SALTSTACK是什么?
Salt是一种和以往不同的基础设施管理方法,它是建立在大规模系统高速通讯能力可以大幅提升的想法上。这种方法使得Salt成为一个强大的能够解决基础设施中许多特定问题的多任务系统。远程执行引擎是Salt的核心,它能够为多组系统创建高速、安全的双向通讯网络。基于这个通许系统,Salt提供了一个非常快速、灵活并且容易使用的配置管理系统,称之为“Salt States”。通过部署SaltStack环境,我们可以在成千上万台服务器上做到批量执行命令,根据不同业务特性进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等,SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。
-
local 本地
-
master/minion 主人批量管理方式
-
salt ssh ssh方式
saltstack的特点:
- 部署简单、方便;
- 主从集中化管理;
- 配置简单、功能强大、扩展性强;
- 主控端(master)和被控端(minion)基于证书认证,安全可靠;
- 支持API及自定义模块,可通过Python轻松扩展。
saltstack主要功能:
-
远程执行命令
-
配置管理
-
云管理 支持各种云平台
安装SALT
测试环境配置
| 系统版本 | IP | 主机名 |
| CentOS Linux release 7.2.1511 (Core) | 192.16.14.58 | master-node-01 |
| CentOS Linux release 7.2.1511 (Core) | 192.168.14.30 | minion-node-01 |
我在centos7.2环境下
参考:
https://docs.saltstack.com/en/latest/topics/installation/index.html#quick-install1
配置好salt源,直接用yum安装
安装的版本是SALT 2016.11.5
1.安装master
master-node上安装
yum install salt-master
安装salt-master会自动把salt-minion安装上。
2.安装minion
minion-node上安装
yum install salt-minion
3.master-node开机自启master,minion-node开机自启minion
systemctl enable salt-master systemctl enable salt-minion
4.启动salt-master和salt-minion
master-node主机上执行: systemctl start salt-master minion-node上执行 systemctl start salt-minion
5.做上host解析(测试环境)有dns可以做dns解析
HOST文件如下
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.14.50 master-node-01 192.168.14.37 minion-node-01
master和minion的hosts文件都是一样
6.防火墙,(做测试我关掉了 )
iptables -I INPUT -m state --state new -m tcp -p tcp --dport 4505 -j ACCEPT iptables -I INPUT -m state --state new -m tcp -p tcp --dport 4506 -j ACCEPT
master可以有多个,minion一样也是可以有多个
安装salt-master会默认把salt-minion安装上
master可以理解为主人,minion可以理解为奴才
修改配置文件
在master-node和minion-node上都修改/etc/salt/minion中16行的位置
去掉注释master哪行改为如下内容:
master: 192.168.14.50
告诉主人是谁,master后面也可以是域名
修改了配置文件,记得重启服务
认证
认证一般都是在master上操作,可以简单理解是否管理这太机器
minion第一启动会产生认证文件,会把公钥发送给master
认证目录:/etc/salt/pki/minion
master第一次启动也会产生相应的认证文件
认证目录:/etc/salt/pki/master
在master上可以利用tree命令查看关系
[root@master-node-01 ~]# cd /etc/salt/pki/master/ [root@master-node-01 master]# tree . ├── master.pem ├── master.pub ├── minions ├── minions_autosign ├── minions_denied ├── minions_pre │ ├── master-node-01 │ └── minion-node-01 └── minions_rejected
master上操作
master需要管理那些minion,这时候就需要认证授权,
1.查看认证信息状态:salt-key
[root@master-node-01 master]# salt-key Accepted Keys: #同意的key Denied Keys: Unaccepted Keys: #未同意的key master-node-01 minion-node-01 Rejected Keys: #拒绝的key
2.同意认证
命令有如下:
salt-key -A #同意所有 salt-key -a key名(支持通配符) #同意指定的主机 salt-key -a master-* #同意管理master-开头的认证主机
[root@master-node-01 master]# salt-key -a master-* The following keys are going to be accepted: Unaccepted Keys: master-node-01 Proceed? [n/Y] y Key for minion master-node-01 accepted.
3.查看所管理的主机
命令:
salt-key -L
4.在利用tree查看关系
minion也接收的master上的公钥
5.更多命令,查看详细的帮组信息
salt-key --help
master和minion认证过程
(1)、minion在第一次启动时,会在/etc/salt/pki/minion/(该路径在/etc/salt/minion里面设置)下自动生成minion.pem(private key)和 minion.pub(public key),然后将 minion.pub发送给master。
(2)、master在接收到minion的public key后,通过salt-key命令accept minion public key,这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key,然后master就能对minion发送指令了。
Master与Minion的连接
SaltStack master启动后默认监听4505和4506两个端口。4505(publish_port)为saltstack的消息发布系统,4506(ret_port)为saltstack客户端与服务端通信的端口。如果使用lsof 查看4505端口,会发现所有的minion在4505端口持续保持在ESTABLISHED状态。
远程执行
远程管理主机
salt 'key名(支持通配符)' test.ping
salt命令 引号中间是主机名 test是saltstack的一个模块 ping是test模块下的一个方法
* 表时在所有已管理的minion上执行
salt '*' cmd.run '参数(具体的shell命令)'
配置管理
1.简单master配置文件修改
修改master配置文件,修改内容如下,以及具体修改的行数
#号是注释,无实际意义
vim /etc/salt/master 535 file_roots: #saltstack状态文件 536 base: #指定一个坏境支持多种坏境(列开发,测试),base前面2个空格,默认必须要有一个base环境 537 - /srv/salt/ # -前面4个空格 ,状态文件存放的目录,注意本地是否有这个目录,没有则新建
重启master生效
本地新建目录/srv/salt/
2.配置安装httpd模板文件
在/srv/salt/目录下,新编辑apache.sls 内容如下
apache install: #安装名称
pkg.installed: #前面两个空格,pkg是个模块,installed是个方法
- names: #前面4个空格
- httpd #前面6个空格,安装的软件包,会用yum安装
- httpd-devel #开发工具包
apache-server:
service.running: #前面两个空格 service是个模块,running也是个方法
- name: httpd # 安装软件包的名称 前面4个空格
- enable: True #前面4个空格 开机自启
- reload: True #前面4个空格 可以重载
往所有主机上安装apache
salt '*' state.sls apache
#在所有机器上执行apache这个文件的,apache后面不用写.sls 默认会给加上 这个状态文件所做的功能在所有机器上安装httpd和httpd-devel 以及开机自启
过程中可以查看是不是用在用yum装apache, ps aux | grep yum
执行结果如下图:
状态管理
一个机器肯定有多个状态,用高级状态,会有一个入口文件,来监控哪些机器有哪些状态,默认入口文件名叫top.sls,必须放在base环境 
内容如下:
base: #在base环境下
'*': #有所有minion机器上,可以写执行的minion的已认证的名字 ,支持通配符,前面连个空格
- apache#所有的minion都执行apache这个文件的状态 ,前面四个空格,可以执定那些机器执行相应状态文件
执行高级状态
salt '*' state.highstate
效果如下:
什么东西放在base环境?
所有机器都要执行的状态,应该放在base环境,例如 所有机器都要调整内核参数 等等