Saltstack 和 Salt-API 安装配置及使用

CentOS 7 安装 saltstack

salt介绍

　　salt是一个配置管理系统，能够维护预定义状态的远程节点（比如，确保指定的报被安装，指定的服务在运行）。一个分布式远程执行系统，用来在远程节点（可以是单个节点，也可以是任意规则挑选出来的节点）上执行命令和查询数据。开发其的目的是为远程执行提供最好的解决方案，并使远程执行变得更好，更快，更简单。

　　saltstack（中国用户组www.saltstack.cn）基于Python开发，c/s架构支持多平台，比puppet轻量，在远程执行命令时非常快捷，配置和使用比puppet容易，能实现puppet几乎所有的功能。

　　saltstack的优势：有master端和minion端，执行的信息比较稳定，不容易丢失信息，或者出现失联主机的情况；有封装好的http-api，可以直接启动salt-api就可以通过http协议进行调用。不需要进行第二次的封装。

salt安装

1.安装epel yum源

yum -y install epel-release 
yum clean all 
yum makecache

2.安装 salt-master并配置

salt-master 安装： yum -y install salt-master
salt-master 配置：
修改minion配置文件 vim /etc/salt/master
interface: 10.0.0.15   
或者
[root@localhost salt]# sed -i 's/#interface: 0.0.0.0/interface: 10.0.0.15/g' /etc/salt/master
[root@localhost salt]# sed -e '/^$/d;/^#/d;' /etc/salt/master
interface: 10.0.0.15

3.安装 salt-minion 并配置

salt-minion 安装： yum -y install salt-minion
salt-minion 配置：
修改minion配置文件 vim /etc/salt/minion
master: 192.168.56.11   可以是主机名需要解析（指定服务端的IP地址）
id：   唯一标识符，可以不配，不配默认就是主机名
或者
[root@localhost salt]# sed -i 's/#master: salt/master: 10.0.0.15/g' /etc/salt/minion
[root@localhost salt]# sed -e '/^$/d;/^#/d;' /etc/salt/minion
master: 10.0.0.15

4.启动 salt-master 和 salt-minion

启动master：
[root@localhost salt]# systemctl start salt-master
[root@localhost salt]# systemctl status salt-master

启动minion：
[root@localhost salt]# systemctl start salt-minion
[root@localhost salt]# systemctl status salt-minion

5.测试 saltstack （接下来都在 salt-master 端操作）

1、查看 minion 列表（这时候 10.0.0.129是红色的，表示未通过认证，10.0.0.15是绿色的，表示通过认证了）

2、认证所有 key，当然你也可以通过 
salt-key -a 10.0.0.129 指定某台 minion 进行认证 key，或者salt-key -A进行所有认证key

3、接着继续查看 minion 列表 （这时候10.0.0.129 已经变为绿色，说明 key 已被添加）

4、简单测试（通过 salt-master 进行检测）

可以ping到 10.0.0.129 返回值为 True，说明 salt-master 和 salt-minion 可以通讯，安装到此结束。

saltstack的设置

1.master与minion的认证

minion在第一次启动时，会在/etc/salt/pki/minion/（该路径在/etc/salt/minion里面设置）下自动生成minion.pem（private key）和 minion.pub（public key），然后将 minion.pub发送给master。
master在接收到minion的public key后，通过salt-key命令accept minion public key，这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key，然后master就能对minion发送指令了。
　　常用指令：

　　salt-key -L 或者salt-key 显示所有的key
　　salt-key -D ：删除所有认证主机id证书
　　salt-key -d keys_values -y
　　salt-key -A：接收所有id证书请求
　　salt-key -a id ：接受单个id证书请求

2.saltstack远程执行机器

（1）-E， --pcre，通过正则表达式进行匹配：
　　salt -E 'web(9|10)*' test.ping -t 1
（2）-L, --list, 主机id进行过滤：
　　salt -L "*app*" cmd.run "df -h" 
（3） -G, --grain, 根据被控主机的grains信息进行过滤
　　salt -G 'role:nginx' cmd.run "ls /export"
（4） -I, --pillar， 根据被控主机的pillar信息进行过滤
　　salt -I 'myname:xiang' test.ping -t 5
（5） -S, --ipcidr, 根据minion的ip地址进行匹配
　　salt -S 192.168.1.1 test.ping
　　salt -S 192.168.1.0/24 test.ping
　　salt -S 192.168.0.0/16 test.ping
　　salt -S 192.0.0.0/8 test.ping
（6）检查客户端是否挂掉：
　　salt-run manage.status |head
　　salt-run manage.down

3.saltstack配置文件详解

saltstack占用两个端口4505和4506：
确保master端的4505和4506端口开通
Minion的key确实别master接受
通过test.ping 模块，双方都可以ping通

