saltstack安装部署
一、saltstack简介
1.简单介绍
saltstack是基于python开发的一套C/S架构配置管理工具,它的底层使用ZeroMQ消息队列pub/sub方式通信,使用SSL证书签发的方式进行认证管理。ZeroMQ使SaltStack能快速在成千上万台机器上进行各种操作,而且采用RSA Key方式确认身份,传输采用AES加密,使传输的安全性得到保障。
saltstack是基于C/S架构的服务模式,服务器端叫做Master,客户端叫作Minion,并且有消息队列中的发布与订阅(pub/sub)服务模式,minion与master之间通过ZeroMQ消息队列通信。Master和Minion端都以守护进程的模式运行,一直监听配置文件里面定义的ret_port也就是4506端口(接收minion请求)和publish_port也就是4505端口(ZMQ的发布消息)。当minion运行时会自动连接到配置文件里面定义的Master地址ret_port端口进行连接认证。
2.通信模型
Salt使用发布 - 订阅模式与受管系统进行通信。 连接由Salt minion发起,这意味着你不需要在这些系统上打开任何传入端口(从而减少攻击向量)。 Salt master使用端口4505和4506,必须打开端口才能接收访问连接。
Publisher (端口4505)所有Salt minions都需要建立一个持续连接到他们收听消息的发布者端口。 命令是通过此端口异步发送给所有连接,这使命令可以在大量系统上同时执行。
Request Server (端口4506)Salt minions根据需要连接到请求服务器,将结果发送给Salt master,并安全地获取请求的文件或与特定minion相关的数据值(称为Salt pillar)。 连接到这个端口的连接在Salt master和Salt minion之间是1:1(不是异步)。
3.Salt minion认证
当minion第一次启动时,它会在网络中搜索一个名为salt的系统(尽管这可以很容易地更改为IP或不同的主机名)。 当发现时,minion发起握手,然后将公钥发送给Salt master。
在初始连接之后,Salt minions的公钥存储在服务器上,并且必须使用salt-key命令(或通过某种自动机制)在Salt master上接受。 这可能是让新用户混淆的原因,因为Salt不会提供解密消息所需的安全密钥,直到Salt minions的公钥被接受(这意味着Salt minions在被接受其密钥之前不会运行任何命令)。
在minion密钥被接受后,Salt主机会返回其公钥以及旋转的AES密钥,该密钥用于加密和解密由Salt master发送的消息。 返回的AES密钥使用Salt minion最初发送的公钥进行加密,因此只能由该Salt minion解密。
二、saltstack安装
1.下载yum源
wget -P /etc/yum.repos.d https://mirrors.aliyun.com/saltstack/yum/redhat/7.2/x86_64/saltstack-rhel7.repo
2.在master端安装
yum -y install salt-master
3.在minion端安装
yum -y install salt-minion
三、saltstack的配置
master端
在 /etc/salt/master下添加
master: 192.168.1.3
user: root
service salt-master start 启动
minion端
在/etc/saltminion下添加
#这里要指向salt-master服务器,可以是IP,也可以是域名,也可以是主机名,不过主机名就要写/etc/hosts了,如果用的是内部DNS服务器的话可以用主机名或者域名的形式。
master: 192.168.1.3
user: root
id: agent1
service salt-minion start
注意Salt master的管理命令需要系统root权限才能执行,需要在执行命令时使用sudo或直接切换为root用户。
查看所有的密钥
[root@localhost]# sudo salt-key --list-all # salt-key -L
Accepted Keys:
agent1
Denied Keys:
Unaccepted Keys:
Rejected Keys:
接受一个指定密钥
salt-key --accept=<key>
接受所有密钥
salt-key --accept-all
测试
[root@localhost]# sudo salt '*' test.ping
agent1:
True
注:
master 秘钥对默认存储在/etc/salt/pki/master/master.pub /etc/salt/pki/master/master.pem
master 端认证的公钥存储在:/etc/salt/pki/master/minions/
minion 秘钥对默认存储在/etc/salt/pki/minion/minion.pub /etc/salt/pki/minion/minion.pem
minion 存放的master公钥/etc/salt/pki/minion/minion_master.pub
minion_id 默认存储在/etc/salt/minion_id #?
