一、SALTSTACK简介:
- saltstack是一个配置管理系统,能够维护预定义状态的远程节点。
- saltstack是一个分布式远程执行系统,用来在远程节点上执行命令和查询数据。
- saltstack是运维人员提高工作效率、规范业务配置与操作的利器。
- Salt的核心功能
使命令发送到远程系统是并行的而不是串行的
使用安全加密的协议
使用最小最快的网络载荷
提供简单的编程接口
Salt同样引入了更加细致化的领域控制系统来远程执行,使得系统成为目标不止可以通过主机名,还可以通过系统属性。
二、saltstack的部署:
安装配置saltstack的软件仓库
软件仓库下载可以参考官网
[root@server1 ~]# yum install https://repo.saltstack.com/yum/redhat/salt-repo-3000.el7.noarch.rpm
[root@server1 ~]# cd /etc/yum.repos.d/
[root@server1 yum.repos.d]# vim salt-3000.repo #更改路径到阿里云
[salt-3000]
name=SaltStack 3000 Release Channel for Python 2 RHEL/Centos $releasever
baseurl=https://mirrors.aliyun.com/saltstack/yum/redhat/7/$basearch/3000
failovermethod=priority
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/saltstack-signing-key, file:///etc/pki/rpm-gpg/centos7-signing-key
配置master端
本次实验在server1上:
[root@server1 yum.repos.d]# yum install -y salt-master.noarch
配置minion
server2和server3:
把软件仓库发给server2和server3:
[root@server1 yum.repos.d]# scp salt-3000.repo server2:/etc/yum.repos.d/
[root@server1 yum.repos.d]# scp salt-3000.repo server3:/etc/yum.repos.d/
因为gpgkey不在本地,所以取消仓库默认的检测:
更改server2和server3的配置文件,修改的内容一致,修改master的地址:
[root@server2 ~]# vim /etc/salt/minion
[root@server3 ~]# vim /etc/salt/minion
开启服务,开机自启:
[root@server1 ~]# systemctl enable --now salt-master.service
[root@server2 salt]# systemctl enable --now salt-minion.service
[root@server3 salt]# systemctl enable --now salt-minion.service
master端执行命令允许minion连接:
master端测试与minion端的连接:
三、 saltstack远程执行:
Salt命令由三个主要部分构成:
salt ‘[target]’ [function] [arguments]
- target: 指定哪些minion, 默认的规则是使用glob匹配minion id.
Targets也可以使用正则表达式;
Targets也可以指定列表: - funcation是module提供的功能,Salt内置了大量有效的functions.
- arguments通过空格来界定参数:
通过命令行的远程执行
可以参考官网命令行使用
实验过程:
[root@server1 salt]# salt server2 pkg.install httpd #远程安装httpd
[root@server1 salt]# salt server2 cmd.run 'rpm -q httpd' #远程查看是否安装
[root@server1 salt]# salt server2 service.start httpd #远程开启服务
[root@server1 salt]# cd
[root@server1 ~]# echo server2 > index.html #远程编辑发布目录内容
[root@server1 ~]# salt-cp server2 index.html /var/www/html/ #远程发送
[root@server1 ~]# curl server2 #测试
通过命令远程部署了server2的apache服务:
编写playbook远程管理
可以参考salt内置的执行模块列表
运行脚本:
[root@server1 apache]# salt server3 state.sls apache.install
再次编辑脚本:
[root@server1 apache]# salt server3 state.sls apache.install
安装部分:
发布目录写入,和服务开启:
测试:
在受控主机查看刚才的执行缓存信息
[root@server3 ~]# cd /var/cache/salt/
[root@server3 salt]# yum install -y tree
[root@server3 salt]# tree .
执行结果:
EXAMPLE
[root@server1 apache]# cd files/
[root@server1 files]# scp server2:/etc/httpd/conf/httpd.conf .
