salt-api 配置使用

salt-api 安装 ；配置源 （系统环境示例是centos6）

环境：

系统：
# cat /etc/issue
CentOS release 6.7 (Final)
内核：
# uname -r
2.6.32-573.el6.x86_64
运行账户：
root 
运行环境：
# java -version
java version "1.8.0_92"

yum 源配置

epel 源
rpm -Uvh https://mirrors.tuna.tsinghua.edu.cn/epel/6/i386/epel-release-6-8.noarch.rpm

salt-stack 源
# vi salt-stack.repo 

[saltstack-repo]
name=SaltStack repo for Red Hat Enterprise Linux $releasever
baseurl=http://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest
# baseurl=https://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest
enabled=1
gpgcheck=1 
# 或者 设置 gpgcheck=0
# gpgkey=https://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest/SALTSTACK-GPG-KEY.pub
gpgkey=http://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest/SALTSTACK-GPG-KEY.pub

　　1、yum 安装 salt 

salt-master:
yum install salt-master salt-minion salt-ssh salt-syndic salt-cloud -y 

salt-api:
yum install salt-api -y

salt-minion：
yum install salt-minion -y

　　2、配置证书 自生成证书 证书目录

切换证书目录 生成自签名证书
cd /etc/pki/tls/certs
make testcert
# 需要输入 key 和 EDNs
2048
2048
2048
# 剩余的可以enter直接默认回车。

切换私钥目录：
cd /etc/pki/tls/private
# 解密key文件，生成无密码的key文件, 过程中需要输入key密码，该密码为之前生成证书时设置的密码
openssl rsa -in localhost.key -out localhost_nopass.key

　　3、创建 salt-api 账户

# useradd -M -s /sbin/nologin salt-api
# echo "salt-api" | passwd salt-api --stdin

　　4、配置 master 配置文件

# cat /etc/salt/master |grep -v ^$ |grep -v ^#

default_include: master.d/*.conf
# 设置开启配置目录
interface: 172.16.5.17
# 设置 master IP 

　　5、配置 api 相关配置文件

创建  api 配置文件 api.conf

# cat api.conf 
rest_cherrypy:
  host: 172.16.5.17   # 主机
  port: 8888          # 端口
  ssl_crt: /etc/pki/tls/certs/localhost.crt
  ssl_key: /etc/pki/tls/private/localhost_nopass.key

创建 eauth 认证文件： eauth.conf

# cat eauth.conf
external_auth:  
  pam:            # 认证模式，pam 是linux用户默认认证模式
    salt-api:     # salt-api 认证用户 （前面设置的）
      - .*        # 设置用户权限 *全部
      - '@wheel'  # 模块
      - '@runner' # 模块

salt-api 配置文件目录结构

　　7、配置 minion

[root@oracle yum.repos.d]# cat /etc/salt/minion |grep -v ^$ |grep -v ^#
master: 172.16.5.17
id: 172.16.5.18
# 本机ip

　　8、启动：

/etc/init.d/salt-master restart
/etc/init.d/salt-api restart
/etc/init.d/salt-minion restart

9、测试 salt-api 获得 token （token值 api服务重启后失效）

# curl -ssk https://172.16.5.17:8888/login -H 'Accept: application/x-yaml' -d username='salt-api' -d password='salt-api' -d eauth='pam' 

return:
- eauth: pam
  expire: 1571255434.530587
  perms:
  - .*
  - '@wheel'
  - '@runner'
  start: 1571212234.530586
  token: 7d43359bdc35297482926be2fcf378d136b29f5a
  user: salt-api
curl 参数：
-k  忽略证书获取https内容 
-s  指定使用静默(silent)方式
-i  指定SaltAPI收到服务器返回的结果同时显示HTTP Header。
-H  指定一个特定的Header给远端服务器，当SaltAPI 需要发送appliton-tion/json Header时。会以我们希望的JSON格式返回结果
-d  想远端服务器发送POST请求，以key=value的格式发送 ，注意key=v时，必须紧挨=号两边

测试功能模块

# 获得token
curl -k https://172.16.5.17:8888/login -H 'Accept: application/x-yaml' -d username='saltapi' -d password='saltapi' -d eauth='pam'

# 测试test.ping ; salt 'ip' test.ping (local)
curl -k https://172.16.5.17:8888 -H "Accept: application/x-yaml" -H "X-Auth-Token: 6d133baa48ad607233cb80599c35c10d49d5f26a" -d client='local' -d tgt='*' -d fun='test.ping'

# 测试 salt -l 'ip' cun.run 'df -h' 
curl -k https://172.16.5.17:8888 -H "Accept: application/x-yaml" -H "X-Auth-Token: 6d133baa48ad607233cb80599c35c10d49d5f26a" -d client='local' -d tgt='*' -d fun='cmd.run' -d arg='df -h'

执行参数：
client ： 模块，python处理salt-api的主要模块，‘client interfaces <netapi-clients>’
local : 使用‘LocalClient <salt.client.LocalClient>’ 发送命令给受控主机，等价于saltstack命令行中的'salt'命令
local_async : 和local不同之处在于，这个模块是用于异步操作的，即在master端执行命令后返回的是一个jobid，任务放在后台运行，通过产看jobid的结果来获取命令的执行结果。
runner : 使用'RunnerClient<salt.runner.RunnerClient>' 调用salt-master上的runner模块，等价于saltstack命令行中的'salt-run'命令
runner_async : 异步执行runner模块
wheel : 使用'WheelClient<salt.wheel.WheelClient>', 调用salt-master上的wheel模块，wheel模块没有在命令行端等价的模块，但它通常管理主机资源，比如文件状态，pillar文件，salt配置文件，以及关键模块<salt.wheel.key>功能类似于命令行中的salt-key。
wheel_async : 异步执行wheel模块
备注：一般情况下local模块，需要tgt和arg(数组)，kwarg(字典)，因为这些值将被发送到minions并用于执行所请求的函数。而runner和wheel都是直接应用于master，不需要这些参数。
tgt : minions 地址
fun : 函数
arg : 参数
expr_form : tgt的匹配规则
    'glob' - Bash glob completion - Default
    'pcre' - Perl style regular expression
    'list' - Python list of hosts
    'grain' - Match based on a grain comparison
    'grain_pcre' - Grain comparison with a regex
    'pillar' - Pillar data comparison
    'nodegroup' - Match on nodegroup
    'range' - Use a Range server for matching
    'compound' - Pass a compound match string

示例：

curl -sk http://172.16.5.17:8888/run 
    -H 'Accept: application/x-yaml' 
    -H 'Content-type: application/json' 
    -d '[{
        "client": "local",
        "tgt": "172.16.5.23",
        "fun": "test.ping",
        "username": "salt-api",
        "password": "salt-api",
        "eauth": "pam"
    }]' 

root@oracle:/etc/salt/master.d# curl -sSk https://172.16.5.17:8888 -H 'Accept: application/x-yaml' -H 'X-Auth-Token: 19d7f22e22b9968b7dd4d293868739d994100be8' -d client=local -d tgt='172.16.5.23' -d fun=cmd.run -d arg=hostname
return:
- 172.16.5.23: web1

root@EM-6CU623W7BA:/etc/salt/master.d# curl -sSk https://172.16.5.17:8888 -H 'Accept: application/x-yaml' -H 'X-Auth-Token: 19d7f22e22b9968b7dd4d293868739d994100be8' -d client=local -d tgt='172.16.5.23' -d fun=cmd.run -d arg=uptime
return:
- 172.16.5.23: ' 21:54:54 up 298 days, 13:27,  1 user,  load average: 0.00, 0.00,
    0.00'