干货篇 | 自动化运维工具-saltstack pt.1

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 干货篇 | 自动化运维工具-saltstack pt.1

早在去年,我就在《干货篇 | 一文带你了解Ansible(上)》和《干货篇 | 一文带你了解Ansible(下)》文章中介绍过一款自动化运维工具——ansible

那么我将为大家介绍另一款自动化运维工具——saltstack

saltstack采用C/S结构的方式来进行配置管理,运行速度快、部署轻松,几分钟内便可运行起来,而且服务器之间能够做到秒级通讯,容易批量管理上万台服务器,显著降低人力与运维成本

话不多说,开始进入正题!

初识saltstack

  • 是一种基于C/S架构的服务器基础架构集中化管理平台,管理端称为master,客户端称为minion
  • 具备配置管理、远程执行、监控等功能
  • 基于 python 语言开发
  • 通过 Python 第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack 和 PyYAML 等)构建
  • 底层使用 ZeroMQ 消息队列 pub/sub 方式通信

saltstack特征

  1. 部署简单、方便
  2. 主从集中化管理
  3. 配置简单、功能强大、扩展性强;
  4. master 和 minion 基于证书认证,安全可靠
  5. 支持API自定义模块,可通过 Python 扩展

saltstack运行模式

  • local:本地单台机器,不建议
  • Master/Minion:通过server/agent的方式进行管理,效率很高(批量管理1000 台机器,25秒搞定)
  • Salt SSH:通过SSH方式进行管理(类似于ansible),效率相对来说比较低(批量管理1000台机器,83秒搞定)

架构图

image-20220711183010356.png

在Master和Minion端都是以守护进程的模式运行,一直监听配置文件里面定义的 ret_port(接受minion 请求)和 publish_port (发布消息)的端口

master与minion之间通过Zero进行消息传递,使用了ZeroMQ进行消息传递,使用了Zero-MQ的发布-订阅模式,连接方式包括tcp、ipc

master 将要执行的命令(例如ls)发送给 minion,minion 从消息总线上接受到要处理的命令,交给 minion_handle_aes 处理

minion.handle_aes发起一个本地线程调用 cmdmod 执行 ls 命令。线程执行完 ls 后,调用 minion.return_pub 方法,将执行结果通过消息总线返回给 master

master 接收到客户端返回的结果,调用 master_handle_aes 方法,将结果写进文件中

salt.client.LocalClient.cmd_cli 通过轮询获取执行结果,将结果输出到终端

1.与ansible区别

image-20220711184217937.png

master和minion

1.认证(非对称加密)

  • minion在第一次启动时,会在/etc/salt/pki/minion/(该路径在 /etc/salt/minion里面设置)下自动生成minion.pem(私钥)和minion.pub(公钥),然后将公钥发送给master
  • master在接收到minion的公钥后,将 minion 公钥放到 /etc/salt/pki/master/minions.pre/下面,并且以 minion的 id 命名,通过认证后 master 将 /etc/salt/pki/master/minions.pre目录下的公钥转移到/etc/salt /pki/master/minions/ 目录下表示已经认证
  • master 将自己的公钥(master.pub)发送到 minion 的 /etc/salt/pki/minion/ 目录并下生成minion_master.pub文件

2.连接

  • master启动后默认监听4505和4506两个端口
  • 4505 (publish_port)为消息发布系统(PUB),4506(ret_port)为 minion 与 master 通信的端口(REP)
  • minion 不监听端口,启动后,会主动连接 master 注册,然后一直保持 TCP 连接(master 4505 端口),master 通过该 TCP 连接对 minion 进行控制,若断开,master 也便无法控制 minion,但是当 minion 检测到断开后会定期连接 master

