1.SaltStack介绍
SaltStack作用于仆从和主拓扑。SaltStack与特定的命令结合使用可以在一个或多个下属执行。实现这一点,此时Salt Master可以发出命令,如salt ‘*’ cmd.run ‘ls -l /’。
除了运行远程命令,SaltStack允许管理员使用“grain”。grain可以在SaltStack仆从运行远程查询,因此收集仆从的状态信息并允许管理员在一个中央位置存储信息。SaltStack也可以帮助管理员定义目标系统上的期望状态。这些状态在应用时会用到.sls文件,其中包含了如何在系统上获得所需的状态非常具体的要求。
由于它提供了在管理远程系统的灵活性,SaltStack-based产品迅速获得利益。该功能可以对比由状态管理系统提供的功能,如Puppet和Ansible。SaltStack很大程度上得益于快速的采用率,它包括一个在管理系统上运行远程命令的有效方式。
1.1自动化运维工具
目前常见的运维自动化管理工具主要是Puppet、SaltStack、Ansible下面分别简述它们的特点。
1、Puppet特点
Puppet是早期的Linux自动化运维工具,是一种LINUX、WINDOWS、UNIX平台的集中配置管理系统,到现在已经非常成熟,可以批量管理远程服务器,模块丰富,配置复杂,基于Ruby语言编写。是最典型的C/S结构,需要安装服务端和客户端 。
Puppet采用C/S星状的结构,所有的客户端和一个或者多个服务器交互,每个客户端周期地(默认半个小时)向服务器发送请求,获得最新的配置信息,保证和配置信息同步。
每个Puppet客户端周期地连接一次服务器,下载最新的配置文件,并且严格按照配置文件来配置客户端。配置完成后,Puppet客户端可以反馈给服务器端一个消息,如果出错也会给服务器端反馈一个消息。
Puppet适用于服务器管理的整个过程,比如初始安装、配置、更新等
2、SaltStack特点
SaltStack和Puppet一样,也是C/S模式,需要安装服务端和客户端,基于Python编写,加入了MQ消息同步,可以使执行命令和执行结果高效返回,但其执行过程需要等待客户端全部返回,如果客户端没有及时返回或者没有响应的话,可能会导致部分机器没有执行结果。
3、Ansible特点
Ansible和SaltStack一样是基于Python开发,Ansible只需要在一台普通的服务器上运行即可,不需要在客户端服务器上安装客户端。因为Ansible基于SSH远程管理,而Linux服务器大部分都离不开SSH,所以Ansible不需要为配置添加额外的支持。
Ansible安装使用都很简单,而且基于上千个插件和模块,实现各种软件、平台、版本的管理,支持虚拟容器多层级的部署。
有时候会觉得Ansible比SaltStack执行效率慢,其实并不是软件本身的问题,二是由于SSH服务慢,可以通过优化SSH连接速度和使用Ansible加速模块提高效率.
1.2 Saltstac特性
- 基于python开发的C/S架构配置管理工具
- 底层使用ZeroMQ消息队列pub/sub方式通信
- 使用SSL证书签发的方式进行认证管理,传输采用AES加密
(1)、部署简单、方便;
(2)、支持大部分UNIX/Linux及Windows环境;
(3)、主从集中化管理;
(4)、配置简单、功能强大、扩展性强;
(5)、主控端(master)和被控端(minion)基于证书认证,安全可靠;
(6)、支持API及自定义模块,可通过Python轻松扩展。
1.3 SaltStack 的工作原理
SaltStack 采用 C/S 结构来对云环境内的服务器操作管理及配置管理。为了更好的理解它的工作方式及管理模型,本章将通过图形方式对其原理进行阐述。
SaltStack 客户端(Minion)在启动时,会自动生成一套密钥,包含私钥和公钥。之后将公钥发送给服务器端,服务器端验证并接受公钥,以此来建立可靠且加密的通信连接。同时通过消息队列 ZeroMQ 在客户端与服务端之间建立消息发布连接。具体通信原理图
.SaltStack 通信原理图
Minion 是 SaltStack 需要管理的客户端安装组件,会主动去连接 Master 端,并从 Master 端得到资源状态信息,同步资源管理信息。
Master 作为控制中心运行在主机服务器上,负责 Salt 命令运行和资源状态的管理。
ZeroMQ 是一款开源的消息队列软件,用于在 Minion 端与 Master 端建立系统通信桥梁。
Daemon 是运行于每一个成员内的守护进程,承担着发布消息及通信端口监听的功能。
在saltstack架构中服务器端叫Master,客户端叫Minion。
在Master和Minion端都是以守护进程的模式运行,一直监听配置文件里面定义的ret_port(接受minion请求)和publish_port(发布消息)的端口。
当Minion运行时会自动连接到配置文件里面定义的Master地址ret_port端口进行连接认证。
saltstack除了传统的C/S架构外,其实还有一种叫做masterless的架构,其不需要单独安装一台 master 服务器,只需要在每台机器上安装 Minion端,然后采用本机只负责对本机的配置管理机制服务的模式。
2.SaltStack四大功能与四大运行方式
SaltStack有四大功能,分别是:
- 远程执行
- 配置管理/状态管理
- 云管理(cloud)
- 事件驱动
SaltStack可以通过远程执行实现批量管理,并且通过描述状态来达到实现某些功能的目的。
SaltStack四大运行方式:
- local本地运行
- Master/Minion传统方式
- Syndic分布式
- Salt ssh
3.SaltStack组件介绍
组件 | 功能 |
---|---|
