一、认识自动化运维
传统运维效率低,大多工作人为完成
传统运维工作繁琐,容易出错
传统运维每日重复做相同的事情
传统运维没有标准化流程
传统运维的脚本繁多,不能方便管理
自动化运维就是要解决上面所有问题
Puppet (www.puppetlabs.com)
基于rubby开发,c/s架构,支持多平台,可管理配置文件、用户、cron任务、软件包、系统服务等。 分为社区版(免费)和企业版(收费),企业版支持图形化配置。
Saltstack(官网 https://saltstack.com,文档docs.saltstack.com )
基于python开发,c/s架构,支持多平台,比puppet轻量,在远程执行命令时非常快捷,配置和使用比puppet容易,能实现puppet几乎所有的功能。
Ansible (www.ansible.com )
更加简洁的自动化运维工具,不需要在客户端上安装agent,基于python开发。可以实现批量操作系统配置、批量程序的部署、批量运行命令
Satlstack比Ansible支持的机器更多
二 、saltstack安装
saltstack介绍https://docs.saltstack.com/en/latest/topics/index.html
可以使用salt-ssh远程执行,类似ansible,
也支持c/s模式中控中心,下面我们将讲述c/s种模式的使用,需要准备两台机器
1.101为服务端,1.106为客户端
设置hostname以及hosts,davery,davery01
如果客户端机器比较多则需要内部弄个DNS
vim /etc/hosts
两台机器全部安装saltstack yum源
yum install -y https://repo.saltstack.com/yum/redhat/salt-repo-latest-2.el7.noarch.rpm
101上执行 yum install -y salt-master salt-minion
yum list |grep salt
106上执行 yum install -y salt-minion
三、启动salt相关服务
101上编辑配置文件
vi /etc/salt/minion //增加
master: davery
添加
启动服务
systemctl start salt-master
systemctl start salt-minion
服务端监听4505和4506两个端口,4505为消息发布的端口,4506为和客户端通信的端口
106上编辑配置文件
vi /etc/salt/minion //增加
master: davery
启动服务systemctl start salt-minion
客户端不监听端口
四、saltstack配置认证
master端和minion端通信需要建立一个安全通道,传输过程需要加密,所以得配置认证,也是通过密钥对来加密解密的
minion在第一次启动时会在/etc/salt/pki/minion/下生成minion.pem私钥和minion.pub公钥,其中.pub为公钥,它会把公钥传输给master
[root@davery01 ~]# ls /etc/salt/pki/minion
minion.pem minion.pub
[root@davery01 ~]#
cat /etc/salt/pki/minion/minion.pem私钥
cat /etc/salt/pki/minion/minion.pub公钥
master第一次启动时也会在/etc/salt/pki/master下生成密钥对,当master接收到minion传过来的公钥后,通过salt-key工具接受这个公钥,一旦接受后就会在/etc/salt/pki/master/minions/目录里存放刚刚接受的公钥,同时客户端也会接受master传过去的公钥,把它放在/etc/salt/pki/minion目录下,并命名为minion_master.pub
[root@davery ~]# ls /etc/salt/pki/master
cat /etc/salt/pki/master/master.pem
cat /etc/salt/pki/master/master.pub
以上过程需要借助salt-key工具来实现
执行如下命令 salt-key -a davery // -a后面跟主机名(增加),可以认证指定主机
salt-key -a davery01
报错了不能收到01机器key,先把所有key删除一下,然后重新设置一下hostname和hosts,就可以了,如下
[root@davery ~]# ls /etc/salt/pki/minion
minion.pem minion.pub
[root@davery ~]# rm -rf /etc/salt/pki/minion/minion.pub
[root@davery ~]# rm -rf /etc/salt/pki/minion/minion.pem
[root@davery ~]# cd /etc/salt/pki/master
[root@davery master]# ls
master.pem minions minions_denied minions_rejected
master.pub minions_autosign minions_pre
[root@davery master]# rm -rf master.pem
[root@davery master]# rm -rf master.pub
[root@davery ~]# ls /etc/salt/pki/master/minions
[root@davery ~]# ls /etc/salt/pki/master/minions_denied
五、salt-key命令用法
-a 后面跟主机名,认证指定主机
-A 认证所有主机
-r 跟主机名,拒绝指定主机
-R 拒绝所有主机
-d 跟主机名,删除指定主机认证
-D 删除全部主机认证
-y 省略掉交互,相当于直接按了y,如果已经允许了一次第二次就不会接受了,要重新删除salt-key -D才能再次接受
六、saltstack远程执行命令
所有的指令都是在master上执行
salt '*' test.ping //这里的*表示所有已经签名的minion端,也可以指定一个,测试对方机器是否存活
salt 'davery' test.ping
salt '*' cmd.run "hostname"
说明: 这里的*必须是在master上已经被接受过认证的客户端,可以通过salt-key查到,通常是我们已经设定的id值。关于这部分内容,它支持通配、列表以及正则。
比如两台客户端davery01,davery02, 那我们可以写成,正则表达式
salt 'davery*' cmd.run 'hostname'
salt 'davery0[12]'
salt -L 'davery01,davery02'
salt -E 'davery(01|02)'
等形式,使用列表,即多个机器用逗号分隔,而且需要加-L,使用正则必须要带-E选项。 它还支持grains,加-G选项,pillar 加-I选项,下面会介绍到
七、saltstack - grains 都是在master davery上操作
grains是在minion启动时收集到的一些信息,比如操作系统类型、网卡ip、内核版本、cpu架构等。
salt 'davery01' grains.ls 列出所有的grains项目名字
salt 'davery01' grains.items 列出所有grains项目以及值
grains的信息并不是动态的,并不会实时变更,它是在minion启动时收集到的。
我们可以根据grains收集到的一些信息,做配置管理工作。
grains支持自定义信息。
minion上:
vim /etc/salt/grains //添加:
role: nginx
env: test
重启minion服务
systemctl restart salt-minion
master上:
获取grains:
salt '*' grains.item role env
可以借助grains的一些属性信息来执行
salt -G role:nginx cmd.run 'hostname'
八、saltstack – pillar
pillar和grains不一样,是在master上定义的,并且是针对minion定义的一些信息。像一些比较重要的数据(密码)可以存在pillar里,还可以定义变量等。
配置自定义pillar
vim /etc/salt/master
找到如下配置://去掉前面的警号
pillar_roots:
改为
base: #此行前面有两个空格
- /srv/pillar #此行前面有4个空格
重启
[root@davery ~]# systemctl restart salt-master
mkdir /srv/pillar
vim /srv/pillar/test.sls //内容如下
conf: /etc/123.conf
vi /srv/pillar/top.sls //内容如下
base:
'aming-02': #此行前面有两个空格
- test #此行前面有4个空格
重启master
systemctl restart salt-master
当更改完pillar配置文件后,我们可以通过刷新pillar配置来获取新的pillar状态:
salt '*' saltutil.refresh_pillar
验证:salt '*' pillar.item conf
pillar同样可以用来作为salt的匹配对象。比如 salt -I 'conf:/etc/123.conf' test.ping