3.saltstack-syndic

saltstack传统的架构都是C/S,一个master管理多个minion的形式

syndic架构多了一层类似代理的东西(zabbix proxy)
image-20220713091819999.png

安装并部署

master:192.168.149.128

minion:192.168.149.129

minion:192.168.149.130

  • 首先需要下载依赖
#安装saltstack存储库和密钥
[root@master ~]# rpm --import https://repo.saltproject.io/py3/redhat/7/x86_64/3002/SALTSTACK-GPG-KEY.pub
[root@master ~]# curl -fsSL https://repo.saltproject.io/py3/redhat/7/x86_64/3002.repo | tee /etc/yum.repos.d/salt.repo
[root@master ~]# yum clean expire-cache
  • 根据实现功能不同来安装不同组件

    • master:yum install salt-master -y
    • minion:yum install salt-minion -y
    • syndic:yum install salt-master salt-minion salt-syndic -y
  • 启动
[root@master ~]#systemctl enable salt-master && systemctl start salt-master
[root@minion ~]#systemctl enable salt-minion && systemctl start salt-minion

1.修改配置文件

  • master

master配置文件路径:vim /etc/salt/master

[root@master ~]# vim /etc/salt/master
[root@master ~]# grep -Ev "^$|#" /etc/salt/master
auto_accept: True
file_roots:
  base:
    - /home/salt
pillar_roots:
  base:
    - /home/salt/pillar
log_level: warning
file_roots:主目录
pillar_roots:pillar 组件主目录
auto_accept:自动认证

配置完后启动服务

[root@master ~]#systemctl restart salt-master 
  • minion

minion配置文件路径:vim /etc/salt/minion

[root@minion ~]# vim /etc/salt/minion
[root@minion ~]# grep -Ev "^$|#" /etc/salt/minion
master: 192.168.149.128
id: 192.168.149.129
user: root

#重启服务
[root@minion ~]# systemctl restart salt-minion
# minion的识别ID,可以是IP,域名,或是可以通过DNS解析的字符串
id: 192.168.0.100

# salt运行的用户权限
user: root

# master的识别ID,可以是IP,域名,或是可以通过DNS解析的字符串

master : 192.168.149.128

# master通讯端口
master_port: 4506

# 备份模式,minion是本地备份,当进行文件管理时的文件备份模式
backup_mode: minion

# 执行salt-call时候的输出方式
output: nested 

# minion等待master接受认证的时间
acceptance_wait_time: 10

# 失败重连次数,0表示无限次,非零会不断尝试到设置值后停止尝试
acceptance_wait_time_max: 0

# 重新认证延迟时间,可以避免因为master的key改变导致minion需要重新认证的syn风暴
random_reauth_delay: 60

# 日志文件位置
log_file: /var/logs/salt_minion.log

# 文件路径基本位置
file_roots:
  base:
    - /etc/salt/minion/file
    
# pillar基本位置
pillar_roots:
  base:
    - /data/salt/minion/pillar

2.认证

minion 在第一次启动时,会在 /etc/salt/pki/minion/ 下自动生成 minion.pem(private key) 和 minion.pub(public key),然后将 minion.pub 发送给 master (非对称加密)

  • salt-key 查看目前已认证与未认证的 minion

我们在master来进行key认证

[root@master ~]# salt-key
Accepted Keys: #可以看到master已经检测到minion,且已认证key
192.168.149.129
Denied Keys:
Unaccepted Keys: 
Rejected Keys:

#如果没有认证,手动输入认证一下
[root@master ~]# salt-key -a id
  • 认证完我们测试一下
[root@master ~]# salt '192.168.149.129' test.ping
192.168.149.129:
    True #返回结果表示成功
  • PS!!
#如果发先测试时间特别长,建议在master下/etc/hosts文件里加上dns解析
vim /etc/hosts
192.168.149.128 master