[root@server1 files]# vim httpd.conf
##Listen 12.34.56.78:80
Listen 6666 # 更改配置文件的端口号
[root@server1 files]# salt server3 state.sls apache.install
注:只有server1中files下的配置文件发生变化,受控机配置文件才会发生改变。
Salt 状态系统的核心是SLS,或者叫SaLt State 文件。
SLS表示系统将会是什么样的一种状态,而且是以一种很简单的格式来包含这些数据,常被叫做配置管理。
sls文件命名:
- sls文件以”.sls”后缀结尾,但在调用是不用写此后缀。
- 使用子目录来做组织是个很好的选择。
- init.sls 在一个子目录里面表示引导文件,也就表示子目录本身, 所以apache/init.sls就是表示apache
- 如果同时存在apache.sls 和 apache/init.sls,则 apache/init.sls 被忽略,apache.sls将被用来表示 apache.
编写远程执行模块
执行模块除了使用自带的,还可以自己编写:
[root@server1 salt]# ls
apache
[root@server1 salt]# pwd
/srv/salt
[root@server1 salt]# mkdir _modules #建立模块目录
[root@server1 salt]# cd _modules/
[root@server1 _modules]# vim mydisk.py
[root@server1 _modules]# cat mydisk.py #编写函数df
def df():
return __salt__['cmd.run']('df -h')
[root@server1 _modules]# salt server2 saltutil.sync_modules #同步模块到server2
执行模块下的df函数:
四、grains:
grains简介
Grains是SaltStack的一个组件,存放在SaltStack的minion端。
当salt-minion启动时会把收集到的数据静态存放在Grains当中,只有当minion重启时才会进行数据的更新。
由于grains是静态数据,因此不推荐经常去修改它。
应用场景:
- 信息查询,可用作CMDB。
- 在target中使用,匹配minion。
- 在state系统中使用,配置管理模块。
默认可用的grains的使用
[root@server1 ~]# salt '*' grains.ls #查看所有的信息项
[root@server1 ~]# salt '*' grains.items #查看每一项的内容
[root@server1 ~]# salt '*' grains.item ipv4 #查看单项的值
自定义grains项 1
minion端定义grains:
[root@server2 salt]# cd /etc/salt
[root@server2 salt]# vim minion
更改配置文件,如下图所示
[root@server2 salt]# systemctl restart salt-minion #重启,否则数据不会更新
定义成功:
自定义grains项 2
[root@server3 salt]# cd /etc/salt/
[root@server3 salt]# pwd
/etc/salt
[root@server3 salt]# vim grains
[root@server3 salt]# cat grains
roles:
- nginx
[root@server1 ~]# salt server3 saltutil.sync_grains
server3:
[root@server1 ~]# salt '*' grains.item roles
定义成功:
自定义grains项 3
salt-master端定义:
[root@server1 ~]# cd /srv/salt/
[root@server1 salt]# mkdir _grains
[root@server1 salt]# cd _
_grains/ _modules/
[root@server1 salt]# cd _grains/
[root@server1 _grains]# vim my_grain.py
[root@server1 _grains]# cat my_grain.py
def my_grain():
grains = {}
grains['salt'] = 'stack'
grains['hello'] = 'world'
return grains
[root@server1 _grains]# salt '*' saltutil.sync_grains # 同步数据
[root@server1 _grains]# salt '*' grains.item salt
[root@server1 _grains]# salt '*' grains.item hello
定义成功:
grains的匹配运用
上文中我们定义了 grains[‘salt’] = 'stack’是面对server2和server3的
在target中匹配minion:
[root@server1 _grains]# salt -G salt:stack cmd.run hostname
在top文件中匹配:
top脚本通过手动设置的grains匹配了两个server机,意在分别部署apache和nginx。
[root@server1 salt]# pwd
/srv/salt
[root@server1 salt]# vim top.sls
[root@server1 salt]# cat top.sls
base:
'roles:webserver': #server2
- match: grain
- apache
'roles:nginx': # server3
- match: grain
- nginx
[root@server1 files]# salt '*' state.highstate
匹配成功:
server3:
