SaltStack入门
1. SaltStack介绍
SaltStack,状态管理工具,描绘一个目标状态,将之写入状态文件中,幂等性:没达到这种状态,一定要让它达到这种状态
1.1 自动化运维工具
作为一个运维人员,很大一部分工作是在业务的配置管理和状态维护以及版本发布上,而当业务场景及公司规模上了一定规模后,人为手工的去做这些工作将变得极其困难,此时我们将需要利用一些自动化运维的工具来达到批量管理的目的。
常用的自动化运维工具有:
- puppet
- ansible
- saltstack
此三款属同类工具,皆可用来提高运维管理的效率,但它们又各有优势,目前主流的自动化运维工具是ansible和saltstack。其中ansible无需安装客户端,这是其最大的优势,而saltstack则需要安装客户端工具,类似zabbix的agent。应用场景方面,ansible常用于小型企业,而saltstack则常用于中大型企业,因为ansible无法并行执行而saltstack可以并行。但不论其特点如何,本质上均属同类,所以只需要掌握一种即可轻松胜任运维工作。
可以将SaltStack理解为神笔马良的那只笔!
1.2 saltstack的特点
- 基于python开发的C/S架构配置管理工具
- 底层使用ZeroMQ消息队列pub/sub方式通信
- 使用SSL证书签发的方式进行认证管理,传输采用AES加密
1.3 saltstack服务架构
在saltstack架构中服务器端叫Master,客户端叫Minion。
在Master和Minion端都是以守护进程的模式运行,一直监听配置文件里面定义的ret_port(接受minion请求)和publish_port(发布消息)的端口。
当Minion运行时会自动连接到配置文件里面定义的Master地址ret_port端口进行连接认证。
saltstack除了传统的C/S架构外,其实还有一种叫做masterless的架构,其不需要单独安装一台 master 服务器,只需要在每台机器上安装 Minion端,然后采用本机只负责对本机的配置管理机制服务的模式。
2. SaltStack四大功能与四大运行方式
SaltStack有四大功能,分别是:
- 远程执行
- 配置管理/状态管理
- 云管理(cloud)
- 事件驱动
SaltStack可以通过远程执行实现批量管理,并且通过描述状态来达到实现某些功能的目的。
SaltStack四大运行方式:
- local本地运行
- Master/Minion传统方式
- Syndic分布式
- Salt ssh
3. SaltStack组件介绍
| 组件 | 功能 |
|---|---|
| Salt Master | 用于将命令和配置发送到在受管系统上运行的Salt minion |
| Salt Minions | 从Salt master接收命令和配置 |
| Execution Modules | 从命令行针对一个或多个受管系统执行的临时命令。对…有用: 1. 实时监控,状态和库存 2. 一次性命令和脚本 3. 部署关键更新 |
| Formulas (States) | 系统配置的声明性或命令式表示 |
| Grains | Grains是有关底层受管系统的静态信息,包括操作系统,内存和许多其他系统属性。 |
| Pillar | 用户定义的变量。这些安全变量被定义并存储在Salt Master中,然后使用目标“分配”给一个或多个Minion。 Pillar数据存储诸如端口,文件路径,配置参数和密码之类的值。 |
| Top File | 将Formulas (States)和Salt Pillar数据与Salt minions匹配。 |
| Runners | 在Salt master上执行的模块,用于执行支持任务。Salt runners报告作业状态,连接状态,从外部API读取数据,查询连接的Salt minions等。 |
| Returners | 将Salt minions返回的数据发送到另一个系统,例如数据库。Salt Returners可以在Salt minion或Salt master上运行。 |
| Reactor | 在SaltStack环境中发生事件时触发反应。 |
| Salt Cloud / Salt Virt | 在云提供商/虚拟机管理程序上提供系统,并立即将其置于管理之下。 |
| Salt SSH | 在没有Salt minion的系统上通过SSH运行Salt命令。 |
saltstack模块分类:
- 执行模块(一次性)
- 状态模块(常态化的)
4. SaltStack安装与最小化配置
环境说明:
| 主机类型 | IP | 要安装的应用 | 系统 |
|---|---|---|---|
| 控制机 | 192.168.47.163 | salt-master salt-minion | centos8 |
| 被控机 | 192.168.47.160 | salt-minion | centos8 |
官方yum源地址:https://repo.saltstack.com
4.1 在控制机上安装saltstack主控端软件
// 关闭防火墙和selinux
[root@master ~]# systemctl disable --now firewalld.service
