早在去年,我就在《干货篇 | 一文带你了解Ansible(上)》和《干货篇 | 一文带你了解Ansible(下)》文章中介绍过一款自动化运维工具——ansible
那么我将为大家介绍另一款自动化运维工具——saltstack
saltstack采用C/S结构的方式来进行配置管理,运行速度快、部署轻松,几分钟内便可运行起来,而且服务器之间能够做到秒级通讯,容易批量管理上万台服务器,显著降低人力与运维成本
话不多说,开始进入正题!
初识saltstack
- 是一种基于C/S架构的服务器基础架构集中化管理平台,管理端称为master,客户端称为minion
- 具备配置管理、远程执行、监控等功能
- 基于 python 语言开发
- 通过 Python 第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack 和 PyYAML 等)构建
- 底层使用 ZeroMQ 消息队列 pub/sub 方式通信
saltstack特征
- 部署简单、方便
- 主从集中化管理
- 配置简单、功能强大、扩展性强;
- master 和 minion 基于证书认证,安全可靠
- 支持API自定义模块,可通过 Python 扩展
saltstack运行模式
- local:本地单台机器,不建议
- Master/Minion:通过server/agent的方式进行管理,效率很高(批量管理1000 台机器,25秒搞定)
- Salt SSH:通过SSH方式进行管理(类似于ansible),效率相对来说比较低(批量管理1000台机器,83秒搞定)
架构图
在Master和Minion端都是以守护进程的模式运行,一直监听配置文件里面定义的 ret_port(接受minion 请求)和 publish_port (发布消息)的端口
master与minion之间通过Zero进行消息传递,使用了ZeroMQ进行消息传递,使用了Zero-MQ的发布-订阅模式,连接方式包括tcp、ipc
master 将要执行的命令(例如ls)发送给 minion,minion 从消息总线上接受到要处理的命令,交给 minion_handle_aes 处理
minion.handle_aes发起一个本地线程调用 cmdmod 执行 ls 命令。线程执行完 ls 后,调用 minion.return_pub 方法,将执行结果通过消息总线返回给 master
master 接收到客户端返回的结果,调用 master_handle_aes 方法,将结果写进文件中
salt.client.LocalClient.cmd_cli 通过轮询获取执行结果,将结果输出到终端
1.与ansible区别
master和minion
1.认证(非对称加密)
- minion在第一次启动时,会在/etc/salt/pki/minion/(该路径在 /etc/salt/minion里面设置)下自动生成minion.pem(私钥)和minion.pub(公钥),然后将公钥发送给master
- master在接收到minion的公钥后,将 minion 公钥放到 /etc/salt/pki/master/minions.pre/下面,并且以 minion的 id 命名,通过认证后 master 将 /etc/salt/pki/master/minions.pre目录下的公钥转移到/etc/salt /pki/master/minions/ 目录下表示已经认证
- master 将自己的公钥(master.pub)发送到 minion 的 /etc/salt/pki/minion/ 目录并下生成minion_master.pub文件
2.连接
- master启动后默认监听4505和4506两个端口
- 4505 (publish_port)为消息发布系统(PUB),4506(ret_port)为 minion 与 master 通信的端口(REP)
- minion 不监听端口,启动后,会主动连接 master 注册,然后一直保持 TCP 连接(master 4505 端口),master 通过该 TCP 连接对 minion 进行控制,若断开,master 也便无法控制 minion,但是当 minion 检测到断开后会定期连接 master
3.saltstack-syndic
saltstack传统的架构都是C/S,一个master管理多个minion的形式
syndic架构多了一层类似代理的东西(zabbix proxy)
安装并部署
master:192.168.149.128
minion:192.168.149.129
minion:192.168.149.130
- 首先需要下载依赖
#安装saltstack存储库和密钥
[root@master ~]# rpm --import https://repo.saltproject.io/py3/redhat/7/x86_64/3002/SALTSTACK-GPG-KEY.pub
[root@master ~]# curl -fsSL https://repo.saltproject.io/py3/redhat/7/x86_64/3002.repo | tee /etc/yum.repos.d/salt.repo[root@master ~]# yum clean expire-cache根据实现功能不同来安装不同组件
- master:yum install salt-master -y
- minion:yum install salt-minion -y
- syndic:yum install salt-master salt-minion salt-syndic -y
- 启动
[root@master ~]#systemctl enable salt-master && systemctl start salt-master
[root@minion ~]#systemctl enable salt-minion && systemctl start salt-minion1.修改配置文件
- master
master配置文件路径:vim /etc/salt/master
[root@master ~]# vim /etc/salt/master
[root@master ~]# grep -Ev "^$|#" /etc/salt/master
auto_accept: True
file_roots:
base:
- /home/salt
pillar_roots:
base:
- /home/salt/pillar
log_level: warningfile_roots:主目录
pillar_roots:pillar 组件主目录
auto_accept:自动认证配置完后启动服务
[root@master ~]#systemctl restart salt-master - minion
minion配置文件路径:vim /etc/salt/minion
[root@minion ~]# vim /etc/salt/minion
[root@minion ~]# grep -Ev "^$|#" /etc/salt/minion
master: 192.168.149.128
id: 192.168.149.129
user: root
#重启服务
[root@minion ~]# systemctl restart salt-minion# minion的识别ID,可以是IP,域名,或是可以通过DNS解析的字符串
id: 192.168.0.100
# salt运行的用户权限
user: root
# master的识别ID,可以是IP,域名,或是可以通过DNS解析的字符串
master : 192.168.149.128
# master通讯端口
master_port: 4506
# 备份模式,minion是本地备份,当进行文件管理时的文件备份模式
backup_mode: minion
# 执行salt-call时候的输出方式
output: nested
# minion等待master接受认证的时间
acceptance_wait_time: 10
# 失败重连次数,0表示无限次,非零会不断尝试到设置值后停止尝试
acceptance_wait_time_max: 0
# 重新认证延迟时间,可以避免因为master的key改变导致minion需要重新认证的syn风暴
random_reauth_delay: 60
# 日志文件位置
log_file: /var/logs/salt_minion.log
# 文件路径基本位置
file_roots:
base:
- /etc/salt/minion/file
# pillar基本位置
pillar_roots:
base:
- /data/salt/minion/pillar2.认证
minion 在第一次启动时,会在 /etc/salt/pki/minion/ 下自动生成 minion.pem(private key) 和 minion.pub(public key),然后将 minion.pub 发送给 master (非对称加密)
- salt-key 查看目前已认证与未认证的 minion
我们在master来进行key认证
[root@master ~]# salt-key
Accepted Keys: #可以看到master已经检测到minion,且已认证key
192.168.149.129
Denied Keys:
Unaccepted Keys:
Rejected Keys:
#如果没有认证,手动输入认证一下
[root@master ~]# salt-key -a id- 认证完我们测试一下
[root@master ~]# salt '192.168.149.129' test.ping
192.168.149.129:
True #返回结果表示成功- PS!!
#如果发先测试时间特别长,建议在master下/etc/hosts文件里加上dns解析
vim /etc/hosts
192.168.149.128 master
#因为debug发现master会创建一个tcp连接去连自己回环地址,可能是这步导致延迟