack采用C/S(客户端和server端)架构,salt-master为server端,salt-minion为客户端

a)Master与Minion认证

(1)、minion在第一次启动时,会在/etc/salt/pki/minion/(该路径在/etc/salt/minion里面设置)下自动生成minion.pem(private key)和 minion.pub(public key),然后将 minion.pub发送给master。

(2)、master在接收到minion的public key后,通过salt-key命令accept minion public key,这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key,然后master就能对minion发送指令了。

b)Master与minion链接

(1)、SaltStack master启动后默认监听4505和4506两个端口。4505(publish_port)为saltstack的消息发布系统,4506(ret_port)为saltstack客户端与服务端通信的端口。如果使用lsof 查看4505端口,会发现所有的minion在4505端口持续保持在ESTABLISHED状态。

4、SaltStack基础安装与操作

(1)环境说明

192.168.1.12 安装salt-master salt-minion
192.168.1.100 安装salt-minion

1、本次操作采用CentOS 7.2系统

# cat /etc/redhat-release 
CentOS Linux release 7.2.1511 (Core) 

# uname -r
3.10.0-327.el7.x86_64

# hostname -I
192.168.1.12

# hostname -I
192.168.1.100

2、操作系统基础优化

参考博客:http://blog.51cto.com/12217917/2060136

5、yum安装SaltStack

# rpm -ivh https://repo.saltstack.com/yum/redhat/salt-repo-latest-2.el7.noarch.rpm    #两台服务器都安装rpm包

1、salt管理节点安装

# yum install -y salt-master salt-minion

2、salt所有客户端安装(被管理的机器)

# yum install -y salt-minion

6、启动Salt

1、管理端启动命令

# systemctl start salt-master      #master端启动命令
# tree /etc/salt/pki        #启动后查看目录结构
pki
└── master
    ├── master.pem     #salt-master的公钥
    ├── master.pub     #salt-master的私钥
    ├── minions
    ├── minions_autosign
    ├── minions_denied
    ├── minions_pre
    └── minions_rejected

2、配置客户端并启动客户端

# sed -n '16p' /etc/salt/minion         #修改所有客户端的配置文件
master: 192.168.56.11      #告诉客户端   salt-master是谁,:冒号后面需要有空格
注:minion配置文件的关于ID配置,{如果配置ID则使用配置里的ID作为主机通讯标记,如果不配置ID则默认以主机名作为ID为主机通讯标记(本人生产上的主机名都做修改所以这里没有配置ID),ID如果修改,需要删除之前认证的KEY,然后重新添加KEY。}
# systemctl start salt-minion        #启动客户端
注:修改客户端通讯ID的步骤{1.停止需要修改ID的salt-minion  2.salt-key 删除老的id   3.删除minion端的/etc/salt/minion_id   4.删除minion端/etc/salt/pki  5.修改minion配置文件的id   6.启动minion   7.master端重新salt-key加入}

# tree      #启动后查看客户端的结构
.
├── minion
├── minion.d
├── minion_id
└── pki
    └── minion
        ├── minion.pem    #minion的公钥
        └── minion.pub    #minion的私钥

7、在master端添加客户端

说明:这一步操作就相当与签劳动合同,表示客户端(salt-minion)接受server端(salt-master)管理。

# salt-key          #查看客户端的命令
Accepted Keys:    #已经同意的key有哪些
Denied Keys:      #拒绝的key有哪些
Unaccepted Keys:    #未同意的key有哪些
linux-node1     #客户端的通讯ID(由于前面没有配置,这里以主机名的形式出现)
linux-node2     #客户端的通讯ID(由于前面没有配置,这里以主机名的形式出现)

# salt-key -A        #-A表示同意所有的客户端通讯ID
The following keys are going to be accepted:
Unaccepted Keys:
db02-36
saltstack-41
Proceed? [n/Y] y    #确认信息,是否同意这两个key
Key for minion linux-node1
Key for minion linux-node2

关于salt-key的参数
-d 删除单个key,也支持*号模糊匹配删除   (针对key的操作)
-D 删除所有key,慎用                    (针对key的操作)
-L 列表                                 (远程执行、列表key等)
-A 同意所有key                          (针对key的操作)
-a 同意单个,可以用*号迷糊匹配添加      (针对key的操作)
-G 匹配Grains                           (远程执行)
-I 匹配Pillar                             (远程执行)
-E 支持正则表达式                       (远程执行)
-S 指定客户端的ip地址                   (远程执行)
-C 一条远程执行的命令同时支持多个参数   (远程执行)
-N 支持节点组                           (远程执行)
更多操作请通过salt-key --help来查看

8、master端确认是否能连接到客户端(salt-minion端)

1、测试所有客户端是否能通讯

# salt '*' test.ping        #{*为通配符,表示所有。test为模块,ping为test模块下的一个方法(测试是否能通讯)}
linux-node2
    True      #True为通,False为失败
linux-node1
    True

2、远程执行shell命令

# salt ' linux-node2 ' cmd.run "w"       #单独指定某个客户端的通讯ID表示在这台客户端执行(cmd.cun表示执行shell命令,支持linux下所有的shell命令)
linux-node2:
     20:26:56 up  2:10,  1 user,  load average: 0.00, 0.01, 0.05

本次就介绍到这里,如有问题欢迎指出与交流。