Removed /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@master ~]# vim /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
[root@master ~]# setenforce 0
// 配置yum源
[root@master ~]# rpm --import https://repo.saltproject.io/py3/redhat/8/x86_64/latest/SALTSTACK-GPG-KEY.pub
[root@master ~]# ls /etc/yum.repos.d/
CentOS-Stream-AppStream.repo CentOS-Stream-Extras.repo CentOS-Stream-PowerTools.repo
CentOS-Stream-BaseOS.repo CentOS-Stream-HighAvailability.repo CentOS-Stream-RealTime.repo
CentOS-Stream-Debuginfo.repo CentOS-Stream-Media.repo
[root@master ~]# curl -fsSL https://repo.saltproject.io/py3/redhat/8/x86_64/latest.repo | sudo tee /etc/yum.repos.d/salt.repo
[salt-latest-repo]
name=Salt repo for RHEL/CentOS 8 PY3
baseurl=https://repo.saltproject.io/py3/redhat/8/x86_64/latest
skip_if_unavailable=True
failovermethod=priority
enabled=1
enabled_metadata=1
gpgcheck=1
gpgkey=https://repo.saltproject.io/py3/redhat/8/x86_64/latest/SALTSTACK-GPG-KEY.pub
[root@master ~]# ls /etc/yum.repos.d/
CentOS-Stream-AppStream.repo CentOS-Stream-Extras.repo CentOS-Stream-PowerTools.repo
CentOS-Stream-BaseOS.repo CentOS-Stream-HighAvailability.repo CentOS-Stream-RealTime.repo
CentOS-Stream-Debuginfo.repo CentOS-Stream-Media.repo salt.repo
//安装saltstack主控端
[root@master ~]# dnf -y install salt-minion salt-master
//修改主控端的配置文件
[root@master ~]# cd /etc/salt/
[root@master salt]# ls
cloud cloud.maps.d master minion.d proxy.d
cloud.conf.d cloud.profiles.d master.d pki roster
cloud.deploy.d cloud.providers.d minion proxy
[root@master salt]# vim minion
16 #master: salt
17 master: 192.168.47.163 ## 在配置文件里面加入这行,IP是本机IP。因为这个文件是yaml格式的,所以这里必须加空格,而且必须只能加一个空格,多一个少一个都不行,左边不可以有空格
// 启动主控端的salt-master和salt-minion,并设置开机自启
[root@master salt]# ss -antl
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 [::]:22 [::]:*
[root@master salt]# systemctl enable --now salt-master
Created symlink /etc/systemd/system/multi-user.target.wants/salt-master.service → /usr/lib/systemd/system/salt-master.service.
[root@master salt]# ss -antl
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 0.0.0.0:4505 0.0.0.0:* ## 4505是ret_port发布的
LISTEN 0 128 0.0.0.0:4506 0.0.0.0:* ## 4506是publish_port接受用户请求的
LISTEN 0 128 [::]:22 [::]:*
[root@master salt]# systemctl enable --now salt-minion ## minion启动是没有端口号的,只有master有
Created symlink /etc/systemd/system/multi-user.target.wants/salt-minion.service → /usr/lib/systemd/system/salt-minion.service.
