saltstack远程执行底层原理
Salt的底层通信是通过ZeroMQ完成的,采用了ZeroMQ的订阅发布模式(Pub和Sub),如下图所示。
简单来讲,Pub/Sub模式类似于广播电台,在订阅发布模式中Pub将消息发送到总线,所有的Sub收到来自总线的消息后,根据自己的订阅条件来接收特定的消息。对应到Salt中就是master将事件发布到消息总线,minion订阅并监听事件,然后minion会查看事件是否 ,通过正则匹配的各种方法去匹配minion。下面简要说明下Saltmaster和minion的通信过程, Salt master启动时会监听两个端口,默认是4505和4506。
4506的作用: Salt Master Ret接口,支持认证(auth)、文件服务、结果收集等功能;
4505的作用:Salt Master pub接口,提供远程执行命令发送功能。
Salt minion启动时从配置文件中获取master的地址,如果为域名,则进行解析。解析完成后,会连接master的4506(Ret接口)进行key认证。认证通过,会获取到master的publish_port(默认是4505),然后连接publish_port订阅来自master pub接口的任务。当master下发操作指令时,所有的minion都能接收到,然后minion会检查本机是否匹配。如果匹配,则执行。执行完毕后,把结果发送到master的4506(Ret接口)由master进行处理,命令发送通信完全是异步的,并且命令包很小。此外,这些命令包通过maqpack进行序列化后数据会进一步压缩(Maqpack是一种高效的二进制序列化格式),所以Salt的网络负载非常低。
salt命令的结构语法
# salt '<target>' <function> [arguments] salt 'salt-minion-1' cmd.run 'uptime'
匹配方式
1、通配符匹配 [root@salt-master ~]# salt '*' test.ping [root@salt-master ~]# salt 'salt-minion01' test.ping [root@salt-master ~]# salt '*01' test.ping [root@salt-master ~]# salt 'salt-minion0[1|2]' test.ping [root@salt-master ~]# salt 'salt-minion0[!1|2]' test.ping [root@salt-master ~]# salt 'salt-minion0?' test.ping 2、列表匹配 [root@salt-master ~]# salt -L 'salt-minion01,salt-minion02' test.ping 3、正则匹配 [root@salt-master ~]# salt -E '^salt' test.ping [root@salt-master ~]# salt -E '^salt.*2$' test.ping 4、IP匹配 [root@salt-master ~]# salt -S '192.168.1.32' test.ping [root@salt-master ~]# salt -S '192.168.1.0/24' test.ping 5、复合匹配 [root@salt-master ~]# salt -C 'G@os:CentOS and S@192.168.1.32' test.ping 6、分组匹配 [root@salt-master ~]# vim /etc/salt/master nodegroups: webserver: 'salt-minion01,salt-minion02' dbserver: 'salt-minion03 [root@salt-master ~]# systemctl restart salt-master [root@salt-master ~]# salt -N 'webserver' test.ping [root@salt-master ~]# salt -N 'dbserver' test.ping 7、Grains匹配 [root@salt-master ~]# salt -G 'os:CentOS' test.ping [root@salt-master ~]# salt -G 'localhost:salt-minion02' test.ping 说明:上面这些匹配方式在top.sls文件中同样适用。
常用模式:分组匹配和列表匹配
saltstack模块介绍
saltstack状态模块:
mysql-install: #ID声明,必须唯一 pkg.installed: #state状态声明 - pkgs: #选项声明 - mariadb: #选项列表 - mariadb-server 说明: 一个ID只能出现一次 一个ID下相同模块只能使用一次 一个ID下不可以使用多个不同模块
模块帮助助手:
#列出所有状态模块 [root@salt-master ~]# salt '*' sys.list_modules #查看指定模块的所有方法 [root@salt-master ~]# salt '*' sys.list_state_functions pkg #查看指定模块的使用方法 [root@salt-master ~]# salt '*' sys.state_doc pkg #查看指定模块的指定方法的用法 [root@salt-master ~]# salt '*' sys.state_doc pkg.installed
模块介绍:
test模块
模块名:test 功能:用于测试 [root@salt-master ~]# salt '*' test.ping
user模块
参考:http://docs.saltstack.cn/ref/modules/all/salt.modules.useradd.html#module-salt.modules.useradd # salt '*' user.add name <uid> <gid> <groups> <home> <shell> [root@salt-master ~]# salt '*' user.add testuser