4.saltstack的几种模块介绍

Runner 模块     在master端执行的  salt-run
Module 模块    通过master同步到minion端， 在minion执行
　　　　　　　salt-call saltutil.sync_modules
　　　　　　　salt-call saltutil.sync_all：包括：beacons:
　　　　　　　clouds:    engines:    grains:    log_handlers:    modules:
　　　　　　　output:    proxymodules:    renderers:    returners:    sdb:
　　　　　　　states:    utils:

Grins 模块    记录minion的属性key：value
Pillar模块      记录所有minion通用的属性，然后同步到minion端
　　　　　　salt-call saltutil.refresh_pillar
　　　　　　salt ‘*’ saltutil.refresh_pillar

 cmd模块       salt  ‘*’ cmd.run “df -h”
 ping模块　　salt ‘*’ test.ping –t 5
  cp 模块
　　　　　　file_roots: 
　　　　　　base:
　　　　　　- /export/salt/root
　　　　　　salt根目录：在master中file_roots定义的路径，salt://test.txt相当于/export/salt/root/test.txt
　　　　　　salt 'wms5test1.app.172.17.23.176' cp.get_file salt://nscd.conf /tmp/xiang.txt  

 

cron模块：
　　　　　　salt '*' cron.raw_cron root     （查看定时任务）
　　　　　　salt '*' cron.set_job root '*' '*' '*' '*' 1 /export/scripts/rm_log.sh 
　　　　　　salt '*' cron.rm_job root /export/scripts/rm_log.sh   (写全没效果)


dnsutil模块
　　　　　　salt '*' dnsutil.hosts_append /etc/hosts 127.0.0.1 xiang.com
　　　　　　salt '*' dnsutil.hosts_remove /etc/hosts xiang.com

file模块：
　　　　　　salt '*' file.chown /etc/passwd root root
　　　　　　salt '*' file.copy /path/to/src /path/to/dst
　　　　　　salt '*' file.file_exists /etc/hosts
　　　　　　salt '*' file.directory_exists /etc/
　　　　　　salt '*' file.get_mod /etc/passwd
　　　　　　salt '*' file.set_mod /etc/passwd 0644
　　　　　　salt '*' file.mkdir /tmp/test
　　　　　　salt '*' file.sed /export/servers/nginx/conf/nginx.conf 'debug' 'warn'
　　　　　　salt '*' file.append /tmp/test.txt "welcome xiang"
　　　　　　salt '*' file.remove /tmp/1.txt

network模块：
　　　　　　salt '*' network.dig www.qq.com
　　　　　　salt '*' network.ping www.qq.com
　　　　　　salt '*' network.ip_addrs

pkg包管理模块：
　　　　　　管理yum， apt-get等
　　　　　　salt '*' pkg.install php
　　　　　　salt '*' pkg.remove php
　　　　　　salt '*' pkg.upgrade    （升级所有的软件包）

service模块
　　　　　　salt '*' service.enable nginx
　　　　　　salt '*' service.disable nginx
　　　　　　salt '*' service.restart nginx

Grains模块
　　　　　　自定义grians（在minion上定义的）
　　　　　　grains是在minion启动时搜集一些信息，如操作系统类型，网卡，内核版本，cpu架构等
　　　　　　salt "*" grains.ls    列出所有grains项目名字
　　　　　　salt "*app.*" grains.items  列出所有grains项目以及值
　　　　　　grains的信息并不是动态的，并不会实时变化，它只是在minion启动时收集到的
　　　　　　我们可以根据grains收集到的一些信息，做一些配置管理工作
　　　　　　在minion上：vim /etc/salt/grains
　　　　　　role: nginx
　　　　　　env: test
　　　　　　重启service salt-minion restart
　　　　　　获取grians：
　　　　　　salt "*" grains.item role env
　　　　　　或者：
　　　　　　salt -G "*" role:nginx cmd.run "hostname“
　　　　　　salt ‘*’grains.items

Pillar模块
　　　　　　pillar（在master上定义）（yaml语法）
　　　　　　在配置文件中找pillar的文件路劲：

　　　　　　找到以后，mkdir  /export/salt/pillar
　　　　　　vim top.sls
　　　　　　base:
　　　　　　"*":
　　　　　　- test
　　　　　　vim test.sls
　　　　　　conf: xiang
　　　　　　然后刷新pillar： salt '*' saltutil.refresh_pillar
　　　　　　验证：salt '*' pillar.items conf
　　　　　　或者： salt -I 'conf:xiang' test.ping