[root@master salt]# ss -antl
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 0.0.0.0:4505 0.0.0.0:*
LISTEN 0 128 0.0.0.0:4506 0.0.0.0:*
LISTEN 0 128 [::]:22 [::]:*
4.2 在被控机上安装salt-minion客户端
// 关闭防火墙与selinux
[root@minion ~]# systemctl disable --now firewalld.service
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@minion ~]# setenforce 0
[root@minion ~]# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
//配置yum源
[root@minion~]# rpm --import https://repo.saltproject.io/py3/redhat/8/x86_64/latest/SALTSTACK-GPG-KEY.pub
[root@minion~]# ls /etc/yum.repos.d/
CentOS-Stream-AppStream.repo CentOS-Stream-Extras.repo CentOS-Stream-PowerTools.repo
CentOS-Stream-BaseOS.repo CentOS-Stream-HighAvailability.repo CentOS-Stream-RealTime.repo
CentOS-Stream-Debuginfo.repo CentOS-Stream-Media.repo
[root@minion~]# curl -fsSL https://repo.saltproject.io/py3/redhat/8/x86_64/latest.repo | sudo tee /etc/yum.repos.d/salt.repo
[salt-latest-repo]
name=Salt repo for RHEL/CentOS 8 PY3
baseurl=https://repo.saltproject.io/py3/redhat/8/x86_64/latest
skip_if_unavailable=True
failovermethod=priority
enabled=1
enabled_metadata=1
gpgcheck=1
gpgkey=https://repo.saltproject.io/py3/redhat/8/x86_64/latest/SALTSTACK-GPG-KEY.pub
[root@minion~]# ls /etc/yum.repos.d/
CentOS-Stream-AppStream.repo CentOS-Stream-Extras.repo CentOS-Stream-PowerTools.repo
CentOS-Stream-BaseOS.repo CentOS-Stream-HighAvailability.repo CentOS-Stream-RealTime.repo
CentOS-Stream-Debuginfo.repo CentOS-Stream-Media.repo salt.repo
// 安装saltstack被控端
[root@minion ~]# dnf -y install salt-minion
//修改被控端的配置文件,将master设为主控端的IP
[root@minion ~]# cd /etc/salt/
[root@minion salt]# ls
cloud cloud.maps.d master minion.d proxy.d
cloud.conf.d cloud.profiles.d master.d pki roster
cloud.deploy.d cloud.providers.d minion proxy
[root@minion salt]# vim minion
16 #master: salt
17 master: 192.168.47.163 ## 这里的IP是主控节点,也就是master的IP
4.3 saltstack配置文件
saltstack的配置文件在/etc/salt目录
saltstack配置文件说明:
| 配置文件 | 说明 |
|---|---|
| /etc/salt/master | 主控端(控制端)配置文件 |
| /etc/salt/minion | 受控端配置文件 |
配置文件/etc/salt/master默认的配置就可以很好的工作,故无需修改此配置文件。
配置文件/etc/salt/minion常用配置参数
- master:设置主控端的IP
- id:设置受控端本机的唯一标识符,可以是ip也可以是主机名(不要用默认的localhost,不然后面主机多了会混)或自取某有意义的单词
在日常使用过程中,经常需要调整或修改Master配置文件,SaltStack大部分配置都已经指定了默认值,只需根据自己的实际需求进行修改即可。下面的几个参数是比较重要的
- max_open_files(最大的打开文件数):可根据Master将Minion数量进行适当的调整
- timeout(超时):可根据Master和Minion的网络状况适当调整,简单来说就是master和minion多久没有通信,那就是超时了。
- auto_accept(自动接受)和autosign_file(自动签证):在大规模部署Minion时可设置自动签证
- master_tops和所有以external开头的参数:这些参数是SaltStack与外部系统进行整合的相关配置参数
5. SaltStack认证机制
saltstack主控端是依靠openssl证书来与受控端主机认证通讯的,受控端启动后会发送给主控端一个公钥证书文件,在主控端用salt-key命令来管理证书。
salt-minion与salt-master的认证过程:
- minion在
第一次启动时,会在/etc/salt/pki/minion/下自动生成一对密钥,然后将公钥发给master
// 第一次查看pki里面的两个目录,发现什么都没有
[root@minion salt]# tree pki
pki
├── master
└── minion
2 directories, 0 files
// 启动受控端的salt-minion并设置开机自启
[root@minion salt]# systemctl enable --now salt-minion
Created symlink /etc/systemd/system/multi-user.target.wants/salt-minion.service → /usr/lib/systemd/system/salt-minion.service.
