文章目录
salt-ssh概念
1.salt-ssh 是 0.17.0 新引入的一个功能,不需要minion对客户端进行管理,也不需要master。
2.salt-ssh 支持salt大部分的功能:如 grains、modules、state 等
3.salt-ssh 没有使用ZeroMQ的通信架构,执行是串行模式,salt-ssh 用的是sshpass
进行密码交互的。性能下降。
类似 paramiko、pssh、ansible 这类的工具
4.salt-ssh可以独立运行的
roster系统的使用
salt-ssh需要一个名单系统来确定哪些执行目标,Salt的0.17.0版本中salt-ssh引入roster系统
roster系统编译成了一个数据结构,包含了targets,这些targets是一个目标系统主机列表和或如连接到这些targets
配置文件:
# target的信息
host: # 远端主机的ip地址或者dns域名
user: # 登录的用户
passwd: # 用户密码,如果不使用此选项,则默认使用秘钥方式
# 可选的部分
port: #ssh端口
sudo: #可以通过sudo
tty: # 如果设置了sudo,设置这个参数为true
priv: # ssh秘钥的文件路径
timeout: # 当建立链接时等待响应时间的秒数
minion_opts: # minion的位置路径
thin_dir: # target系统的存储目录,默认是/tmp/salt-<h
ash>
cmd_umask: # 使用salt-call命令的umask值
配置过程
master端设置
yum install -y salt-ssh
[root@ser2 salt]# pwd
/etc/salt
[root@ser2 salt]# cat roster
server4:
host: 172.25.2.5
user: root
passwd: redhat
[root@ser2 salt]# salt-ssh ser4 test.ping -i # -i会自动应答
ser4:
True
1.在之前的实验背景下,关闭ser4上的mionin端。
2.3.
4.测试
删除ser4的连接信息
再次访问时发现输入y
但是加上-i 就可以忽略应答
或者忽略key的检测:
[root@ser2 ~]# cat ~/.ssh/config
StrictHostKeyChecking no
注意:
1.salt-ssh 是在salt基础上打了一个python包上传到客户端的默认tmp目录 在客户端上面解压并执行返回结果,最后删除tmp上传的临时文件
2.salt-minion方法是salt-mater先执行语法验证,验证通过后发送到minion minion收到Msater的状态文件默认保存在/var/cache/salt/minion
也有时候salt-master语法验证通过,在minion上可能因为环境问题会执行失败
3.salt-ssh和salt-minion可以共存,salt-minion不依赖于ssh服务
salt-syndic概念
1.知道zabbix proxy的话那就很容易理解了,syndic其实就是个代理,隔离master与minion。
2.Syndic必须要运行在master上,再连接到另一个topmaster上。
3.Topmaster 下发的状态需要通过syndic来传递给下级master,minion传递给master的数据也是由syndic传递给topmaster。
4.topmaster并不知道有多少个minion。
5.syndic与topmaster的file_roots和pillar_roots的目录要保持一致。
6.syndic的英文翻译是理事。
配置过程
ser1作为topmaster,ser2作为syndic(同时也是master)
[root@ser1 ~]# vim /etc/yum.repos.d/salt-latest.repo
[salt-latest]
name=SaltStack Latest Release Channel for RHEL/Centos $releasever
baseurl=https://repo.saltstack.com/yum/redhat/7/$basearch/latest
failovermethod=priority
enabled=1 # 表示启用这个源
gpgcheck=0 # 表示对从这个源下载的rpm包不进行校验
gpgkey=file:///etc/pki/rpm-gpg/saltstack-signing-key
[root@ser1 ~]# yum install salt-master -y
[root@ser2 ~]# yum install -y salt-syndic
root@ser2 ~]# systemctl start salt-syndic
[root@ser1 ~]# vim /etc/salt/master # 作为顶级master
order_masters: True
[root@ser1 ~]# systemctl start salt-master
[root@ser1 ~]# systemctl enable salt-master
Created symlink from /etc/systemd/system/multi-user.target.wants/salt-master.service to /usr/lib/systemd/system/salt-master.service.
