自动化运维工具Saltstack的简单实用
一、概述
1.1 简介
SaltStack是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、监控等功能,一般可以理解为简化版的puppet和加强版的func。
SaltStack基于Python语言实现,结合轻量级消息队列(ZeroMQ)与Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建。
通过部署SaltStack环境,我们可以在成千上万台服务器上做到批量执行命令,根据不同业务特性进行配置集中化管理、分发文件、采集服务器数据、
操作系统基础及软件包管理等,SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。
1.2 特点
1)简单
兼顾大规模部署与更小的系统的同时提供多功能性是很困难的,Salt是非常简单配置和维护,不管项目的大小。Salt可以胜任管理任意的数量的服务器,
不管是本地网络,还是跨数据中心。架构采用C/S模式,在一个后台程序中集成必要功能。默认不需要复杂的配置就可以工作,同时可以定制用于特殊的需求。
2)并行执行Salt的核心功能:
通过并行方式让远端节点执行命令
3)采用安全的加密/解析协议:
最小化使用网络和负载
提供简单的程序接口
Salt引入了更细粒度的控制,允许不通过目标名字,二是通过系统属性分类
4)构建在成熟技术之上
Salt采用了很多技术和技巧。网络层采用优秀的ZeroMQ库,所以守护进程里面包含AMQ代理。Salt采用公钥和主控通讯,同时使用更快的AES加密通信,
验证和加密都已经集成在Salt里面。Salt使用msgpack通讯,所以更快速和更轻量网络交换。
5)Python 客户端接口
为了实现简单的扩展,Salt执行例程可以写成简单的Python模块。客户端程序收集的数据可以发送回主控端,可以是其他任意程序。
可以通过Python API调用Salt程序,或者命令行,因此,Salt可以用来执行一次性命令,或者大型应用程序中的一部分模块。
6)快速,灵活,可扩展
结果是一个系统可以高速在一台或者一组服务器执行命令。Salt速度很快,配置简单,扩展性好,提供了一个远程执行架构,
可以管理多样化需求的任何数量的服务器。整合了世界上最好的远程执行方法,增强处理能力,扩展使用范围,
使得可以适用任何多样化复杂的网络。
7)开源
Salt基于Apache 2.0 licence开发,可以用于开源或者自有项目。请反馈你的扩展给项目组,以便更多人受益,共同促进Salt发展。
请在你的系统部署 系统,让运维更便捷。
1.3 架构
saltstack是基于C/S服务模式,在该架构中,服务器端叫做Master,客户端叫做Minion。传统的C/S模式我们这样理解,客户端发送请求给服务器端,
服务器端接受到来自客户端的请求并处理完成后再返回客户端。 在saltstack架构中,不仅有传统的C/S服务模式,
而且有消息队列中的发布与订阅(pub/sub)服务模式。目前我们一般用其C/S架构做批量管理。
1) Master:控制中心,salt命令运行和资源状态管理
2) Minion : 需要管理的客户端机器,会主动去连接Mater端,并从Master端得到资源状态
3) 信息,同步资源管理信息
4) States:配置管理的指令集
5) Modules:在命令行中和配置文件中使用的指令模块,可以在命令行中运行
6) Grains:minion端的变量,静态的
7) Pillar:minion端的变量,动态的比较私密的变量,可以通过配置文件实现同步minions定义
8) highstate:为minion端下发永久添加状态,从sls配置文件读取.即同步状态配置
9) salt_schedule:会自动保持客户端配置
1.4 连接方式
Master与Minion认证
(1)、minion在第一次启动时,会在/etc/salt/pki/minion/(该路径在/etc/salt/minion里面设置)下自动生成minion.pem(private key)和 minion.pub(public key),
然后将 minion.pub发送给master。
(2)、master在接收到minion的public key后,通过salt-key命令accept minion public key,这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key,
然后master就能对minion发送指令了。
SaltStack master启动后默认监听4505和4506两个端口。4505(publish_port)为saltstack的消息发布系统,4506(ret_port)为saltstack客户端与服务端通信的端口。
如果使用lsof 查看4505端口,会发现所有的minion在4505端口持续保持在ESTABLISHED状态
二,安装部署
master 10.0.0.211 slave1
minion 10.0.0.212 slave2
2.1 环境准备:
#保持时间同步 yum install ntpdate -y && ntpdate ntp1.aliyun.com [root@slave1 ~]# sestatus SELinux status: disabled [root@slave1 ~]# systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled) Active: inactive (dead) Docs: man:firewalld(1)
提示:官方提供的saltstack源较慢,而目前在Centos7上阿里的repo源经将saltstack源添加进去了。
2.2 安装部署
slave1
yum install salt-master -y
yum install salt-minion -y
slave2
yum install yum install salt-minion -y
修改minion
16 #master: salt 17 master: 10.0.0.211 #修改master主机所对应的ip # Since salt uses detached ids it is possible to run multiple minions on the 77 # same machine but with different ids, this can be useful for salt compute 78 # clusters. 79 #id: #FQDN名,一般minion的主机名,如果主机名相同,一定要指定id值不同,不然可能会出错。
查看minion
[root@slave2 /]# tree /etc/salt/
/etc/salt/
├── minion
├── minion.d
├── minion_id #id值
└── pki
└── minion
├── minion.pem #公钥
└── minion.pub #私钥
查看master
[root@slave1 ~]# tree /etc/salt/
/etc/salt/
├── master
├── minion
├── minion.d
├── minion_id
└── pki
├── master
│ ├── master.pem
│ ├── master.pub
│ ├── minions
│ ├── minions_autosign
│ ├── minions_denied
│ ├── minions_pre
│ │ ├── slave1 #slave1公钥
│ │ └── slave2 #slave2公钥
│ └── minions_rejected
└── minion
├── minion.pem
└── minion.pub
2.3 证书管理
#执行salt-key -L 查看秘钥验证
#执行Salt-key -a 加ID添加认证秘钥
salt-key --help用法说明:
https://blog.csdn.net/liukuan73/article/details/49670867
[root@slave1 ~]# salt-key -L Accepted Keys: Denied Keys: Unaccepted Keys: slave1 slave2 Rejected Keys: [root@slave1 ~]# salt-key -a slave* The following keys are going to be accepted: Unaccepted Keys: slave1 slave2 Proceed? [n/Y] y Key for minion slave1 accepted. Key for minion slave2 accepted.