Salt-API安装配置及使用（Python3使用saltstack和salt-api）

安装 salt-api

yum install salt-api -y

salt-api配置

生成自签名证书(用于ssl)

cd  /etc/pki/tls/certs
# 生成自签名证书, 过程中需要输入key密码及RDNs
make testcert
cd /etc/pki/tls/private/
# 解密key文件，生成无密码的key文件, 过程中需要输入key密码，该密码为之前生成证书时设置的密码
openssl rsa -in localhost.key -out localhost_nopass.key

创建用于salt-api的用户

useradd -M -s /sbin/nologin salt-api
echo "salt-api" | passwd salt-api —stdin

修改/etc/salt/master文件

sed -i '/#default_include/s/#default/default/g' /etc/salt/master  
mkdir /etc/salt/master.d 

新增配置文件/etc/salt/master.d/api.conf

cat /etc/salt/master.d/api.conf
rest_cherrypy:
  port: 8000
  ssl_crt: /etc/pki/tls/certs/localhost.crt
  ssl_key: /etc/pki/tls/private/localhost_nopass.key

新增配置文件/etc/salt/master.d/eauth.conf

cat /etc/salt/master.d/eauth.conf  
external_auth:  
  pam:  
    salt-api:  
      - .*  
      - '@wheel'  
      - '@runner' 

启动salt-master and salt-api

systemctl start salt-master
systemctl start salt-api

安装一个salt client

yum install salt-minion -y
修改配置
sed -i "/^#master: salt/c master: 192.168.104.76"  /etc/salt/minion
启动 client
systemctl start salt-minion

master 上接受key

[root@node76 salt]# salt-key -L
Accepted Keys:
Denied Keys:
Unaccepted Keys:
node76
Rejected Keys:
[root@node76 salt]# salt-key -A
The following keys are going to be accepted:
Unaccepted Keys:
node76
Proceed? [n/Y] Y
Key for minion node76 accepted.
[root@node76 salt]# salt-key -L
Accepted Keys:
node76
Denied Keys:
Unaccepted Keys:
Rejected Keys:

api使用

使用curl 获取token

 curl -k https://192.168.104.76:8000/login -H "Accept: application/x-yaml"  -d username='salt-api' -d password='salt-api'  -d eauth='pam'
return:
- eauth: pam
  expire: 1520269544.2591
  perms:
  - .*
  - '@wheel'
  - '@runner'
  start: 1520226344.259099
  token: 593a7224f988f28b84d58b7cda38fe5e5ea07d98
  user: salt-api

参数解释:

--sslv3 指定sslv3版本
-k      忽略证书获取https内容
-s      指定使用静默(silent)方式
-i      指定SaltAPI收到服务器返回的结果同时显示HTTP Header。
-H      指定一个特定的Header给远端服务器，当SaltAPI 需要发送appliton-tion/json Header时。会以我们希望的JSON格式返回结果
-d      想远端服务器发送POST请求，以key=value的格式发送 ，注意key=v时，必须紧挨=号两边


获取token后就可以使用token通信
注：重启salt-api后token改变

测试minion端的联通性

下面功能类似于“salt '*' test.ping”:
curl -k https://192.168.104.76:8000 -H "Accept: application/x-yaml" -H "X-Auth-Token: ded897184a942ca75683276c29d787ea71c207a9" -d client='local' -d tgt='*' -d fun='test.ping' 
return:
- node76: true

参数解释：

client ： 模块，python处理salt-api的主要模块，‘client interfaces <netapi-clients>’
    local : 使用‘LocalClient <salt.client.LocalClient>’ 发送命令给受控主机，等价于saltstack命令行中的'salt'命令
    local_async : 和local不同之处在于，这个模块是用于异步操作的，即在master端执行命令后返回的是一个jobid，任务放在后台运行，通过产看jobid的结果来获取命令的执行结果。
    runner : 使用'RunnerClient<salt.runner.RunnerClient>' 调用salt-master上的runner模块，等价于saltstack命令行中的'salt-run'命令
    runner_async : 异步执行runner模块
    wheel : 使用'WheelClient<salt.wheel.WheelClient>', 调用salt-master上的wheel模块，wheel模块没有在命令行端等价的模块，但它通常管理主机资源，比如文件状态，pillar文件，salt配置文件，以及关键模块<salt.wheel.key>功能类似于命令行中的salt-key。
    wheel_async : 异步执行wheel模块
    备注：一般情况下local模块，需要tgt和arg(数组)，kwarg(字典)，因为这些值将被发送到minions并用于执行所请求的函数。而runner和wheel都是直接应用于master，不需要这些参数。
tgt : minions
fun : 函数
arg : 参数
expr_form : tgt的匹配规则
    'glob' - Bash glob completion - Default
    'pcre' - Perl style regular expression
    'list' - Python list of hosts
    'grain' - Match based on a grain comparison
    'grain_pcre' - Grain comparison with a regex
    'pillar' - Pillar data comparison
    'nodegroup' - Match on nodegroup
    'range' - Use a Range server for matching
    'compound' - Pass a compound match string