cmd模块
模块名:cmd 功能:实现远程的命令行调用执行(默认具备root操作权限,使用时需评估风险) #查看所有minion内存和磁盘使用情况 [root@salt-master ~]# salt '*' cmd.run "free -m" [root@salt-master ~]# salt '*' cmd.run "df -h"
pkg模块
模块名:pkg 功能:软件包状态管理,会根据操作系统不同,选择对应的安装方式(如CentOS系统默认使用yum,Debian系统默认使用apt-get) #安装 [root@salt-master ~]# salt '*' pkg.install "vsftpd" #卸载 [root@salt-master ~]# salt '*' pkg.remove "vsftpd" #安装最新版本 [root@salt-master ~]# salt '*' pkg.latest_version "vsftpd" #更新软件包 [root@salt-master ~]# salt '*' pkg.upgrade "vsftpd" #查看帮助手册 [root@salt-master ~]# salt '*' pkg
pkg.installed
软件安装
php-install: pkg.installed: - pkgs: - php - php-mysql: ">=5.4.16" #指定安装版本 - php-pdo - php-cli
指定安装最新版本的软件
php-install: pkg.latest: - pkgs: - php - php-mysql - php-pdo - php-cli
file模块
模块名:file
功能:被控主机常见的文件操作,包括文件读写、权限、查找、校验
#校验所有minion主机文件的加密信息,支持md5、sha1、sha224、shs256、sha384、sha512加密算法
[root@salt-master ~]# salt '*' file.get_sum /etc/passwd md5
#修改所有minion主机/etc/passwd文件的属组、用户权限、等价于chown root:root /etc/passwd
[root@salt-master ~]# salt '*' file.chown /etc/passwd root root
#获取所有minion主机/etc/passwd的stats信息
[root@salt-master ~]# salt '*' file.stats /etc/passwd
#获取所有minion主机/etc/passwd的权限mode,如755,644
[root@salt-master ~]# salt '*' file.get_mode /etc/passwd
#修改所有minion主机/etc/passwd的权限mode为0644
[root@salt-master ~]# salt '*' file.set_mode /etc/passwd 0644
#在所有minion主机创建/opt/test目录
[root@salt-master ~]# salt '*' file.mkdir /opt/test
#在所有minion主机穿件/tmp/test.conf文件
[root@salt-master ~]# salt '*' file.touch /tmp/test.conf
#将所有minion主机/tmp/test.conf文件追加内容'maxclient 100'
[root@salt-master ~]# salt '*' file.append /tmp/test.conf 'maxclient 100'
#删除所有minion主机的/tmp/test.conf文件
[root@salt-master ~]# salt '*' file.remove /tmp/test.conf
补充:
# file.managed 下发文件,确保文件存在
# file.directory 建立目录
# file.symlink 建立软连接
# file.recurse 下发整个目录
# file.tidied: 查找匹配的文件或目录删除,如果没有不做操作
file.managed
下发文件,确保文件存在
[root@salt-master ~]# mkdir /srv/salt/base/files [root@salt-master ~]# cp /etc/httpd/conf/httpd.conf /srv/salt/base/files/ [root@salt-master ~]# cat /srv/salt/base/apache_conf.sls apache-config: file.managed: - name: /etc/httpd/conf/httpd.conf - source: salt://files/httpd.conf - user: root - group: root - mode: 644 说明: - name: 表示存放目的地址 - source: 表示这个文件来自哪里(说明这个文件得提前准备) 或者这样写,直接已目的地址命令ID,这样ID也表示目的地址 [root@salt-master ~]# cat /srv/salt/base/apache_conf.sls /etc/httpd/conf/httpd.conf: file.managed: - source: salt://files/httpd.conf - user: root - group: root - mode: 644
