1、SaltStack简介
官方网址:http://www.saltstack.com
官方文档:http://docs.saltstack.com
GitHub:https:github.com/saltstack
SaltStack是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、
监控等功能,一般可以理解为简化版的puppet和加强版的func。SaltStack基于
Python语言实现,结合轻量级消息队列(ZeroMQ)与Python第三方模块
(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建。
通过部署SaltStack环境,我们可以在成千上万台服务器上做到批量执行命令,
根据不同业务特性进行配置集中化管理、分发文件、采集服务器数据、操作系统基
础及软件包管理等,SaltStack是运维人员提高工作效率、规范业务配置与操作的利
器。
2、SaltStack特性
(1)、部署简单、方便;
(2)、支持大部分UNIX/Linux及Windows环境;
(3)、主从集中化管理;
(4)、配置简单、功能强大、扩展性强;
(5)、主控端(master)和被控端(minion)基于证书认证,安全可靠;
(6)、支持API及自定义模块,可通过Python轻松扩展。
3、SaltStack的结构
saltstack采用C/S(客户端和server端)架构,salt-master为server端,salt-minion为客户端
a)Master与Minion认证
(1)、minion在第一次启动时,会在/etc/salt/pki/minion/(该路径在/etc/salt/minion里面设置)下自动生成minion.pem(private key)和 minion.pub(public key),然后将 minion.pub发送给master。
(2)、master在接收到minion的public key后,通过salt-key命令accept minion public key,这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key,然后master就能对minion发送指令了。
b)Master与minion链接
(1)、SaltStack master启动后默认监听4505和4506两个端口。4505(publish_port)为saltstack的消息发布系统,4506(ret_port)为saltstack客户端与服务端通信的端口。如果使用lsof 查看4505端口,会发现所有的minion在4505端口持续保持在ESTABLISHED状态。
4、SaltStack基础安装与操作
(1)环境说明
192.168.1.12 安装salt-master salt-minion
192.168.1.100 安装salt-minion
1、本次操作采用CentOS 7.2系统
# cat /etc/redhat-release
CentOS Linux release 7.2.1511 (Core)
# uname -r
3.10.0-327.el7.x86_64
# hostname -I
192.168.1.12
# hostname -I
192.168.1.100
2、操作系统基础优化
参考博客:http://blog.51cto.com/12217917/2060136
5、yum安装SaltStack
# rpm -ivh https://repo.saltstack.com/yum/redhat/salt-repo-latest-2.el7.noarch.rpm #两台服务器都安装rpm包
1、salt管理节点安装
# yum install -y salt-master salt-minion
2、salt所有客户端安装(被管理的机器)
# yum install -y salt-minion
6、启动Salt
1、管理端启动命令
# systemctl start salt-master #master端启动命令
# tree /etc/salt/pki #启动后查看目录结构
pki
└── master
├── master.pem #salt-master的公钥
├── master.pub #salt-master的私钥
├── minions
├── minions_autosign
├── minions_denied
├── minions_pre
└── minions_rejected
2、配置客户端并启动客户端
# sed -n '16p' /etc/salt/minion #修改所有客户端的配置文件
master: 192.168.56.11 #告诉客户端 salt-master是谁,:冒号后面需要有空格
注:minion配置文件的关于ID配置,{如果配置ID则使用配置里的ID作为主机通讯标记,如果不配置ID则默认以主机名作为ID为主机通讯标记(本人生产上的主机名都做修改所以这里没有配置ID),ID如果修改,需要删除之前认证的KEY,然后重新添加KEY。}
# systemctl start salt-minion #启动客户端
注:修改客户端通讯ID的步骤{1.停止需要修改ID的salt-minion 2.salt-key 删除老的id 3.删除minion端的/etc/salt/minion_id 4.删除minion端/etc/salt/pki 5.修改minion配置文件的id 6.启动minion 7.master端重新salt-key加入}
# tree #启动后查看客户端的结构
.
├── minion
├── minion.d
├── minion_id
└── pki
└── minion
├── minion.pem #minion的公钥
└── minion.pub #minion的私钥
7、在master端添加客户端
说明:这一步操作就相当与签劳动合同,表示客户端(salt-minion)接受server端(salt-master)管理。
# salt-key #查看客户端的命令
Accepted Keys: #已经同意的key有哪些
Denied Keys: #拒绝的key有哪些
Unaccepted Keys: #未同意的key有哪些
linux-node1 #客户端的通讯ID(由于前面没有配置,这里以主机名的形式出现)
linux-node2 #客户端的通讯ID(由于前面没有配置,这里以主机名的形式出现)
# salt-key -A #-A表示同意所有的客户端通讯ID
The following keys are going to be accepted:
Unaccepted Keys:
db02-36
saltstack-41
Proceed? [n/Y] y #确认信息,是否同意这两个key
Key for minion linux-node1
Key for minion linux-node2
关于salt-key的参数
-d 删除单个key,也支持*号模糊匹配删除 (针对key的操作)
-D 删除所有key,慎用 (针对key的操作)
-L 列表 (远程执行、列表key等)
-A 同意所有key (针对key的操作)
-a 同意单个,可以用*号迷糊匹配添加 (针对key的操作)
-G 匹配Grains (远程执行)
-I 匹配Pillar (远程执行)
-E 支持正则表达式 (远程执行)
-S 指定客户端的ip地址 (远程执行)
-C 一条远程执行的命令同时支持多个参数 (远程执行)
-N 支持节点组 (远程执行)
更多操作请通过salt-key --help来查看
8、master端确认是否能连接到客户端(salt-minion端)
1、测试所有客户端是否能通讯
# salt '*' test.ping #{*为通配符,表示所有。test为模块,ping为test模块下的一个方法(测试是否能通讯)}
linux-node2
True #True为通,False为失败
linux-node1
True
2、远程执行shell命令
# salt ' linux-node2 ' cmd.run "w" #单独指定某个客户端的通讯ID表示在这台客户端执行(cmd.cun表示执行shell命令,支持linux下所有的shell命令)
linux-node2:
20:26:56 up 2:10, 1 user, load average: 0.00, 0.01, 0.05
本次就介绍到这里,如有问题欢迎指出与交流。
