1、SaltStack简介
官方网址:http://www.saltstack.com
官方文档:http://docs.saltstack.com
GitHub:https:github.com/saltstack
SaltStack是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、
监控等功能,一般可以理解为简化版的puppet和加强版的func。SaltStack基于
Python语言实现,结合轻量级消息队列(ZeroMQ)与Python第三方模块
(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建。
通过部署SaltStack环境,我们可以在成千上万台服务器上做到批量执行命令,
根据不同业务特性进行配置集中化管理、分发文件、采集服务器数据、操作系统基
础及软件包管理等,SaltStack是运维人员提高工作效率、规范业务配置与操作的利
器。
2、SaltStack特性
(1)、部署简单、方便;
(2)、支持大部分UNIX/Linux及Windows环境;
(3)、主从集中化管理;
(4)、配置简单、功能强大、扩展性强;
(5)、主控端(master)和被控端(minion)基于证书认证,安全可靠;
(6)、支持API及自定义模块,可通过Python轻松扩展。
3、SaltStack的结构
saltstack采用C/S(客户端和server端)架构,salt-master为server端,salt-minion为客户端
a)Master与Minion认证
(1)、minion在第一次启动时,会在/etc/salt/pki/minion/(该路径在/etc/salt/minion里面设置)下自动生成minion.pem(private key)和 minion.pub(public key),然后将 minion.pub发送给master。
(2)、master在接收到minion的public key后,通过salt-key命令accept minion public key,这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key,然后master就能对minion发送指令了。
b)Master与minion链接
(1)、SaltStack master启动后默认监听4505和4506两个端口。4505(publish_port)为saltstack的消息发布系统,4506(ret_port)为saltstack客户端与服务端通信的端口。如果使用lsof 查看4505端口,会发现所有的minion在4505端口持续保持在ESTABLISHED状态。
4、SaltStack基础安装与操作
(1)环境说明
192.168.1.12 安装salt-master salt-minion
192.168.1.100 安装salt-minion
1、本次操作采用CentOS 7.2系统
# cat /etc/redhat-release CentOS Linux release 7.2.1511 (Core) # uname -r 3.10.0-327.el7.x86_64 # hostname -I 192.168.1.12 # hostname -I 192.168.1.100
2、操作系统基础优化
参考博客:http://blog.51cto.com/12217917/2060136
5、yum安装SaltStack
# rpm -ivh https://repo.saltstack.com/yum/redhat/salt-repo-latest-2.el7.noarch.rpm #两台服务器都安装rpm包
1、salt管理节点安装
# yum install -y salt-master salt-minion
2、salt所有客户端安装(被管理的机器)
# yum install -y salt-minion
6、启动Salt
1、管理端启动命令
# systemctl start salt-master #master端启动命令 # tree /etc/salt/pki #启动后查看目录结构 pki └── master ├── master.pem #salt-master的公钥 ├── master.pub #salt-master的私钥 ├── minions ├── minions_autosign ├── minions_denied ├── minions_pre └── minions_rejected
2、配置客户端并启动客户端
# sed -n '16p' /etc/salt/minion #修改所有客户端的配置文件 master: 192.168.56.11 #告诉客户端 salt-master是谁,:冒号后面需要有空格 注:minion配置文件的关于ID配置,{如果配置ID则使用配置里的ID作为主机通讯标记,如果不配置ID则默认以主机名作为ID为主机通讯标记(本人生产上的主机名都做修改所以这里没有配置ID),ID如果修改,需要删除之前认证的KEY,然后重新添加KEY。} # systemctl start salt-minion #启动客户端 注:修改客户端通讯ID的步骤{1.停止需要修改ID的salt-minion 2.salt-key 删除老的id 3.删除minion端的/etc/salt/minion_id 4.删除minion端/etc/salt/pki 5.修改minion配置文件的id 6.启动minion 7.master端重新salt-key加入} # tree #启动后查看客户端的结构 . ├── minion ├── minion.d ├── minion_id └── pki └── minion ├── minion.pem #minion的公钥 └── minion.pub #minion的私钥
7、在master端添加客户端
说明:这一步操作就相当与签劳动合同,表示客户端(salt-minion)接受server端(salt-master)管理。
# salt-key #查看客户端的命令 Accepted Keys: #已经同意的key有哪些 Denied Keys: #拒绝的key有哪些 Unaccepted Keys: #未同意的key有哪些 linux-node1 #客户端的通讯ID(由于前面没有配置,这里以主机名的形式出现) linux-node2 #客户端的通讯ID(由于前面没有配置,这里以主机名的形式出现) # salt-key -A #-A表示同意所有的客户端通讯ID The following keys are going to be accepted: Unaccepted Keys: db02-36 saltstack-41 Proceed? [n/Y] y #确认信息,是否同意这两个key Key for minion linux-node1 Key for minion linux-node2 关于salt-key的参数 -d 删除单个key,也支持*号模糊匹配删除 (针对key的操作) -D 删除所有key,慎用 (针对key的操作) -L 列表 (远程执行、列表key等) -A 同意所有key (针对key的操作) -a 同意单个,可以用*号迷糊匹配添加 (针对key的操作) -G 匹配Grains (远程执行) -I 匹配Pillar (远程执行) -E 支持正则表达式 (远程执行) -S 指定客户端的ip地址 (远程执行) -C 一条远程执行的命令同时支持多个参数 (远程执行) -N 支持节点组 (远程执行) 更多操作请通过salt-key --help来查看
8、master端确认是否能连接到客户端(salt-minion端)
1、测试所有客户端是否能通讯
# salt '*' test.ping #{*为通配符,表示所有。test为模块,ping为test模块下的一个方法(测试是否能通讯)} linux-node2 True #True为通,False为失败 linux-node1 True
2、远程执行shell命令
# salt ' linux-node2 ' cmd.run "w" #单独指定某个客户端的通讯ID表示在这台客户端执行(cmd.cun表示执行shell命令,支持linux下所有的shell命令) linux-node2: 20:26:56 up 2:10, 1 user, load average: 0.00, 0.01, 0.05
如有问题欢迎指出与交流。