[root@server1 salt]# ls
apache _grains _modules nginx top.sls
[root@server1 salt]# cd nginx/
[root@server1 nginx]# ls
files init.sls
[root@server1 nginx]# cat init.sls
nginx:
file.managed:
- source: salt://nginx/files/nginx-1.18.0.tar.gz
- name: /mnt/nginx-1.18.0.tar.gz
[root@server1 nginx]# cd files/
[root@server1 files]# ls
nginx-1.18.0.tar.gz
注:为了直观观察同时部署的效果,此处nginx部署仅仅发送了压缩包,下文有详细的nginx部署过程。
apache的脚本和前文远程执行时的脚本一致:
nginx的部署配置
手动解压获得原始配置文件,可在scp后删除:
[root@server3 mnt]# tar zxf nginx-1.18.0.tar.gz
[root@server3 mnt]# cd nginx-1.18.0/
[root@server3 nginx-1.18.0]# ls
auto CHANGES CHANGES.ru conf configure contrib html LICENSE man README src
[root@server3 nginx-1.18.0]# cd con
-bash: cd: con: No such file or directory
[root@server3 nginx-1.18.0]# cd conf/
[root@server3 conf]# ls
fastcgi.conf koi-utf mime.types scgi_params win-utf
fastcgi_params koi-win nginx.conf uwsgi_params
[root@server3 conf]# pwd
/mnt/nginx-1.18.0/conf
获取配置文件、启动脚本:
[root@server1 nginx]# cd files/
[root@server1 files]# ls
nginx-1.18.0.tar.gz
[root@server1 files]# scp server3:/mnt/nginx-1.18.0/conf/nginx.conf .
root@server3's password:
nginx.conf 100% 2656 1.9MB/s 00:00
[root@server1 files]# ls
nginx-1.18.0.tar.gz nginx.conf
[root@server1 files]# lftp 172.25.254.250
lftp 172.25.254.250:~> cd pub/docs
cd ok, cwd=/pub/docs
lftp 172.25.254.250:/pub/docs> cd lamp/
lftp 172.25.254.250:/pub/docs/lamp> get nginx.service
414 bytes transferred
lftp 172.25.254.250:/pub/docs/lamp> quit
[root@server1 files]# ls
nginx-1.18.0.tar.gz nginx.conf nginx.service
编辑安装脚本:
[root@server1 nginx]# vim install.sls
nginx-install:
pkg.installed:
- pkgs:
- gcc
- pcre-devel
- openssl-devel
file.managed:
- source: salt://nginx/files/nginx-1.18.0.tar.gz
- name: /mnt/nginx-1.18.0.tar.gz
cmd.run:
- name: cd /mnt && tar zxf nginx-1.18.0.tar.gz && cd nginx-1.18.0 && ./configure --prefix=/usr/local/nginx --with-http_ssl_module &> /dev/null && make &> /dev/null && make install &> /dev/null
- creates: /usr/local/nginx
编辑配置和启动脚本:
[root@server1 nginx]# vim init.sls
include:
- nginx.install
/usr/local/nginx/conf/nginx.conf:
file.managed:
- source: salt://nginx/files/nginx.conf
nginx-service:
user.present:
- name: nginx
- shell: /sbin/nologin
- home: /usr/local/nginx
- createhome: false
file.managed:
- source: salt://nginx/files/nginx.service
- name: /usr/lib/systemd/system/nginx.service
service.running:
- name: nginx
- enable: true
- reload: true
- watch:
- file: /usr/local/nginx/conf/nginx.conf
运行脚本:
[root@server1 files]# salt '*' state.highstate
server2 apache部署前文已成功:
server3 nginx部署成功:
五、jinja模板:
模板1
向主机名为server2的主机的/mnt/testfile里写server2
向主机名为server3的主机的/mnt/testfile里写server3
[root@server1 ~]# cd /srv/salt