Salt Master | 用于将命令和配置发送到在受管系统上运行的Salt minion |
Salt Minions | 从Salt master接收命令和配置 |
Execution Modules | 从命令行针对一个或多个受管系统执行的临时命令。对…有用: 1. 实时监控,状态和库存 2. 一次性命令和脚本 3. 部署关键更新 |
Formulas (States) | 系统配置的声明性或命令式表示 |
Grains | Grains是有关底层受管系统的静态信息,包括操作系统,内存和许多其他系统属性。 |
Pillar | 用户定义的变量。这些安全变量被定义并存储在Salt Master中,然后使用目标“分配”给一个或多个Minion。 |
Top File | 将Formulas (States)和Salt Pillar数据与Salt minions匹配。 |
Runners | 在Salt master上执行的模块,用于执行支持任务。Salt runners报告作业状态,连接状态,从外部API读取数据,查询连接的Salt minions等。 |
Returners | 将Salt minions返回的数据发送到另一个系统,例如数据库。Salt Returners可以在Salt minion或Salt master上运行。 |
Reactor | 在SaltStack环境中发生事件时触发反应。 |
Salt Cloud / Salt Virt | 在云提供商/虚拟机管理程序上提供系统,并立即将其置于管理之下。 |
Salt SSH | 在没有Salt minion的系统上通过SSH运行Salt命令。 |
4.SaltStack安装与最小化配置
环境说明:
主机类型 | IP | 要安装的应用 |
---|---|---|
控制机 | 192.168.232.128 | salt salt-cloud salt-master salt-minion salt-ssh salt-syndic |
被控机 | 192.168.232.129 | salt-minion |
在控制机上安装saltstack主控端软件
//配置yum源
[root@wyt1 ~]# yum -y install https://repo.saltstack.com/yum/redhat/salt-repo-3000.el7.noarch.rpm
[root@wyt1 ~]# yum clean all
//安装saltstack主控端
[root@wyt1 ~]# yum -y install salt salt-cloud salt-master salt-minion salt-ssh salt-syndic
//修改主控端的配置文件
[root@wyt1 ~]# sed -i '/^#master:/a master: 192.168.232.128' /etc/salt/minion
[root@wyt1 ~]# sed -n '/^master/p' /etc/salt/minion
master: 192.168.232.128
//启动主控端的salt-master和salt-minion,并设置开机自启
[root@wyt1 salt]# systemctl enable --now salt-master salt-minion
Created symlink from /etc/systemd/system/multi-user.target.wants/salt-master.service to /usr/lib/systemd/system/salt-master.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/salt-minion.service to /usr/lib/systemd/system/salt-minion.service.
[root@wyt1 ~]# ss -antl
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 *:22 *:*
LISTEN 0 100 *:4505 *:*
LISTEN 0 100 127.0.0.1:25 *:*
LISTEN 0 100 *:4506 *:*
LISTEN 0 128 :::22 :::*
LISTEN 0 100 ::1:25 :::*
在被控机上安装salt-minion客户端
//配置yum源
[root@wyt1 ~]# yum -y install https://repo.saltstack.com/yum/redhat/salt-repo-3000.el7.noarch.rpm
[root@wyt1 ~]# yum clean all
//安装salt-minion
[root@wyt2 ~]# yum -y install salt-minion
//修改被控端的配置文件,将master设为主控端的IP
[root@wyt2 ~]# sed -i '/^#master:/a master: 192.168.232.128' /etc/salt/minion
[root@wyt2 ~]# sed -n '/^master/p' /etc/salt/minion
master: 192.168.232.128
//启动受控端的salt-minion并设置开机自启
[root@wyt2 ~]# systemctl enable --now salt-minion
Created symlink from /etc/systemd/system/multi-user.target.wants/salt-minion.service to /usr/lib/systemd/system/salt-minion.service.
