saltstack远程执行底层原理
Salt的底层通信是通过ZeroMQ完成的,采用了ZeroMQ的订阅发布模式(Pub和Sub),如下图所示。
简单来讲,Pub/Sub模式类似于广播电台,在订阅发布模式中Pub将消息发送到总线,所有的Sub收到来自总线的消息后,根据自己的订阅条件来接收特定的消息。对应到Salt中就是master将事件发布到消息总线,minion订阅并监听事件,然后minion会查看事件是否 ,通过正则匹配的各种方法去匹配minion。下面简要说明下Saltmaster和minion的通信过程, Salt master启动时会监听两个端口,默认是4505和4506。
4506的作用: Salt Master Ret接口,支持认证(auth)、文件服务、结果收集等功能;
4505的作用:Salt Master pub接口,提供远程执行命令发送功能。
Salt minion启动时从配置文件中获取master的地址,如果为域名,则进行解析。解析完成后,会连接master的4506(Ret接口)进行key认证。认证通过,会获取到master的publish_port(默认是4505),然后连接publish_port订阅来自master pub接口的任务。当master下发操作指令时,所有的minion都能接收到,然后minion会检查本机是否匹配。如果匹配,则执行。执行完毕后,把结果发送到master的4506(Ret接口)由master进行处理,命令发送通信完全是异步的,并且命令包很小。此外,这些命令包通过maqpack进行序列化后数据会进一步压缩(Maqpack是一种高效的二进制序列化格式),所以Salt的网络负载非常低。
salt命令的结构语法
# salt '<target>' <function> [arguments] salt 'salt-minion-1' cmd.run 'uptime'
匹配方式
1、通配符匹配 [root@salt-master ~]# salt '*' test.ping [root@salt-master ~]# salt 'salt-minion01' test.ping [root@salt-master ~]# salt '*01' test.ping [root@salt-master ~]# salt 'salt-minion0[1|2]' test.ping [root@salt-master ~]# salt 'salt-minion0[!1|2]' test.ping [root@salt-master ~]# salt 'salt-minion0?' test.ping 2、列表匹配 [root@salt-master ~]# salt -L 'salt-minion01,salt-minion02' test.ping 3、正则匹配 [root@salt-master ~]# salt -E '^salt' test.ping [root@salt-master ~]# salt -E '^salt.*2$' test.ping 4、IP匹配 [root@salt-master ~]# salt -S '192.168.1.32' test.ping [root@salt-master ~]# salt -S '192.168.1.0/24' test.ping 5、复合匹配 [root@salt-master ~]# salt -C 'G@os:CentOS and S@192.168.1.32' test.ping 6、分组匹配 [root@salt-master ~]# vim /etc/salt/master nodegroups: webserver: 'salt-minion01,salt-minion02' dbserver: 'salt-minion03 [root@salt-master ~]# systemctl restart salt-master [root@salt-master ~]# salt -N 'webserver' test.ping [root@salt-master ~]# salt -N 'dbserver' test.ping 7、Grains匹配 [root@salt-master ~]# salt -G 'os:CentOS' test.ping [root@salt-master ~]# salt -G 'localhost:salt-minion02' test.ping 说明:上面这些匹配方式在top.sls文件中同样适用。
常用模式:分组匹配和列表匹配
saltstack模块介绍
saltstack状态模块:
mysql-install: #ID声明,必须唯一 pkg.installed: #state状态声明 - pkgs: #选项声明 - mariadb: #选项列表 - mariadb-server 说明: 一个ID只能出现一次 一个ID下相同模块只能使用一次 一个ID下不可以使用多个不同模块
模块帮助助手:
#列出所有状态模块 [root@salt-master ~]# salt '*' sys.list_modules #查看指定模块的所有方法 [root@salt-master ~]# salt '*' sys.list_state_functions pkg #查看指定模块的使用方法 [root@salt-master ~]# salt '*' sys.state_doc pkg #查看指定模块的指定方法的用法 [root@salt-master ~]# salt '*' sys.state_doc pkg.installed
模块介绍:
test模块
模块名:test 功能:用于测试 [root@salt-master ~]# salt '*' test.ping
user模块
参考:http://docs.saltstack.cn/ref/modules/all/salt.modules.useradd.html#module-salt.modules.useradd # salt '*' user.add name <uid> <gid> <groups> <home> <shell> [root@salt-master ~]# salt '*' user.add testuser