[root@server1 salt]# vim test.sls
/mnt/testfile:
file.append:
{% if grains['fqdn'] == 'server2' %}
- text: server2
{% elif grains['fqdn'] == 'server3' %}
- text: server3
{% endif %}
[root@server1 salt]# salt '*' state.sls test
代码结果测试:
[root@server2 salt]# cd /mnt
[root@server2 mnt]# ls
testfile
[root@server2 mnt]# cat testfile
server2
[root@server3 conf]# cd /mnt
[root@server3 mnt]# cat
nginx-1.18.0/ nginx-1.18.0.tar.gz testfile
[root@server3 mnt]# cat testfile
server3
更改httpd端口号
[root@server1 files]# vim httpd.conf
[root@server1 files]# cat httpd.conf | grep Listen
# Listen: Allows you to bind Apache to specific IP addresses and/or
# Change this to Listen on specific IP addresses as shown below to
#Listen 12.34.56.78:80
Listen {{ bind }}:{{ port }} #
[root@server1 salt]# cd apache/
[root@server1 apache]# ls
files init.sls
[root@server1 apache]# vim init.sls
file.managed:
- source: salt://apache/files/httpd.conf
- name: /etc/httpd/conf/httpd.conf
- template: jinja
- context:
port: 80
bind: {{ grains['ipv4'][-1] }}
[root@server1 salt]# salt '*' state.sls apache
更改httpd的发布文件内容
[root@server1 ~]# cd /srv/salt/
[root@server1 salt]# ls
apache _grains _modules nginx test.sls top.sls
[root@server1 salt]# cd apache/
[root@server1 apache]# ls
files init.sls
[root@server1 apache]# vim init.sls
更改脚本的发布文件段:
file.managed:
- source: salt://apache/files/index.html
- name: /var/www/html/index.html
- template: jinja
- context:
NAME: {{ grains['fqdn'] }}
更改files下的index.html内容:
[root@server1 apache]# cd files/
[root@server1 files]# ls
httpd.conf index.html
[root@server1 files]# vim index.html
[root@server1 files]# cat index.html
{{ grains['os'] }} - {{ grains['fqdn'] }}
{{ NAME }}
[root@server1 salt]# salt server2 state.sls apache
发布文件内容:
六、pillar:
- pillar和grains一样也是一个数据系统,但是应用场景不同。
- pillar是将信息动态的存放在master端,主要存放私密、敏感信息(如用户名密码等),而且可以指定某一个minion才可以看到对应的信息。
- pillar更加适合在配置管理中运用
实验:
[root@server1 srv]# mkdir pillar #此为默认路径,但需要自己建立
[root@server1 srv]# cd pillar
[root@server1 pillar]# pwd
/srv/pillar
[root@server1 pillar]# vim package.sls
{% if grains['fqdn'] == 'server3' %}
package: httpd
{% elif grains['fqdn'] == 'server2' %}
package: mairadb
{% endif %}
[root@server1 pillar]# vim top.sls
base:
'*':
- package
[root@server1 pillar]# salt '*' pillar.item package
[root@server1 pillar]# salt -I 'package:httpd' test.ping
[root@server1 pillar]# salt '*' saltutil.refresh_pillar
[root@server1 pillar]# salt -I 'package:httpd' test.ping
pillar不需要刷新就可以直接执行sls文件,即写即生效:
但是在命令行匹配需要刷新:
更改httpd端口号 1
[root@server1 pillar]# vim package.sls
{% if grains['fqdn'] == 'server3' %}
port: 8080
bind: 172.25.4.3
{% elif grains['fqdn'] == 'server2' %}
package: mairadb
{% endif %}
[root@server1 pillar]# cd ..