#因为debug发现master会创建一个tcp连接去连自己回环地址,可能是这步导致延迟
相关文章
|
1月前
|
运维 Linux Apache
Puppet 作为一款强大的自动化运维工具,被广泛应用于配置管理领域。通过定义资源的状态和关系,Puppet 能够确保系统始终处于期望的配置状态。
Puppet 作为一款强大的自动化运维工具,被广泛应用于配置管理领域。通过定义资源的状态和关系,Puppet 能够确保系统始终处于期望的配置状态。
60 3
|
1月前
|
运维 Linux Apache
Puppet这一强大的自动化运维工具,涵盖其基本概念、安装配置及使用示例
【10月更文挑战第8天】本文介绍了Puppet这一强大的自动化运维工具,涵盖其基本概念、安装配置及使用示例。Puppet通过定义资源状态和关系,确保系统配置始终如一,支持高效管理基础设施。文章详细讲解了Puppet的安装步骤、配置方法及DSL语言示例,帮助读者快速掌握Puppet的使用技巧。
70 2
|
14天前
|
安全 前端开发 测试技术
如何选择合适的自动化安全测试工具
选择合适的自动化安全测试工具需考虑多个因素,包括项目需求、测试目标、系统类型和技术栈,工具的功能特性、市场评价、成本和许可,以及集成性、误报率、社区支持、易用性和安全性。综合评估这些因素,可确保所选工具满足项目需求和团队能力。
|
15天前
|
运维 Ubuntu 应用服务中间件
自动化运维工具Ansible的实战应用
【10月更文挑战第36天】在现代IT基础设施管理中,自动化运维已成为提升效率、减少人为错误的关键手段。本文通过介绍Ansible这一流行的自动化工具,旨在揭示其在简化日常运维任务中的实际应用价值。文章将围绕Ansible的核心概念、安装配置以及具体使用案例展开,帮助读者构建起自动化运维的初步认识,并激发对更深入内容的学习兴趣。
38 4
|
12天前
|
机器学习/深度学习 数据采集 人工智能
智能运维:从自动化到AIOps的演进与实践####
本文探讨了智能运维(AIOps)的兴起背景、核心组件及其在现代IT运维中的应用。通过对比传统运维模式,阐述了AIOps如何利用机器学习、大数据分析等技术,实现故障预测、根因分析、自动化修复等功能,从而提升系统稳定性和运维效率。文章还深入分析了实施AIOps面临的挑战与解决方案,并展望了其未来发展趋势。 ####
|
16天前
|
运维 监控 数据安全/隐私保护
自动化运维工具的设计与实现
【10月更文挑战第34天】在现代IT基础设施管理中,自动化运维工具扮演着至关重要的角色。它们不仅提高了运维效率,还确保了服务的连续性和稳定性。本文将深入探讨如何设计并实现一个自动化运维工具,从需求分析到功能实现,再到最终的测试与部署。我们将通过一个简单的代码示例来展示如何自动执行常见的运维任务,如日志清理和性能监控。文章旨在为读者提供一套完整的方法论,以便他们能够构建自己的自动化运维解决方案。
|
22天前
|
机器学习/深度学习 数据采集 运维
智能化运维:机器学习在故障预测和自动化响应中的应用
智能化运维:机器学习在故障预测和自动化响应中的应用
47 4
|
1月前
|
运维 关系型数据库 MySQL
自动化运维工具Ansible的实战应用
【10月更文挑战第9天】在现代IT运维领域,效率和可靠性是衡量一个系统是否健康的重要指标。自动化运维工具Ansible因其简洁、易用的特性,成为了众多企业和开发者的首选。本文将通过实际案例,展示如何利用Ansible进行日常的运维任务,包括配置管理、软件部署以及批量操作等,帮助读者深入理解Ansible的应用场景及其带来的效益。
|
1月前
|
人工智能 运维 监控
自动化运维:从脚本到工具的演变之路
【10月更文挑战第8天】在数字化时代的浪潮中,运维不再是简单的硬件维护,它已经演变成一场关于效率、稳定性和创新的技术革命。本文将带您领略自动化运维的魅力,从最初的脚本编写到现代复杂的自动化工具,我们将一探究竟,看看这些工具如何帮助运维人员简化日常任务,提升工作效率,并最终推动业务发展。
|
1月前
|
JavaScript 前端开发 搜索推荐
Gulp:构建自动化与任务管理的强大工具
【10月更文挑战第13天】Gulp:构建自动化与任务管理的强大工具
72 0
下一篇
无影云桌面