SaltStack是一个服务器基础架构集中化管理平台,SaltStack基于Python语言实现,也是基于C/S架构,结合轻量级消息队列(ZeroMQ)与Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建,SaltStack整合了Puppet和Chef的功能,更适合大规模批量管理服务器,配置简单。
三大主要功能:远程执行、配置管理、云管理
运行方式:local(本地)、Master/Minion(传统方式)、Syndic(分布式)、Salt SSH
saltstack官方网站
2.SaltStack工作原理
Saltstack使用Python开发,是一个非常简单易用和轻量级的管理工具。由Master和Minion构成,通过ZeroMQ进行通信。
Saltstack的master端监听4505与4506端口,4505为salt的消息发布系统,4506为salt客户端与服务端通信的端口;salt客户端程序不监听端口,客户端启动后,会主动连接master端注册,然后一直保持该TCP连接,master通过这条TCP连接对客户端控制,如果连接断开,master对客户端就无能为力了。当然,客户端若检查到断开后会定期的一直连接master端的。
salt-master服务启动后会开启两个端口:4505和4506,minion没有端口,通过“双向密钥交换”(可通过tree /etc/salt/pki命令查看)来实现安全管理。salt-master每执行一条命令,所有minion均可收到。
3. saltstack安装
saltstack支持多种操作系统,如centos、redhat、debian、ubuntu、FreeBSD等,以及windows(仅支持minion)
安装 epel--------提供2015版本的salt
centos 6 64位
rpm -Uvh
http://mirrors.yun-idc.com/epel/6Sever/x86_64/epel-release-6-8.noarch.rpm
master与minion端都需要安装
安装完成后在master端执行 yum -y install salt-master
在minion端执行yum -y install salt-minion
安装完环境:
主机名 | IP |
salt-master | 192.168.132.20 |
salt-minion01 | 192.168.132.11 |
salt-minion01 | 192.168.132.10 |
minion端配置使其指向master:
vim /etc/salt/minion
添加 master: 192.168.132.20 为master IP,实际生产环境最好为域名。
master端启动:/etc/init.d/salt-master start
开机自启动:chkconfig salt-master on
minion端启动:/etc/init.d/salt-minion start
开机自启动:chkconfig salt-minion on
安装完后查看salt信息
[root@salt-master app]# salt '*' test.versions_report
salt-minion02:
Salt: 2015.5.10
Python: 2.6.6 (r266:84292, Aug 18 2016, 15:13:37)
Jinja2: 2.2.1
M2Crypto: 0.20.2
msgpack-python: 0.4.6
msgpack-pure: Not Installed
pycrypto: 2.0.1
libnacl: Not Installed
PyYAML: 3.10
ioflo: Not Installed
PyZMQ: 14.3.1
RAET: Not Installed
ZMQ: 3.2.5
Mako: Not Installed
Tornado: Not Installed
timelib: Not Installed
dateutil: 1.4.1
salt-minion01:
Salt: 2015.5.10
Python: 2.6.6 (r266:84292, Aug 18 2016, 15:13:37)
Jinja2: 2.2.1
M2Crypto: 0.20.2
msgpack-python: 0.4.6
msgpack-pure: Not Installed
pycrypto: 2.0.1
libnacl: Not Installed
PyYAML: 3.10
ioflo: Not Installed
PyZMQ: 14.3.1
RAET: Not Installed
ZMQ: 3.2.5
Mako: Not Installed
Tornado: Not Installed
timelib: Not Installed
dateutil: 1.4.1
查询帮助 salt-key --help
常用参数
-a -A -r -R -d -D -Y
查看key salt-key
接收minion端的key: salt-key -A -y ---》接收所有的minion且无需交互。接收完成后查看:
[root@salt-master master]# salt-key
Accepted Keys:
salt-minion01
salt-minion02
Denied Keys:
Unaccepted Keys:
Rejected Keys:
测试
[root@salt-master ~]# salt '*' test.ping
salt-minion01:
True
salt-minion02:
True
salt的数据传输是通过AES加密,master和minion之间在通信前,需要进行认证。通过认证的方式保证安全性,完成一次认证后,master就可以自由的控制minion来完成各项工作了。
1. minion在第一次启动时,会在/etc/salt/pki/minion下生成minion.pem(private key)和minion.pub(public key),然后将minion.pub发送给master。
