一、概述
1.1 Saltstack简介
SaltStack是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、监控等功能,一般可以理解为简化版的puppet和加强版的func。SaltStack基于Python语言实现,结合轻量级消息队列(ZeroMQ)与Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建。通过部署SaltStack环境,我们可以在成千上万台服务器上做到批量执行命令,根据不同业务特性进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等,SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。
1.2 特点
简单
兼顾大规模部署与更小的系统的同时提供多功能性是很困难的,Salt是非常简单配置和维护,不管项目的大小。Salt可以胜任管理任意的数量的服务器,不管是本地网络,还是跨数据中心。架构采用C/S模式,在一个后台程序中集成必要功能。默认不需要复杂的配置就可以工作,同时可以定制用于特殊的需求。
并行执行
Salt的核心功能:
通过并行方式让远端节点执行命令
采用安全的加密/解析协议
最小化使用网络和负载
提供简单的程序接口
Salt引入了更细粒度的控制,允许不通过目标名字,二是通过系统属性分类
构建在成熟技术之上
Salt采用了很多技术和技巧。网络层采用优秀的ZeroMQ库,所以守护进程里面包含AMQ代理。Salt采用公钥和主控通讯,同时使用更快的AES加密通信,验证和加密都已经集成在Salt里面。Salt使用msgpack通讯,所以更快速和更轻量网络交换。
Python 客户端接口
为了实现简单的扩展,Salt执行例程可以写成简单的Python模块。客户端程序收集的数据可以发送回主控端,可以是其他任意程序。可以通过Python API调用Salt程序,或者命令行,因此,Salt可以用来执行一次性命令,或者大型应用程序中的一部分模块。
快速,灵活,可扩展
结果是一个系统可以高速在一台或者一组服务器执行命令。Salt速度很快,配置简单,扩展性好,提供了一个远程执行架构,可以管理多样化需求的任何数量的服务器。整合了世界上最好的远程执行方法,增强处理能力,扩展使用范围,使得可以适用任何多样化复杂的网络。
开源
Salt基于Apache 2.0 licence开发,可以用于开源或者自有项目。请反馈你的扩展给项目组,以便更多人受益,共同促进Salt发展。请在你的系统部署 系统,让运维更便捷。
1.3 架构
saltstack是基于C/S服务模式,在该架构中,服务器端叫做Master,客户端叫做Minion。传统的C/S模式我们这样理解,客户端发送请求给服务器端,服务器端接受到来自客户端的请求并处理完成后再返回客户端。 在saltstack架构中,不仅有传统的C/S服务模式,而且有消息队列中的发布与订阅(pub/sub)服务模式。目前我们一般用其C/S架构做批量管理。
1) Master:控制中心,salt命令运行和资源状态管理
2) Minion : 需要管理的客户端机器,会主动去连接Mater端,并从Master端得到资源状态
3) 信息,同步资源管理信息
4) States:配置管理的指令集
5) Modules:在命令行中和配置文件中使用的指令模块,可以在命令行中运行
6) Grains:minion端的变量,静态的
7) Pillar:minion端的变量,动态的比较私密的变量,可以通过配置文件实现同步minions定义
8) highstate:为minion端下发永久添加状态,从sls配置文件读取.即同步状态配置
9) salt_schedule:会自动保持客户端配置
1.4 连接方式
Master与Minion认证
(1)、minion在第一次启动时,会在/etc/salt/pki/minion/(该路径在/etc/salt/minion里面设置)下自动生成minion.pem(private key)和 minion.pub(public key),然后将 minion.pub发送给master。
(2)、master在接收到minion的public key后,通过salt-key命令accept minion public key,这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key,然后master就能对minion发送指令了。
SaltStack master启动后默认监听4505和4506两个端口。4505(publish_port)为saltstack的消息发布系统,4506(ret_port)为saltstack客户端与服务端通信的端口。如果使用lsof 查看4505端口,会发现所有的minion在4505端口持续保持在ESTABLISHED状态
二、安装部署
| 主机名 |
IP地址 |
系统 |
| saltstack-server |
172.20.4.50 |
CentOS release 6.9 (Final) |
| saltstack-1 | 172.20.4.51 | CentOS release 6.9 (Final) |
| saltstack-2 | 172.20.4.52 | CentOS release 6.9 (Final) |
2.1 初始化环境:
|
1
2
3
4
|
yum
install
ntpdate -y && ntpdate time1.aliyun.com
#同步时间
service iptables stop
#关闭iptables
sed
-i