cmd模块
模块名:cmd 功能:实现远程的命令行调用执行(默认具备root操作权限,使用时需评估风险) #查看所有minion内存和磁盘使用情况 [root@salt-master ~]# salt '*' cmd.run "free -m" [root@salt-master ~]# salt '*' cmd.run "df -h"
pkg模块
模块名:pkg 功能:软件包状态管理,会根据操作系统不同,选择对应的安装方式(如CentOS系统默认使用yum,Debian系统默认使用apt-get) #安装 [root@salt-master ~]# salt '*' pkg.install "vsftpd" #卸载 [root@salt-master ~]# salt '*' pkg.remove "vsftpd" #安装最新版本 [root@salt-master ~]# salt '*' pkg.latest_version "vsftpd" #更新软件包 [root@salt-master ~]# salt '*' pkg.upgrade "vsftpd" #查看帮助手册 [root@salt-master ~]# salt '*' pkg
pkg.installed 软件安装
php-install:
pkg.installed:
- pkgs:
- php
- php-mysql: ">=5.4.16" #指定安装版本
- php-pdo
- php-cli
指定安装最新版本的软件
php-install:
pkg.latest:
- pkgs:
- php
- php-mysql
- php-pdo
- php-cli
file模块
模块名:file
功能:被控主机常见的文件操作,包括文件读写、权限、查找、校验
#校验所有minion主机文件的加密信息,支持md5、sha1、sha224、shs256、sha384、sha512加密算法
[root@salt-master ~]# salt '*' file.get_sum /etc/passwd md5
#修改所有minion主机/etc/passwd文件的属组、用户权限、等价于chown root:root /etc/passwd
[root@salt-master ~]# salt '*' file.chown /etc/passwd root root
#获取所有minion主机/etc/passwd的stats信息
[root@salt-master ~]# salt '*' file.stats /etc/passwd
#获取所有minion主机/etc/passwd的权限mode,如755,644
[root@salt-master ~]# salt '*' file.get_mode /etc/passwd
#修改所有minion主机/etc/passwd的权限mode为0644
[root@salt-master ~]# salt '*' file.set_mode /etc/passwd 0644
#在所有minion主机创建/opt/test目录
[root@salt-master ~]# salt '*' file.mkdir /opt/test
#在所有minion主机穿件/tmp/test.conf文件
[root@salt-master ~]# salt '*' file.touch /tmp/test.conf
#将所有minion主机/tmp/test.conf文件追加内容'maxclient 100'
[root@salt-master ~]# salt '*' file.append /tmp/test.conf 'maxclient 100'
#删除所有minion主机的/tmp/test.conf文件
[root@salt-master ~]# salt '*' file.remove /tmp/test.conf
补充:
# file.managed 下发文件,确保文件存在
# file.directory 建立目录
# file.symlink 建立软连接
# file.recurse 下发整个目录
# file.tidied: 查找匹配的文件或目录删除,如果没有不做操作
file.managed 下发文件,确保文件存在
[root@salt-master ~]# mkdir /srv/salt/base/files
[root@salt-master ~]# cp /etc/httpd/conf/httpd.conf /srv/salt/base/files/
[root@salt-master ~]# cat /srv/salt/base/apache_conf.sls
apache-config:
file.managed:
- name: /etc/httpd/conf/httpd.conf
- source: salt://files/httpd.conf
- user: root
- group: root
- mode: 644
说明:
- name: 表示存放目的地址
- source: 表示这个文件来自哪里(说明这个文件得提前准备)
或者这样写,直接已目的地址命令ID,这样ID也表示目的地址
[root@salt-master ~]# cat /srv/salt/base/apache_conf.sls
/etc/httpd/conf/httpd.conf:
file.managed:
- source: salt://files/httpd.conf
- user: root
- group: root
- mode: 644
小示例:
[root@salt-master ~]# cat /srv/salt/base/test.sls
/tmp/passwd_back:
file.managed:
- source: salt://files/passwd