提示:saltstack的C/S结构采用的是AES加密方式进行通信。
当minion的id及公式无法认证时解决办法:
1)停止minion
2)在master使用salt-key -d 跟id 删除minion(id)公匙
3)在minion删除pki及其子目录
4)删除minion_id
5)该minion的id
2.4 验证测试
[root@slave1 ~]# salt '*' test.ping slave2: True slave1: True
补充:saltstack的通信机制与安全:
https://www.cnblogs.com/autopenguin/p/7080531.html
三,saltstack配置管理
1,cmd.run 执行shell的远程命令
[root@slave1 ~]# salt \* cmd.run 'date'
slave2:
Thu Nov 15 19:57:08 CST 2018
slave1:
Thu Nov 15 19:57:08 CST 2018
[root@slave1 ~]# salt \* cmd.run 'free -m' slave1: total used free shared buff/cache available Mem: 974 443 75 7 455 324 Swap: 551 0 551 slave2: total used free shared buff/cache available Mem: 974 325 110 6 538 449 Swap: 551 1 550
2. 修改配置文件:/etc/salt/master +415
该为内容如下:
file_roots:
base:
- /srv/salt/base
dev:
- /srv/salt/dev
test:
- /srv/salt/test/
prod:
- /srv/salt/prod
[root@slave1 ~]# mkdir -p /srv/salt/{base,dev,test,prod} #建目录
[root@slave1 ~]# vim /etc/salt/master [root@slave1 ~]# systemctl restart salt-master.service [root@slave1 ~]# cd /srv/salt/base/ [root@slave1 base]# mkdir web [root@slave1 base]# pwd /srv/salt/base [root@slave1 base]# cd web/ [root@slave1 web]# vim apache.sls apache-install: pkg.installed: - name: httpd apache-service: service.running: - name: httpd - enable: True
[root@slave1 ~]# salt 'slave2' state.sls web.apache slave2: ---------- ID: apache-install Function: pkg.installed Name: httpd Result: True Comment: The following packages were installed/updated: httpd Started: 21:09:55.030992 Duration: 18477.914 ms Changes: ---------- httpd: ---------- new: 2.4.6-80.el7.centos.1 old: ---------- ID: apache-service Function: service.running Name: httpd Result: True Comment: Service httpd has been enabled, and is running Started: 21:10:13.563096 Duration: 1409.305 ms Changes: ---------- httpd: True Summary ------------ Succeeded: 2 (changed=2) Failed: 0 ------------ Total states run: 2
[root@slave1 ~]# cd /srv/salt/base/ [root@slave1 base]# vim top.sls [root@slave1 base]# cat top.sls base: '*': - web.apache
[root@slave1 base]# salt '*' state.highstate slave2: ---------- ID: apache-install Function: pkg.installed Name: httpd Result: True Comment: The following packages were installed/updated: httpd Started: 21:23:49.768989 Duration: 14985.805 ms Changes: ---------- httpd: ---------- new: 2.4.6-80.el7.centos.1 old: ---------- ID: apache-service Function: service.running Name: httpd Result: True Comment: Service httpd has been enabled, and is running Started: 21:24:04.774368 Duration: 1452.812 ms Changes: ---------- httpd: True Summary ------------ Succeeded: 2 (changed=2) Failed: 0 ------------ Total states run: 2 slave1: ---------- ID: apache-install Function: pkg.installed Name: httpd Result: True Comment: The following packages were installed/updated: httpd Started: 21:23:53.108285 Duration: 29187.58 ms Changes: ---------- httpd: ---------- new: 2.4.6-80.el7.centos.1 old: ---------- ID: apache-service Function: service.running Name: httpd Result: True Comment: Service httpd has been enabled, and is running Started: 21:24:22.425892 Duration: 2672.861 ms Changes: ---------- httpd: True Summary ------------ Succeeded: 2 (changed=2) Failed: 0 ------------ Total states run: 2
浙公网安备 33010602011771号