[root@server1 srv]# cd salt/apache/
[root@server1 apache]# ls
files init.sls
[root@server1 apache]# vim init.sls
/etc/httpd/conf/httpd.conf:
file.managed:
- source: salt://apache/files/httpd.conf
- name: /etc/httpd/conf/httpd.conf
- template: jinja
- context:
port: {{ pillar['port'] }}
bind: {{ pillar['bind'] }}
[root@server1 salt]# salt server3 state.sls apache
更改端口成功:
更改httpd端口号 2
[root@server1 salt]# cd apache/
[root@server1 apache]# vim lib.sls
[root@server1 apache]# cat lib.sls
{% set port = 80 %}
[root@server1 apache]# cd files/
[root@server1 files]# vim httpd.conf #在首行添加下文的语句
[root@server1 files]# cat httpd.conf | head -n 1
{% from 'apache/lib.sls' import port %}
[root@server1 salt]# salt server3 state.sls apache
端口更改成功:
七、自动化部署高可用keepalived:
配置pillar ,定义变量下的值
[root@server1 ~]# cd /srv/
[root@server1 srv]# ls
pillar salt
[root@server1 srv]# cd pillar/
[root@server1 pillar]# vim package.sls
[root@server1 pillar]# cat package.sls
{% if grains['fqdn'] == 'server3' %}
package: nginx
state: BACKUP
vrid: 55
pri: 50
{% elif grains['fqdn'] == 'server2' %}
port: 80
bind: 172.25.4.2
state: MASTER
vrid: 55
pri: 100
{% endif %}
salt下编写安装配置启动脚本
[root@server1 pillar]# cd ..
[root@server1 srv]# cd salt/
[root@server1 salt]# mkdir keepalived
[root@server1 salt]# cd keepalived/
[root@server1 keepalived]# mkdir files
[root@server1 keepalived]# vim init.sls
[root@server1 keepalived]# cat init.sls
kp-install:
pkg.installed:
- name: keepalived
file.managed:
- name: /etc/keepalived/keepalived.conf
- source: salt://keepalived/files/keepalived.conf
- template: jinja
- context:
STATE: {{ pillar['state'] }}
VRID: {{ pillar['vrid'] }}
PRI: {{ pillar['pri'] }}
service.running:
- name: keepalived
- enable: true
- reload: true
- watch:
- file: kp-install
编写配置文件
[root@server1 keepalived]# cd files/
[root@server1 files]# vim keepalived.conf
[root@server1 files]# cat keepalived.conf
! Configuration File for keepalived
global_defs {
notification_email {
root@localhost
}
notification_email_from keepalived@localhost
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id LVS_DEVEL
vrrp_skip_check_adv_addr
#vrrp_strict
vrrp_garp_interval 0
vrrp_gna_interval 0
}
vrrp_instance VI_1 {
state {{ STATE }}
interface eth0
virtual_router_id {{ VRID }}
priority {{ PRI }}
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
172.25.4.100
}
}
更新salt下的top.sls文件
[root@server1 salt]# ls
apache _grains keepalived _modules nginx test.sls top.sls
[root@server1 salt]# vim top.sls
[root@server1 salt]# cat top.sls
base:
'roles:webserver':
- match: grain
- apache
- keepalived
'roles:nginx':
- match: grain
- nginx
- keepalived
运行:
[root@server1 salt]# salt '*' state.highstate
结果测试(注意关闭server3的httpd,因为会占用nginx的端口):
直接访问到master端:
关闭master的keepalived:
vip转移到server3:
访问时访问到server3的nginx页面:
八、自动化部署zabbix监控
实验将server2作为zabbix server,mysql部署在server3上。
实验所需的文件和编写的脚本:
[root@server1 salt]# tree mysql/
mysql/
├── files
│ ├── create.sql
│ └── my.cnf
└── init.sls
1 directory, 3 files
[root@server1 salt]# tree zabbix-server/
zabbix-server/
├── files
│ ├── zabbix.conf
│ ├── zabbix.conf.php
│ └── zabbix_server.conf
└── init.sls
1 directory, 4 files
文件的编辑
zabbix.conf:
zabbix_server.conf:
my.cnf:
注:create.sql文件的位置,其他文件的内容脚本里都有体现:
[root@server2 doc]# cd /usr/share/doc/zabbix-server-mysql-4.0.5/
[root@server2 zabbix-server-mysql-4.0.5]# ls
AUTHORS ChangeLog COPYING create.sql.gz NEWS README
zabbix-server脚本内容:
[root@server1 ~]# cd /srv/salt/zabbix-server/
[root@server1 zabbix-server]# cat init.sls
zabbix-server:
pkgrepo.managed: #本次实验使用局域网内的仓库,用户可以自行下载rpm包及依赖性
- name: zabbix
- humanname: zabbix 4.0
- baseurl: http://172.25.254.250/pub/docs/zabbix/4.0
- gpgcheck: 0
pkg.installed:
- pkgs:
- zabbix-server-mysql
- zabbix-agent
- zabbix-web-mysql
file.managed:
- name: /etc/zabbix/zabbix_server.conf #zabbix-server配置文件,更改数据库地址和密码
- source: salt://zabbix-server/files/zabbix_server.conf
service.running:
- name: zabbix-server
- enable: true
- watch:
- file: zabbix-server
zabbix-agent:
service.running
zabbix-web:
file.managed:
- name: /etc/httpd/conf.d/zabbix.conf #前端页面的配置文件,需要更改时区
- source: salt://zabbix-server/files/zabbix.conf
service.running:
- name: httpd
- enable: true
- watch:
- file: zabbix-web
/etc/zabbix/web/zabbix.conf.php: # 此文件zabbix初始化完成后才会生成
file.managed:
- source: salt://zabbix-server/files/zabbix.conf.php
mysql脚本内容
[root@server1 salt]# cd mysql/
[root@server1 mysql]# cat init.sls
mysql-install:
pkg.installed:
- pkgs:
- mariadb-server #数据库
- MySQL-python #自动化mysql模块的依赖性
file.managed: #移动mysql的配置文件,
- name: /etc/my.cnf
- source: salt://mysql/files/my.cnf
service.running:
- name: mariadb
- enable: true
- watch:
- file: mysql-install
mysql-config:
mysql_database.present: #建立zabbix库
- name: zabbix
mysql_user.present: #建立zabbix用户
- name: zabbix
- host: '%'
- password: "westos"
mysql_grants.present: #权限
- grant: all privileges
- database: zabbix.*
- user: zabbix
- host: '%'
file.managed: # 数据库sql语句文件,需要解压
- name: /mnt/create.sql
- source: salt://mysql/files/create.sql
cmd.run:
- name: mysql zabbix < /mnt/create.sql && touch /mnt/zabbix.lock
- creates: /mnt/zabbix.lock
部署成功:
九、job管理:
job简介
- master在下发指令任务时,会附带上产生的jid。
- minion在接收到指令开始执行时,会在本地的/var/cache/salt/minion/proc目录下产生该jid命名的文件,用于在执行过程中master查看当前任务的执行情况。
- 指令执行完毕将结果传送给master后,删除该临时文件。
Job cache
- Job缓存默认保存24小时:
vim /etc/salt/master
keep_jobs: 24 - master端Job缓存目录:
/var/cache/salt/master/jobs
把Job存储到数据库1
在master端配置数据库:
[root@server1 ~]# vim /etc/salt/master
master_job_cache: mysql
mysql.host: 'localhost'
mysql.user: 'salt'
mysql.pass: 'westos'
mysql.db: 'salt'
mysql.port: 3306
[root@server1 ~]# systemctl restart salt-master.service
[root@server1 ~]# yum install -y mariadb-server MySQL-python
[root@server1 ~]# mysql_secure_installation
[root@server1 ~]# vim salt.sql
[root@server1 ~]# mysql < salt.sql
salt.sql的内容:
[root@server1 ~]# cat salt.sql
CREATE DATABASE `salt`
DEFAULT CHARACTER SET utf8
DEFAULT COLLATE utf8_general_ci;
USE `salt`;
--
-- Table structure for table `jids`
--
DROP TABLE IF EXISTS `jids`;
CREATE TABLE `jids` (
`jid` varchar(255) NOT NULL,
`load` mediumtext NOT NULL,
UNIQUE KEY `jid` (`jid`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
--
-- Table structure for table `salt_returns`
--
DROP TABLE IF EXISTS `salt_returns`;
CREATE TABLE `salt_returns` (
`fun` varchar(50) NOT NULL,
`jid` varchar(255) NOT NULL,
`return` mediumtext NOT NULL,
