SaltStack(六) 案例练习
salt 练习
1、修改其中一台服务器的主机名。
故障问题:
如果不按照要领操作会出现什么状况呢?
1、原主机名会存在/etc/salt/minion_id这个文件中,因此不会识别新的主机名。可清空minion_id文件
2、pki文件下保存着master端的key和minion端的公钥和私钥,minion端的公钥和私钥是根据服务器的主机名生成的,minion端更改主机名后,匹配不上,启动的minion进程会自动杀掉。
技巧:
要想使master依然可以控制minion,minion在修改主机名的前提下,先删除minion端的 minion_id和pki目录 :rm -rf /etc/salt/minion_id /etc/salt/pki/ ,任何重新启动minion端服务
2、master迁移
需求:
在不修改minion端任何信息的情况下,将master修改到更高配置上。
在保证minion端不挂掉的情况下,平滑迁移
故障问题:
salt原理是如果master拒绝minion端后,minion会自动杀掉服务的进程,如果目前有200台服务器,所有的minion服务都挂掉了,那么工作了就大了。
技巧:
原理是:在minion而言,master的key与minion的不能冲突,如果冲突就minion就会自己kill掉。
方法:
1、先准备新master的key,将原master的key直接打包,将salt目录下的pki目录全部打包,然后传到新的master上即可。在此之前新master不要启动服务。将原master的key,放在新master的salt目录下,再启动salt服务
2、先在原master上批量将所有机器的指定master的ip修改(即hosts的配置指向),修改hosts使用cmd.run模块,然后重启minion端,可用cmd.run,也可直接使用salt提供的模块slat '*' service.restart slat-minion
3、returnner (日志输出)
默认情况下,发送给salt minion的命令执行结果将返回给salt master,Saltstack Returner的接口允许将结果发送给任意系统
可做minion的监控使用,
内置的returnner模块列表
carbon_return 将结果返回给carbon接收器
cassandea_return 将结果返回给Cassandra ColumnFamily
local 将结果返回给本地的测试returner接口,即打印当前的结果
mongo_future_return 将结果返回给mongodb
mongo_return 将结果返回给mongodb
mysql 将结果返回给MySQL
postgres 将结果返回给postgres
redis_return 将结果返回给redis
sentry_return 将结果返回给sentry
smtp_return 通过email返回salt数据
syslog_return 将结果返回给操作系统的syslog facility
4、grains
grains跟puppet的facter功能一样,主要负责采集客户端一些基本信息,这个也完全可以自定义,可以在客户端自定义,然后自动汇报上来;也可以从服务器端定义然后推下去,采集完后,在汇报上来;pillar跟grains比较的话他的灵活性较强。
grains使用
查看grains salt 'salt-clinet' grains.ls salt 'salt-clinet' grains.items salt 'salt-clinet' grains.item 正则匹配 salt -G 'os:CentOS' test.ping salt -G 'cpuarch:x86_64' grains.item num_cpus salt -G 'ec2_tags:environment:*production*' 自定义grains 在minion上进行配置grains grains: roles: -webserver -memcache deployment:datacenter4 cabinet:13 cab_u:14-15
5、states
salt状态系统的核心是sls,或者叫**S**aLtState文件。SLS表示系统将会是什么样的一种状态,而且是以一种很简单的格式来包含这些数据,这经常也被叫做配置管理。
SLS文件实际上只是一些:字典dictionaries、列表lists、字符串str、and数字int
YAML
缩进:YAML使用一个固定的缩进风格表示数据层结构关系,salt需要每个缩进级别由两个空格组成,不能是tab
Python的字典理所当然是简单的键值对,字典的keys在YAML中的表现形式是一个以冒号皆为的字符串。alues的表现形式冒号下面的每一行,用一个空格隔开。
例如:my_key: my_value
想要表示列表项,使用一个短横杠加一个空格,多个项使用同样的缩进级别作为同一列表的一部分。
http://docs.saltstack.cn/topics/yaml/index.html
6、state模块列表
http://docs.saltstack.com/en/latest/ref/states/all/index.html
7、salt-call(minion)
去minion上call相应的方法
8、pillar
pillar是salt非诚重要的一个组件,它用于给特定的minion定义任何你需要的数据,这些数据可以被salt的其他组件使用。
salt在0.9.8版本中引入了pillar。
pillar在解析完成后,是一个嵌套的dict结构,最上层的key是minion ID,其value是该minion所拥有的pillar数据,每个value也都是key/value。这里可以看出pillar的一个特点,pillar数据是与特定minion关联的,也就是说每个minion都是只能看到自己的数据,所以pillar可以用来传递敏感数据(在salt的设计中,pillar使用独立的加密session,也是为了保证敏感数据的安全性)。pillar可以用在那些地方呢?
1、敏感数据
例如ssh key,加密证书等,由于pillar使用独立的加密session,可以确保这些敏感数据不被其他minion看到。
2、变量
可以在pillar中处理平台差异性,比如针对不同的操作系统设置软件包的名字,然后在state中引用。
3、其他任何数据
可以在pillar中添加任何需要用到的数据,比如定义用户和UID的对应关系,minion的角色等。
4、用在targetting中
pillar可以用来选择minion,使用-l选项
默认情况下,master配置文件中的所有数据都添加到pillar中,且对所有minion可用,如果要禁用这一默认值,可以在master配置文件中添加如下数据,重启服务后生效。
pillar示例
http://docs.saltstack.cn/topics/jobs/schedule.html
salt '*' saltutil.refresh_pillar #刷新配置
pillar定义定时任务
每分钟同步一下nginx配置文件
[root@salt-server pillar]# cat top.sls
base:
'*':
- nginx
[root@salt-server pillar]# cat nginx.sls
schedule:
nginx:
function:state.sls
minutes: 1 #每分钟
args:
- 'nginx'
salt '*' saltutil.refresh_pillar #刷新所有机器上的pillar
salt '*' pillar.data #查看所有机器上的pillar
9、proxy
Salt syndic接口是一个强大的工具,这个工具允许建立Salt命令拓补结构,Salt的基本设置是一个salt master指挥一组salt minion。
Syndic接口是一种特殊的直通minion,他允许在一个master上且连接到另外一个master,然后Syndic minion所连接的master就可以控制连接到运行syndic的master上的minion
如图:
salt-syndic代理机直接安装master即可, salt-syndic不需要任何安装其他插件,直接启动/etc/init.d/salt-syndic 即可。 配置文件是/etc/salt/master 直接配置三个地方即可。 syndic_master:更高级别master的IP地址 syndic_log_file: syndic日志文件的路径(绝对路径为佳) order_masters:True 确认转发机制。