saltstack配置文件
saltstack的配置文件在/etc/salt目录
saltstack配置文件说明:
配置文件 | 说明 |
---|---|
/etc/salt/master | 主控端(控制端)配置文件 |
/etc/salt/minion | 受控端配置文件 |
配置文件/etc/salt/master默认的配置就可以很好的工作,故无需修改此配置文件。
配置文件/etc/salt/minion常用配置参数
- master:设置主控端的IP
- id:设置受控端本机的唯一标识符,可以是ip也可以是主机名或自取某有意义的单词
在日常使用过程中,经常需要调整或修改Master配置文件,SaltStack大部分配置都已经指定了默认值,只需根据自己的实际需求进行修改即可。下面的几个参数是比较重要的
- max_open_files:可根据Master将Minion数量进行适当的调整
- timeout:可根据Master和Minion的网络状况适当调整
- auto_accept和autosign_file:在大规模部署Minion时可设置自动签证
- master_tops和所有以external开头的参数:这些参数是SaltStack与外部系统进行整合的相关配置参数
5. SaltStack认证机制
saltstack主控端是依靠openssl证书来与受控端主机认证通讯的,受控端启动后会发送给主控端一个公钥证书文件,在主控端用salt-key命令来管理证书。
salt-minion与salt-master的认证过程:
minion在第一次启动时,会在/etc/salt/pki/minion/下自动生成一对密钥,然后将公钥发给master master收到minion的公钥后,通过salt-key命令接受该公钥。此时master的/etc/salt/pki/master/minions目录将会存放以minion id命名的公钥,然后master就能对minion发送控制指令了
//salt-key常用选项
-L //列出所有公钥信息
-a minion //接受指定minion等待认证的key
-A //接受所有minion等待认证的key
-r minion //拒绝指定minion等待认证的key
-R //拒绝所有minion等待认证的key
-f minion //显示指定key的指纹信息
-F //显示所有key的指纹信息
-d minion //删除指定minion的key
-D //删除所有minion的key
-y //自动回答yes
//查看当前证书情况
[root@wyt1 ~]# salt-key -L
Accepted Keys:
Denied Keys:
Unaccepted Keys:
wyt1
wyt2
Rejected Keys:
//接受指定minion的新证书
[root@wyt1 ~]# salt-key -ya 'wyt1'
The following keys are going to be accepted:
Unaccepted Keys:
wyt1
Key for minion wyt1 accepted.
[root@wyt1 ~]# salt-key -L
Accepted Keys:
wyt1
Denied Keys:
Unaccepted Keys:
Rejected Keys:
//接受所有minion的新证书
[root@wyt1 ~]# salt-key -yA
The following keys are going to be accepted:
Unaccepted Keys:
wyt1
wyt2
Key for minion wyt1 accepted.
Key for minion wyt2 accepted.
[root@wyt1 ~]# salt-key -L
Accepted Keys:
wyt1
wyt2
Denied Keys:
Unaccepted Keys:
Rejected Keys:
6.SaltStack远程执行
//查看当前证书情况
[root@wyt1 ~]# salt-key -L
Accepted Keys:
wyt1
wyt2
Denied Keys:
Unaccepted Keys:
Rejected Keys:
//测试指定受控端主机是否存活
[root@wyt1 ~]# salt 'wyt2' test.ping
wyt2:
True
//测试所有受控端主机是否存活
[root@wyt1 ~]# salt '*' test.ping
wyt2:
True
wyt1:
True
7.salt命令使用
//语法:salt [options] '<target>' <function> [arguments]
//常用的options
--version //查看saltstack的版本号
--versions-report //查看saltstack以及依赖包的版本号
-h //查看帮助信息
-c CONFIG_DIR //指定配置文件目录(默认为/etc/salt/)
-t TIMEOUT //指定超时时间(默认是5s)
--async //异步执行
-v //verbose模式,详细显示执行过程
--username=USERNAME //指定外部认证用户名
--password=PASSWORD //指定外部认证密码
--log-file=LOG_FILE //指定日志记录文件
//常用target参数
-E //正则匹配
-L //列表匹配
-S //CIDR匹配网段
-G //grains匹配
--grain-pcre //grains加正则匹配
-N //组匹配
-R //范围匹配
-C //综合匹配(指定多个匹配)
-I //pillar值匹配
[root@wyt1 ~]# salt -E 'w*' test.ping //正则匹配
wyt1:
True
wyt2:
True
[root@wyt1 ~]# salt 'w*' test.ping //关键字匹配
wyt2:
True
wyt1:
True
[root@wyt1 ~]# salt -L wyt1,wyt2 test.ping 列表匹配主机名
wyt2:
True
wyt1:
True
[root@wyt1 ~]# salt -S '192.168.232.128' test.ping //匹配IP
wyt1:
True
[root@wyt1 ~]# salt -S '192.168.232.0/24' test.ping //匹配网段
wyt2:
True
wyt1:
True
//在远程主机上用cmd.run模块执行命令
[root@wyt1 ~]# salt '*' cmd.run 'touch /tmp/abc'
wyt2:
wyt1:
[root@wyt1 pki]# ls /tmp
abc
[root@wyt2 ~]# ls /tmp
abc