`id` varchar(255) NOT NULL,
`success` varchar(10) NOT NULL,
`full_ret` mediumtext NOT NULL,
`alter_time` TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
KEY `id` (`id`),
KEY `jid` (`jid`),
KEY `fun` (`fun`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
--
-- Table structure for table `salt_events`
--
DROP TABLE IF EXISTS `salt_events`;
CREATE TABLE `salt_events` (
`id` BIGINT NOT NULL AUTO_INCREMENT,
`tag` varchar(255) NOT NULL,
`data` mediumtext NOT NULL,
`alter_time` TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
`master_id` varchar(255) NOT NULL,
PRIMARY KEY (`id`),
KEY `tag` (`tag`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
给mysql本地用户授权:
[root@server1 ~]# mysql
Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MariaDB connection id is 15
Server version: 5.5.60-MariaDB MariaDB Server
Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
MariaDB [(none)]> grant all on salt.* to salt@'localhost' identified by 'westos';
检测:
[root@server1 ~]# salt '*' test.ping
[root@server1 ~]# mysql
MariaDB [(none)]> use salt;
MariaDB [salt]> show tables;
MariaDB [salt]> select * from salt_returns;
缓存成功:
把Job存储到数据库2
在minion端配置:
[root@server3 salt]# vim minion
#加上下面的内容
mysql.host: '172.25.4.1'
mysql.user: 'salt'
mysql.pass: 'westos'
mysql.db: 'salt'
mysql.port: 3306
[root@server3 salt]# systemctl restart salt-minion.service
[root@server3 salt]# yum install -y MySQL-python.x86_64
然后同样在master端配置mysql数据库,写入salt.sql,唯一不同的是添加授权时不仅要给本地用户添加,也要给远程用户添加授权。
MariaDB [(none)]> grant all on salt.* to salt@'%' identified by 'westos';
MariaDB [(none)]> grant all on salt.* to salt@'localhost' identified by 'westos';
测试:
测试命令后加上–return mysql,也可以进入minion配置文件,解除注释:
[root@server1 ~]# salt 'server3' test.ping --return mysql
[root@server1 ~]# mysql
MariaDB [(none)]> use salt;
MariaDB [salt]> show tables;
MariaDB [salt]> select * from salt_returns;
因为这里我配置了两种缓存方法,所以缓存信息既有server1本地写入的,也有server3远程写入的,总体而言推荐第一种方法:
十、salt-ssh与salt-syndic
salt-ssh
- salt-ssh可以独立运行的,不需要minion端。
- salt-ssh 用的是sshpass进行密码交互的。
- 以串行模式工作,性能下降。
[root@server1 ~]# yum install -y salt-ssh.noarch
[root@server1 ~]# cd /etc/salt/
[root@server1 salt]# ls
cloud cloud.deploy.d cloud.profiles.d master minion pki proxy.d
cloud.conf.d cloud.maps.d cloud.providers.d master.d minion.d proxy roster
[root@server1 salt]# vim roster # 需手动定义连接主机、用户、密码
[root@server1 salt]# cat roster | tail -n 4
server2:
host: 172.25.4.2
user: root
passwd: westos
[root@server2 ~]# systemctl stop salt-minion.service #关闭server2的minion
[root@server1 salt]# salt-ssh '*' test.ping
[root@server1 salt]# salt-ssh '*' cmd.run df
salt-syndic
- 如果大家知道zabbix proxy的话那就很容易理解了,syndic其实就是个代理,隔离master与minion。
- Syndic必须要运行在master上,再连接到另一个topmaster上。
- Topmaster 下发的状态需要通过syndic来传递给下级master,minion传递给master的数据也是由syndic传递给topmaster。
- topmaster并不知道有多少个minion。
- syndic与topmaster的file_roots和pillar_roots的目录要保持一致。
实验配置server4为topmaster
将server2的软件仓库复制到server4:
[root@server2 ~]# cd /etc/yum.repos.d/
[root@server2 yum.repos.d]# ls
dvd.repo redhat.repo salt-3000.repo zabbix.repo
[root@server2 yum.repos.d]# scp salt-3000.repo server4:/etc/yum.repos.d/
The authenticity of host 'server4 (172.25.4.4)' can't be established.