salt命令详解
salt "*" sys.list_modules # 查看所有模块
# salt -h
Usage: salt [options] '<target>' <function> [arguments]
Options(选项):
--version : 查看saltstack软件的版本号。
--versions-report : 查看saltstack软件以及依赖包的版本号。
-h, --help : 查看帮助信息。
--saltfile=SALTFILE:指定saltfile的路径。 如果没有通过,将在当前工作目录中搜索一个。
-c CONFIG_DIR, --config-dir=CONFIG_DIR:指定配置文件的目录(默认是/etc/salt/)。
-t TIMEOUT, --timeout=TIMEOUT:指定超时时间默认是5秒。
--hard-crash:捕捉到original异常不退出默认关闭。
-s, --static:以组的形式返回所有minion的数据。
-p, --progress:显示进度图,需要progressbar的python包。
--failhard :在第一个执行错误返回之后停止批处理。
--async : 异步执行。
--subset=SUBSET : 对目标minions的随机子集执行程序. minions在执行前会先验证是否存在该命名的函数,再去执行
-v, --verbose : 打开命令详细,显示jid和活动的工作查询
--hide-timeout : 隐藏超时时间。
--show-jid : 显示任务的jid。
-b BATCH, --batch=BATCH, --batch-size=BATC : 按照百分比执行任务。
-a EAUTH, --auth=EAUTH, --eauth=EAUTH, --external-auth=EAUTH : 指定外部认证方式。
-T, --make-token : 生成master token.
--return=RETURNER : 设置一种替代方法。 默认情况下,salt将从命令将返回数据发送回主服务器,但返回数据可以重定向到任意数量的系统,数据库或应用程序。
--return_config=RETURNER_CONF : 指定命令返回的设置文件。
-d, --doc, --documentation : 查看指定模式或所有模块文档。
--args-separator=ARGS_SEPARATOR : 指定发送命令跟命令参数的分隔符,当用户想把一个命令当作参数发送给另一个命令执行时。
--summary : 显示汇总信息。
--username=USERNAME : 指定外部认证的用户名。
--password=PASSWORD : 指定外部认证的密码。
--metadata=METADATA : 将元数据传递给Salt,用于搜索作业。
Logging Options(日志相关参数):
-l LOG_LEVEL, --log-level=LOG_LEVEL : 指定日志级别。
--log-file=LOG_FILE : 指定日志记录文件
--log-file-level=LOG_LEVEL_LOGFILE : 日志文件日志记录级别。'all', 'garbage', 'trace', 'debug', 'info', 'warning', 'error','critical', 'quiet'. 默认: 'warning'.
Target Options(目标选择选项):
-E, --pcre : 正则匹配
-L, --list: 列表匹配,目标表达式将被解释为以逗号分隔的列表。
-G, --grain: grains匹配。
--grain-pcre :grains加正则匹配。
-N, --nodegroup:组匹配。
-R, --range:范围匹配。
-C, --compound : 综合匹配(指定多个匹配,空格隔开)。
-I, --pillar : pillar值匹配。
-J, --pillar-pcre : pillar加正则匹配。
-S, --ipcidr : minions网段地址匹配。
Output Options(输出参数):
--out=OUTPUT, --output=OUTPUT : 使用指定的输出器从'salt'命令打印输出。 内置的是 'key', 'yaml', 'overstatestage', 'newline_values_only', 'pprint', 'txt', 'raw', 'virt_query', 'compact', 'json', 'highstate', 'nested', 'quiet', 'no_return'.
--out-indent=OUTPUT_INDENT, --output-indent=OUTPUT_INDENT : 在空格中打印由提供的值缩进的输出。 负值禁用缩进。 仅适用于支持缩进的输出器。
--out-file=OUTPUT_FILE, --output-file=OUTPUT_FILE : 输出到指定文件。
--out-file-append, --output-file-append : 输出附加到指定的文件。
--no-color, --no-colour : 关闭所有的颜色显示。
--force-color, --force-colour : 强制输出颜色显示。
--state-output=STATE_OUTPUT, --state_output=STATE_OUTPUT : 覆盖配置的state_output值输出,指定state格式(full, terse, mixed, changes or filter)输出,默认值是full。
salt-key命令详解
# salt-key -h
Actions:
-l ARG, --list=ARG:显示指定状态的key(支持正则表达式)
-L, --list-all :列出所有公钥。"--list all"已经弃用。
-a ACCEPT, --accept=ACCEPT: 接受指定的公钥(除了挂起的密钥之外,使用--include-all匹配拒绝的密钥),支持正则表达式。
-A, --accept-all :接收所有等待认证的key。
-r REJECT, --reject=REJECT :拒绝指定等待认证的key(支持正则表达式)
-R, --reject-all:拒绝所有等待认证的key。
--include-all: 显示所有状态的key。
-p PRINT, --print=PRINT :打印指定的公钥支持正则表达式。
-P, --print-all:打印所有的公钥。
-d DELETE, --delete=DELET:删除指定的key。
-D, --delete-all:删除所有的key。
-F, --finger-all:显示所有key的指纹信息。
查找模块
salt '*' -d|grep ":" |grep disk
查找某个模块拥有的方法
salt 'agent1' sys.list_functions test