2. master在第一次启动时,会在/etc/salt/pki/master下生成master.pem和master.pub。通过salt-key接收minion的public key,在master的/etc/salt/pki/master/minions目录下存放,以minion id命名的public key,同时minion会保存一份master public key在/etc/salt/pki/minion_master.pub
认证小结:
minion将自己的公钥发送给master
master认证后会将自己的公钥放置在minion端
由于这里是测试环境,master与minion端都关闭了防火墙及selinux。不然master可能无法接收minion端的key。
远程执行是saltstack的核心功能之一。主要使用salt模块可以批量给选定的minion端执行相应的命令,并获得返回结果。
如 salt '*' test.ping *代表所有,test表示模块,ping表示模块下的方法。
salt '*' disk.usage 查看磁盘使用情况
saltstack可以使用cmd.run(非常重要) 模块远程执行shell命令
//让所有minion节点运行uptime命令
[root@salt-master ~]# salt '*' cmd.run 'uptime'
salt-minion02:
10:30:44 up 1 day, 11:53, 1 user, load average: 0.00, 0.00, 0.00
salt-minion01:
10:30:45 up 1 day, 11:53, 1 user, load average: 0.00, 0.00, 0.00
#saltstack提供了大量的命令模块可以使用
#cmd.run可以执行所有的命令,不建议在生产环境中频繁使用。
salt通过状态模块来识别配置描述文件state状态文件,格式是YAML扩展名,后缀是.sls
YAML:
1. 缩进(层级关系) 2个空格,不能使用tab
2. 冒号 key:value ----》以冒号结尾,以冒号为路径的除外,其他必须有空格
3. 短横线
表示列表项,短横线加一个空格 - list1
- list2
master端配置文件中有说明配置文件写在什么地方。
cat /etc/salt/master
# file_roots:
# base: ----》基础环境
# - /srv/salt/
# dev: ---》开发环境
# - /srv/salt/dev/services
# - /srv/salt/dev/states
# prod: -----》生产环境
# - /srv/salt/prod/services
# - /srv/salt/prod/states
这里启用测试环境
file_roots: ----》打头写
base: ---》缩进 2个空格
- /srv/salt ----》4个空格,文件路径
启用后重启master服务,创建目录 mkdir -p /srv/salt
在实际成产环境中可以根据业务分别创建不同的文件夹,然后在对应的里面写。
这里在salt下创建app目录,然后在app目录中写配置文件。
[root@salt-master app]# pwd
/srv/salt/app
vim vsftpd.sls
[root@salt-master app]# cat vsftpd.sls
vsftpd_install:
pkg.installed: ------>pkg模块 开头两个空格
- names: ------》下面接多个list 开头4个空格
- vsftpd
- httpd
配置文件写好后
执行 salt '*' state.sls app.vsftpd env=base 默认为base环境
minion端安装完成,如下,如已经安装则忽略。
[root@salt-master salt]# salt '*' cmd.run 'rpm -qa|grep vsftpd'
salt-minion01:
vsftpd-2.2.2-24.el6.x86_64
salt-minion02:
vsftpd-2.2.2-24.el6.x86_64
[root@salt-master salt]# salt '*' cmd.run 'rpm -qa|grep httpd'
salt-minion01:
httpd-tools-2.2.15-60.el6.centos.6.x86_64
httpd-2.2.15-60.el6.centos.6.x86_64
salt-minion02:
httpd-2.2.15-60.el6.centos.6.x86_64
httpd-tools-2.2.15-60.el6.centos.6.x86_64
如果要安装后服务启动可以继续编写配置文件,如下:
[root@salt-master app]# cat vsftpd.sls
vsftpd_install:
pkg.installed:
- names:
- vsftpd
- httpd
vsftpd_service:
service.running:
- name: vsftpd
- enable: True
执行salt '*' state.sls app.vsftpd
查看vsftp服务状态,已经启动
[root@salt-master app]# salt '*' cmd.run 'service vsftpd status'
salt-minion01:
vsftpd (pid 12399) is running...
salt-minion02:
vsftpd (pid 12721) is running...
在实际生产环境中执行后状态是不能回退的,所以可以在执行前,进行检查
如 salt '*' state.sls app.vsftpd test=True
原文:http://blog.51cto.com/tuwei/2134654