小示例: [root@salt-master ~]# cat /srv/salt/base/test.sls /tmp/passwd_back: file.managed: - source: salt://files/passwd - user: root - group: root - mode: 644 [root@salt-master ~]# cp /etc/passwd /srv/salt/base/files/ [root@salt-master ~]# salt '*' state.sls test [root@salt-master ~]# salt '*' cmd.run "ls -l /tmp/passwd_back" salt-minion03: -rw-r--r-- 1 root root 2098 May 15 16:21 /tmp/passwd_back salt-minion02: -rw-r--r-- 1 root root 2098 May 15 16:21 /tmp/passwd_back salt-minion01: -rw-r--r-- 1 root root 2098 May 15 16:21 /tmp/passwd_back
file.directory
建立目录
[root@salt-master ~]# cat /srv/salt/base/directory.sls /tmp/saltdir: file.directory: - user: root - group: root - mode: 755 - makedirs: True #如果上一级目录不存在自动创建;类似(mkdir -p) [root@salt-master ~]# salt '*' state.sls directory [root@salt-master ~]# salt '*' cmd.run "ls -d /tmp/saltdir" salt-minion03: /tmp/saltdir salt-minion02: /tmp/saltdir salt-minion01: /tmp/saltdir
file.recurse
下发整个目录
[root@salt-master ~]# cat /srv/salt/base/httpd_conf_dir.sls httpd_conf_dir: file.recurse: - name: /etc/httpd/conf.d - source: salt://files/conf.d - file_mode: 600 #文件权限 - dir_mode: 755 #目录权限 - include_empty: True #同步空目录 - clean: True #使用后minion与master保持一致 [root@salt-master ~]# rsync -avh /etc/httpd/conf.d /srv/salt/base/files/
file.symlink
建立软链接
[root@salt-master ~]# cat /srv/salt/base/target_link.sls /etc/grub.cfg: file.symlink: - target: /etc/grub2.cfg [root@salt-master ~]# salt '*' state.sls target_link [root@salt-master ~]# salt '*' cmd.run "ls -l /etc/grub.cfg" salt-minion03: lrwxrwxrwx 1 root root 14 May 15 16:42 /etc/grub.cfg -> /etc/grub2.cfg salt-minion01: lrwxrwxrwx 1 root root 14 May 15 16:42 /etc/grub.cfg -> /etc/grub2.cfg salt-minion02: lrwxrwxrwx 1 root root 14 May 15 16:42 /etc/grub.cfg -> /etc/grub2.cfg
service模块
模块名:service 功能:被控主机程序包服务管理 #开启(enable)禁用(disable) salt '*' service.enable <service name> salt '*' service.disabled <service name> #reload、restart、start、stop、status操作 salt '*' service.reload <service name> salt '*' service.restart <service name> salt '*' service.start <service name> salt '*' service.stop <service name> salt '*' service.status <service name>
[root@salt-master ~]# cat /srv/salt/base/service_httpd.sls httpd: service.running: - name: httpd #服务名称 - enable: True #开机自启动 - reload: True #允许重载配置文件,不写则是restart 或者这样写 [root@salt-master ~]# cat /srv/salt/base/service_httpd.sls httpd: #即表示ID,又表示服务名 service.running: - enable: True - reload: True
[root@salt-master ~]# cat /srv/salt/base/service_httpd.sls httpd: service.running: - name: httpd #服务名称 - enable: True #开机自启动 - reload: True #允许重载配置文件,不写则是restart 或者这样写 [root@salt-master ~]# cat /srv/salt/base/service_httpd.sls httpd: #即表示ID,又表示服务名 service.running: - enable: True - reload: True