执行远程命令

下面功能类似于“salt '*' cmd.run ifconfig”:
curl -k https://192.168.104.76:8000 -H "Accept: application/x-yaml" -H "X-Auth-Token: ded897184a942ca75683276c29d787ea71c207a9" -d client='local' -d tgt='*' -d fun='cmd.run'   -d arg='uptime'
return:
- node76: ' 13:18:46 up 161 days,  2:23,  1 user,  load average: 0.15, 0.09, 0.10'

使用state.sls

下面功能类似于“salt '*' state.sls ifconfig”:
 curl -k https://192.168.104.76:8000 -H "Accept: application/x-yaml" -H "X-Auth-Token: ded897184a942ca75683276c29d787ea71c207a9" -d client='local' -d tgt='*' -d fun='state.sls' -d arg='ifconfig'
return:
- node76:
        cmd_|-ifconfig_|-ifconfig_|-run:  
      __run_num__: 0  
      changes:  
        pid: 30954  
        retcode: 0  
        stderr: ''  
        stdout: "eth2      Link encap:Ethernet  HWaddr 00:50:56:B5:5C:28  
       
               inet addr:192.168.90.63  Bcast:192.168.90.255  Mask:255.255.255.0
  
                    inet6 addr: fe80::250:56ff:feb5:5c28/64 Scope:Link
          
            UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:825051  
           errors:0 dropped:0 overruns:0 frame:0
          TX packets:434351 errors:0  
           dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000  
           
          RX bytes:60353823 (57.5 MiB)  TX bytes:27062672 (25.8 MiB)
  
          
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1   
           Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP  
           LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:808 errors:0  
           dropped:0 overruns:0 frame:0
          TX packets:808 errors:0 dropped:0  
           overruns:0 carrier:0
          collisions:0 txqueuelen:0 
           
           RX bytes:59931 (58.5 KiB)  TX bytes:59931 (58.5 KiB)"  
      comment: Command "ifconfig" run  
      duration: 11.991  
      name: ifconfig  
      result: true  
      start_time: '13:59:06.334112'  

使用Targeting

下面功能类似于"salt -L '192.168.90.61,192.168.90.63' test.ping"
 curl -k https://192.168.104.76:8000 -H "Accept: application/x-yaml" -H "X-Auth-Token: ded897184a942ca75683276c29d787ea71c207a9"  -d client='local' -d tgt='node76'  -d expr_form='list'  -d fun='test.ping' 
return:
- node76: true

以json格式输出

curl -k https://192.168.104.76:8000 -H "Accept: application/json" -H "X-Auth-Token: ded897184a942ca75683276c29d787ea71c207a9"  -d client='local' -d tgt='node76'  -d fun='cmd.run' -d arg='uptime'
{"return": [{"node76": " 13:25:20 up 161 days,  2:30,  1 user,  load average: 0.01, 0.06, 0.08"}]}

使用jobs

 curl -k -s https://192.168.104.76:8000/jobs/20180306112645047796 -H "Accept: application/x-yaml" -H "X-Auth-Token: a7f8b2fab2bfb05334f8a314d97925c1bec1d14c" 
info:
- Arguments:
  - uptime
  Function: cmd.run
  Minions:
  - node76
  Result:
    node76:
      return: ' 11:26:45 up 162 days, 31 min,  1 user,  load average: 0.12, 0.07,
        0.08'
  StartTime: 2018, Mar 06 11:26:45.047796
  Target: node76
  Target-type: glob
  User: salt-api
  jid: '20180306112645047796'
return:
- node76: ' 11:26:45 up 162 days, 31 min,  1 user,  load average: 0.12, 0.07, 0.08'
#结果
curl -k -s https://192.168.104.76:8000/jobs/20180306112645047796 -H "Accept: application/x-yaml" -H "X-Auth-Token: a7f8b2fab2bfb05334f8a314d97925c1bec1d14c" 
info:
- Arguments:
  - uptime
  Function: cmd.run
  Minions:
  - node76
  Result:
    node76:
      return: ' 11:26:45 up 162 days, 31 min,  1 user,  load average: 0.12, 0.07,
        0.08'
  StartTime: 2018, Mar 06 11:26:45.047796
  Target: node76
  Target-type: glob
  User: salt-api
  jid: '20180306112645047796'
return:
- node76: ' 11:26:45 up 162 days, 31 min,  1 user,  load average: 0.12, 0.07, 0.08'