- user: root
- group: root
- mode: 644
[root@salt-master ~]# cp /etc/passwd /srv/salt/base/files/
[root@salt-master ~]# salt '*' state.sls test
[root@salt-master ~]# salt '*' cmd.run "ls -l /tmp/passwd_back"
salt-minion03:
-rw-r--r-- 1 root root 2098 May 15 16:21 /tmp/passwd_back
salt-minion02:
-rw-r--r-- 1 root root 2098 May 15 16:21 /tmp/passwd_back
salt-minion01:
-rw-r--r-- 1 root root 2098 May 15 16:21 /tmp/passwd_back
file.directory 建立目录
[root@salt-master ~]# cat /srv/salt/base/directory.sls
/tmp/saltdir:
file.directory:
- user: root
- group: root
- mode: 755
- makedirs: True #如果上一级目录不存在自动创建;类似(mkdir -p)
[root@salt-master ~]# salt '*' state.sls directory
[root@salt-master ~]# salt '*' cmd.run "ls -d /tmp/saltdir"
salt-minion03:
/tmp/saltdir
salt-minion02:
/tmp/saltdir
salt-minion01:
/tmp/saltdir
file.recurse 下发整个目录
[root@salt-master ~]# cat /srv/salt/base/httpd_conf_dir.sls
httpd_conf_dir:
file.recurse:
- name: /etc/httpd/conf.d
- source: salt://files/conf.d
- file_mode: 600 #文件权限
- dir_mode: 755 #目录权限
- include_empty: True #同步空目录
- clean: True #使用后minion与master保持一致
[root@salt-master ~]# rsync -avh /etc/httpd/conf.d /srv/salt/base/files/
file.symlink 建立软链接
[root@salt-master ~]# cat /srv/salt/base/target_link.sls
/etc/grub.cfg:
file.symlink:
- target: /etc/grub2.cfg
[root@salt-master ~]# salt '*' state.sls target_link
[root@salt-master ~]# salt '*' cmd.run "ls -l /etc/grub.cfg"
salt-minion03:
lrwxrwxrwx 1 root root 14 May 15 16:42 /etc/grub.cfg -> /etc/grub2.cfg
salt-minion01:
lrwxrwxrwx 1 root root 14 May 15 16:42 /etc/grub.cfg -> /etc/grub2.cfg
salt-minion02:
lrwxrwxrwx 1 root root 14 May 15 16:42 /etc/grub.cfg -> /etc/grub2.cfg
service模块
模块名:service 功能:被控主机程序包服务管理 #开启(enable)禁用(disable) salt '*' service.enable <service name> salt '*' service.disabled <service name> #reload、restart、start、stop、status操作 salt '*' service.reload <service name> salt '*' service.restart <service name> salt '*' service.start <service name> salt '*' service.stop <service name> salt '*' service.status <service name>
[root@salt-master ~]# cat /srv/salt/base/service_httpd.sls httpd: service.running: - name: httpd #服务名称 - enable: True #开机自启动 - reload: True #允许重载配置文件,不写则是restart 或者这样写 [root@salt-master ~]# cat /srv/salt/base/service_httpd.sls httpd: #即表示ID,又表示服务名 service.running: - enable: True - reload: True
[root@salt-master ~]# cat /srv/salt/base/service_httpd.sls httpd: service.running: - name: httpd #服务名称 - enable: True #开机自启动 - reload: True #允许重载配置文件,不写则是restart 或者这样写 [root@salt-master ~]# cat /srv/salt/base/service_httpd.sls httpd: #即表示ID,又表示服务名 service.running: - enable: True - reload: True