ECDSA key fingerprint is SHA256:Gwcs1IHafCebcztHH/29xYy+bV8ClJU/PGGKYPVKStg.
ECDSA key fingerprint is MD5:60:95:11:61:cb:1a:5d:1f:7b:e0:54:2b:dc:14:fd:64.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'server4,172.25.4.4' (ECDSA) to the list of known hosts.
root@server4's password:
salt-3000.repo 100% 302 358.1KB/s 00:00
server4(topmaster):
[root@server4 ~]# yum install -y salt-master
[root@server4 ~]# vim /etc/salt/master #编辑位置如下图
[root@server4 ~]# systemctl enable --now salt-master.service
server1(master):
注:salt-syndic是一个服务,但没有独立的配置文件,更改master的配置文件即可:
[root@server1 salt]# yum install -y salt-syndic.noarch
[root@server1 salt]# vim /etc/salt/master #编辑内容如下图所示
[root@server1 salt]# systemctl restart salt-master.service
[root@server1 salt]# systemctl enable --now salt-syndic.service
授权:
[root@server4 ~]# salt-key -L
[root@server4 ~]# salt-key -A #给server1授权
[root@server4 ~]# salt '*' test.ping #通过server1发送请求和接收结果,即使server4直接连接的是server1,
但实际操作的对象是minion端的server2和3。
十一、salt-api:
SaltStack 官方提供有REST API格式的 salt-api 项目,将使Salt与第三方系统集成变得尤为简单。
官方提供了三种api模块:
- rest_cherrypy
- rest_tornado
- rest_wsgi
官方链接:点击查看
安装api,生成认证文件:
[root@server1 ~]# yum install -y salt-api.noarch
[root@server1 ~]# cd /etc/pki/tls/
[root@server1 tls]# ls
cert.pem certs misc openssl.cnf private
[root@server1 tls]# cd private/
[root@server1 private]# openssl genrsa 1024
[root@server1 private]# openssl genrsa 1024 > localhost.key
[root@server1 private]# cd ..
[root@server1 tls]# ls
cert.pem certs misc openssl.cnf private
[root@server1 tls]# cd certs/
[root@server1 certs]# make testcert
激活rest_cherrypy模块,创建用户认证文件:
[root@server1 certs]# cd /etc/salt/master.d/
[root@server1 master.d]# ls
[root@server1 master.d]# vim api.conf #激活rest_cherrypy模块
[root@server1 master.d]# cat api.conf
rest_cherrypy:
port: 8000
ssl_crt: /etc/pki/tls/certs/localhost.crt
ssl_key: /etc/pki/tls/private/localhost.key
[root@server1 master.d]# vim auth.conf # 创建用户认证文件
[root@server1 master.d]# cat auth.conf
external_auth:
pam:
saltapi:
- .*
- '@wheel'
- '@runner'
- '@jobs'
创建用户,重启服务,获取认证token,推送任务:
[root@server1 master.d]# useradd saltapi
[root@server1 master.d]# passwd saltapi
Changing password for user saltapi.
New password:
BAD PASSWORD: The password is shorter than 8 characters
Retype new password:
passwd: all authentication tokens updated successfully.
[root@server1 master.d]# systemctl restart salt-master.service
[root@server1 master.d]# systemctl enable --now salt-api.service
Created symlink from /etc/systemd/system/multi-user.target.wants/salt-api.service to /usr/lib/systemd/system/salt-api.service.
[root@server1 master.d]# curl -sSk https://localhost:8000/login -H 'Accept: application/x-yaml' -d username=saltapi -d password=westos -d eauth=pam #获取认证token
[root@server1 master.d]# curl -sSk https://localhost:8000 -H 'Accept: application/x-yaml' -H 'X-Auth-Token: 81af156c05e13c0f0545c755c719c43ee0a80d07' -d client=local #推送任务