// 再次查看pki(因为是第一次启动的时候生成这个证书有点慢,需要等一会)
[root@minion salt]# tree pki
pki
├── master
└── minion
├── minion.pem ## 私钥
└── minion.pub ## 公钥
2 directories, 2 files
- master收到minion的公钥后,通过salt-key命令接受该公钥。此时master的/etc/salt/pki/master/minions目录将会存放以minion id命名的公钥,然后master就能对minion发送控制指令了
//salt-key常用选项
-L //列出所有公钥信息
-a minion //接受指定minion等待认证的key
-A //接受所有minion等待认证的key
-r minion //拒绝指定minion等待认证的key
-R //拒绝所有minion等待认证的key
-f minion //显示指定key的指纹信息
-F //显示所有key的指纹信息
-d minion //删除指定minion的key
-D //删除所有minion的key
-y //自动回答yes
//查看当前证书情况
[root@master ~]# salt-key -L
Accepted Keys: ## 已接收的key
Denied Keys: ## 已拒绝的key
Unaccepted Keys: ## 没有接受(待处理)的key
master
minion
Rejected Keys: ## 已拒绝的key
//接受指定minion的新证书
[root@master ~]# salt-key -a minion
The following keys are going to be accepted:
Unaccepted Keys:
minion
Proceed? [n/Y] y
Key for minion minion accepted.
[root@master ~]# salt-key -L
Accepted Keys:
minion
Denied Keys:
Unaccepted Keys:
master
Rejected Keys:
[root@minion salt]# tree pki
pki
├── master
└── minion
├── minion_master.pub ## master的公钥,互相认证
├── minion.pem
└── minion.pub
2 directories, 3 files
// 查看当前证书情况
[root@master ~]# salt-key -L
Accepted Keys:
minion
Denied Keys:
Unaccepted Keys:
master
Rejected Keys:
//接受所有minion的新证书
[root@master ~]# salt-key -yA
The following keys are going to be accepted:
Unaccepted Keys:
master
Key for minion master accepted.
[root@master ~]# salt-key -L
Accepted Keys:
master
minion
Denied Keys:
Unaccepted Keys:
Rejected Keys:
6. SaltStack远程执行
//测试指定受控端minion主机是否存活
[root@master ~]# salt 'minion' test.ping ## 对minion这个对象去执行test模块里面的ping函数
minion:
True
//测试所有受控端主机是否存活
[root@master ~]# salt 'minion*' test.ping
minion:
True
[root@master ~]# salt 'mi*' test.ping
minion:
True
[root@master ~]# salt '*' test.ping
minion:
True
master:
True
[root@master ~]# salt -S '192.168.47.0/24' test.ping
minion:
True
master:
True
7. salt命令使用
//语法:salt [options] '<target>' <function> [arguments]
//常用的options
--version //查看saltstack的版本号
--versions-report //查看saltstack以及依赖包的版本号
-h //查看帮助信息
-c CONFIG_DIR //指定配置文件目录(默认为/etc/salt/)
-t TIMEOUT //指定超时时间(默认是5s)
--async //异步执行
-v //verbose模式,详细显示执行过程
--username=USERNAME //指定外部认证用户名
--password=PASSWORD //指定外部认证密码
--log-file=LOG_FILE //指定日志记录文件
//常用target参数
-E //正则匹配
-L //列表匹配
-S //CIDR匹配网段
-G //grains匹配
--grain-pcre //grains加正则匹配
-N //组匹配
-R //范围匹配
-C //综合匹配(指定多个匹配)
-I //pillar值匹配
//示例
[root@master ~]# salt -E 'min*' test.ping
minion:
True
[root@master ~]# salt -L 'minion,master' test.ping
minion:
True
master:
True
[root@master ~]# salt -S '192.168.47.0/24' test.ping
minion:
True
master:
True
// 查看所有minion的时间
[root@master ~]# salt '*' cmd.run 'date'
minion2:
Tue Nov 2 17:51:49 CST 2021
minion:
Tue Nov 2 17:51:50 CST 2021
master:
Tue Nov 2 17:51:51 CST 2021
// 设置所有的minion的时间
[root@master ~]# salt '*' cmd.run 'date -s "2021-11-2 17:53:00"' ## cmd.run 万能模块
minion2:
Tue Nov 2 17:53:00 CST 2021
minion:
Tue Nov 2 17:53:00 CST 2021
master:
Tue Nov 2 17:53:00 CST 2021
[root@master base]# salt -G 'os:CentOS' test.ping
minion2:
True
317
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