"s/SELINUX=enforcing/SELINUX=disabled/"
/etc/selinux/config
#关闭selinux
setenforce 0
|
|
1
2
3
4
5
6
7
8
9
10
|
cat
> saltstack.repo <<EOF
[saltstack-repo]
name=SaltStack repo
for
RHEL
/CentOS
$releasever
baseurl=https:
//repo
.saltstack.com
/yum/redhat/
$releasever/$basearch
/latest
enabled=1
gpgcheck=1
gpgkey=https:
//repo
.saltstack.com
/yum/redhat/
$releasever/$basearch
/latest/SALTSTACK-GPG-KEY
.pub
EOF
rpm --
import
https:
//repo
.saltstack.com
/yum/redhat/6/x86_64/latest/SALTSTACK-GPG-KEY
.pub
yum cleanall && yum makecache
#更新yum源
|
2.2 master 端安装
|
1
2
|
yum -y
install
salt-master
mkdir
/etc/salt/states
|
|
1
2
3
4
5
6
|
编辑
/etc/salt/states
interface: 0.0.0.0
state_top:
top
.sls
file_roots:
base:
-
/etc/salt/states
|
启动服务,并设置开机自启
|
1
2
|
/etc/init
.d
/salt-master
start
chkconfig salt-master on
|
2.3 monitor端安装
配置yum源和master方法一致
|
1
|
yum -y
install
salt-minion
|
修改/etc/salt/minion文件(slatstack-1/2 都更改成对应的id,master指向master的ip地址)
启动客户端,并设置开机自启动
2.4 证书管理
|
1
2
|
#执行salt-key -L 查看秘钥验证
#执行Salt-key -a 加ID添加认证秘钥
|
三、验证测试
四、常见模块
(1)、cp模块(实现远程文件、目录的复制,以及下载URL文件等操作)
将主服务器file_roots指定位置下的目录复制到被控主机
|
1
|
salt
"*"
cp
.get_dir salt:
//testdir
/tmp/test
|
将主服务器file_roots指定位置下的文件复制到被控主机
|
1
|
salt
"*"
cp
.get_file salt:
//testdir/testfile
/tmp/testfile
|
下载指定URL内容到被控主机指定位置
|
1
|
salt
"*"
cp
.get_url http:
//mirrors
.163.com/.help
/CentOS6-Base-163
.repo
/etc/yum
.repos.d
/CentOS6-Base-163
.repo
|
(2)、cmd模块(实现远程的命令行调用执行)
|
1
|
salt
"*"
cmd.run
'netstat -lntup'
|
(3)、cron模块(实现被控主机的crontab操作)
为指定的被控主机、root用户添加crontab信息
|
1
|
salt
"*"
cron
.set_job root
'*/5'
'*'
'*'
'*'
'*'
'/usr/sbin/ntpdate time1.aliyun.com'
|
删除指定的被控主机、root用户的crontab信息
|
1
|
salt
"*"
cron
.rm_job root
'/usr/sbin/ntpdate time1.aliyun.com'
|
查看定时任务
|
1
|
salt
'*'
cron
.raw_cron root
|
(4)、dnsutil模块(实现被控主机通用DNS操作)
为被控主机添加指定的hosts主机配置项
|
1
|
salt
'*'
dnsutil.hosts_append
/etc/hosts
127.0.0.1
test
.saltstack.com
|
(5)、file模块(被控主机文件常见操作,包括文件读写、权限、查找、校验等)
|
1
2
|
salt
'*'
file
.get_sum
/etc/resolv
.conf md5
salt
'*'
file
.stats
/etc/resolv
.conf
|
(6)、network模块(返回被控主机网络信息)
|
1
2
|
salt
'*'
network.ip_addrs
salt
'*'
network.interfaces
|
(7)、pkg包管理模块(被控主机程序包管理,如yum、apt-get等)
|
1
2
|
salt
'*'
pkg.
install
sysstat
salt
'*'
pkg.file_list sysstat
|
(8)、service 服务模块(被控主机程序包服务管理)
|
1
2
3
4
5
6
7
|
salt
'*'
service.
enable
crond
salt
'*'
service.disable crond
salt
'*'
service.status crond
salt
'*'
service.stop crond
salt
'*'
service.start crond
salt
'*'
service.restart crond
salt
'*'
service.reload crond
|