[root@ser2 ~]# vim /etc/salt/master
syndic_master: 172.25.2.2
[root@ser2 ~]# systemctl restart salt-master
[root@ser1 ~]# salt-key -L
Accepted Keys:
Denied Keys:
Unaccepted Keys:
ser2
Rejected Keys:
[root@ser1 ~]# salt-key -A
The following keys are going to be accepted:
Unaccepted Keys:
ser2
Proceed? [n/Y] Y
Key for minion ser2 accepted.
[root@ser1 ~]# salt-key -L
Accepted Keys:
ser2
Denied Keys:
Unaccepted Keys:
Rejected Keys:
[root@ser1 ~]# salt '*' test.ping
ser4:
True
ser3:
True
topmaster端
1.
2.
3.
下级master端
1.2.
3.
topmaster端做授权
进行测试:
salt-api概念
SaltStack 官方提供有REST API格式的 salt-api 项目,将使Salt与第三方系统集成变得尤为简单。
官方提供了三种api模块:
rest_cherrypy
rest_tornado
rest_wsgi
官方链接:
https://docs.saltstack.com/en/latest/ref/netapi/all/index.html#all-netapi-modules
配置过程
1.安装salt-api
[root@ser2 ~]# yum install -y salt-api python-cherrypy
2.生成证书
[root@ser2 private]# pwd
/etc/pki/tls/private
[root@ser2 private]# openssl genrsa 2048 > localhost.key
Generating RSA private key, 2048 bit long modulus
..............+++
........................+++
e is 65537 (0x10001)
[root@ser2 private]# ls
localhost.key
[root@ser2 ~]# cd /etc/pki/tls/certs/
[root@ser2 certs]# make testcert # 填写相关信息
[root@ser2 certs]# ls # 生成localhost.crt
ca-bundle.crt localhost.crt Makefile
ca-bundle.trust.crt make-dummy-cert renew-dummy-cert
(2)
[root@ser2 master.d]# pwd
/etc/salt/master.d
[root@ser2 master.d]# cat tls.conf
rest_cherrypy:
port: 8000
ssl_crt: /etc/pki/tls/certs/localhost.crt
ssl_key: /etc/pki/tls/private/localhost.key
3.创建用户认证文件
[root@ser2 master.d]# cat auth.conf
external_auth:
pam:
saltapi:
- .*
- '@wheel'
- '@runner'
- '@jobs'
[root@ser2 master.d]# useradd -s /sbin/nologin saltapi
[root@ser2 master.d]# passwd saltapi
Changing password for user saltapi.
New password:
BAD PASSWORD: The password is shorter than 8 characters
Retype new password:
passwd: all authentication tokens updated successfully.
[root@ser2 master.d]# systemctl restart salt-master
[root@ser2 master.d]# systemctl start salt-api
[root@ser2 master.d]# netstat -antlpe|grep :8000
tcp 0 0 0.0.0.0:8000 0.0.0.0:* LISTEN 0 436701 25111/salt-api
tcp 0 0 127.0.0.1:43556 127.0.0.1:8000 TIME_WAIT 0
4.进行认证获取token
root@ser2 master.d]# curl -sSk https://localhost:8000/login -H 'Accept: application/x-yaml' -d username=saltapi -d password=westos -d eauth=pam
return:
- eauth: pam
expire: 1589764243.542194
perms:
- .*
- '@wheel'
- '@runner'
- '@jobs'
start: 1589721043.542193
token: 65b8495460d3eeed0a4fd86174b812cc3b55ee71
user: saltapi
[root@ser2 master.d]# curl -sSk https://localhost:8000 -H 'Accept: application/x-yaml' -H 'X-Auth-Token: 65b8495460d3eeed0a4fd86174b812cc3b55ee71' -d client=local -d tgt='*' -d fun=test.ping
return:
- server3: true
server4: true
[root@ser2 master.d]# curl -sSk https://localhost:8000 -H 'Accept: application/x-yaml' -H 'X-Auth-Token: 65b8495460d3eeed0a4fd86174b812cc3b55ee71' -d client=local -d tgt='*' -d fun=state.sls -d arg=keepalived
(1)进行测试
(2)
(3)
github小项目实现
1.2.拿到depoly目录中的saltapi.py文件
3.发现报错
4.
5.成功
6.