学习一：saltstack安装及简单配置

实验环境

CentOS6.7 
Linux salt-client2 2.6.32-573.el6.x86_64 #1 SMP Thu Jul 23 15:44:03 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

主机名	对应的IP地址
salt-server	192.168.1.100
salt-client-01	192.168.1.116
salt-client-02	192.168.1.115

安装saltstack

1、安装epel

对于RHEL5：

rpm -Uvh http://mirror.pnl.gov/epel/5/i386/epel-release-5-4.noarch.rpm

对于RHEL6：

rpm -Uvh http://mirrors.yun-idc.com/epel/6Server/x86_64/epel-release-6-8.noarch.rpm

2、安装salt

安装master

yum install salt-master -y

安装minion

yum install salt-minion -y

3、启动服务及设置开机自启

Master端
启动Master:

service salt-master start

配置master开机自动启动:

chkconfig salt-master on

Minion端
启动Minion:

service salt-minion start

配置master开机自动启动:

chkconfig salt-minion on

4、关闭防火墙

[root@salt-server salt]# /etc/init.d/iptables stop
iptables：将链设置为政策 ACCEPT：filter                    [确定]
iptables：清除防火墙规则：                                 [确定]
iptables：正在卸载模块：                                   [确定]

5、服务配置

Master基本设置
编辑配置文件 /etc/salt/master,修改如下所示配置项，去掉前面的注释符

interface: 0.0.0.0
log_file: /var/log/salt/master      # 记录主控端运行日志
key_logfile: /var/log/salt/key      # 记录认证证书日志

Minion基本设置
编辑配置文件 /etc/salt/minion,修改如下所示配置项，去掉前面的注释符#

master: 192.168.1.100              # 设置主控端IP
id: salt-client-01                 # 设定受控端编号
log_file: /var/log/salt/minion     # 记录受控端运行日志
key_logfile: /var/log/salt/key     # 记录认证证书日志

小技巧 查看配置文件信息，过滤注释语句：__

sed -e '/^#/d;/^$/d' /etc/salt/minion

6、证书管理

如果一切顺利，请继续！

saltstack 主控端是依靠openssl证书来与受控端主机认证通讯的，受控端启动后会发送给主控端一个公钥证书文件，在主控端用 salt-key 命令来管理证书。

salt-key -L     # 用来查看证书情况
salt-key -a     # 用来管理接受证书

受控端证书认证后会显示如下情形：

[root@salt-server salt]# salt-key -L
Accepted Keys:
salt-client-01
salt-client-02
Denied Keys:
Unaccepted Keys:
Rejected Keys:

认证前到认证后过程：

[root@salt-server salt]# salt-key -L
Accepted Keys:
Denied Keys:
Unaccepted Keys:
salt-client-01
salt-client-02
Rejected Keys:

[root@salt-server salt]# salt-key -a salt-client-01
The following keys are going to be accepted:
Unaccepted Keys:
salt-client-01
Proceed? [n/Y] y
Key for minion salt-client-01 accepted.
[root@salt-server salt]# salt-key -A salt-client -y
The following keys are going to be accepted:
Unaccepted Keys:
salt-client-02
Key for minion salt-client-02 accepted.
[root@salt-server salt]# salt-key -L
Accepted Keys:
salt-client-01
salt-client-02
Denied Keys:
Unaccepted Keys:
Rejected Keys:

[root@salt-server salt]# salt '*' test.ping
salt-client-01:
    True
salt-client-02:
    True

主控端和被控端的证书默认都存放在 /etc/salt/pki/ 中，如果遇到证书不生效的情况下，可在主控端证书存放目录删除受控端证书，重新认证一下。