写在前面的话
最近一直都在整理以前的乱七八糟的笔记,所以会有很多老旧的东西都会被拉出来重新遛遛。算是再度系统的进行学习。
关于 Saltstack 的一些概念
Saltstack 是基于 Python 开发的,和其类似的东西还有 Puppet(基于 rubby,更早),Ansible(基于 Python)。
Saltstack 主要包含 3 大功能:远程执行 / 配置管理(状态管理) / 云管理。
Saltstack 的四种运行方式:Local,C/S(Master / Minion),Syndic,SSH。
一般我们用的最多的就是 C/S 的方式。
我们会在很多资料上面看到这样一个说法:Saltstack 就是简化版的 Puppet + 强化版的 Func。
至于为啥叫 Saltstack,据说 Salt 来源于作者所在的城市是美国的盐湖城,而 Stack 来源则是因为所有 Stack 的都火了,如 OpenStack。
最后,Saltstack 消息发布系统监听端口为 4505,客户端与服务端通信端口为 4506。
安装 Saltstack
我们这里实现准备了 3 台 CentOS 7 的虚拟机,信息如下:
| IP地址 | 主机名 | 说明 |
|---|---|---|
| 192.168.100.111 | demo-node1 | Master 节点,CentOS Linux release 7.5 |
| 192.168.100.112 | demo-node2 | Minion 节点,CentOS Linux release 7.5 |
| 192.168.100.113 | demo-node3 | Minion 节点,CentOS Linux release 7.5 |
Saltstack 本身在 epel 源中就存在,但我们这里还是使用官方给我们提供的源安装:
我们可以从官方的源找到对应的系统,我这里采用的都是 CentOS7。
1. 在三个节点都安装源:
yum -y install https://repo.saltstack.com/yum/redhat/salt-repo-latest.el7.noarch.rpm
完成以后在 /etc/yum.repos.d/ 目录会生成一个 salt-latest.repo 的源文件。我们这里建议 Saltstack 采用 yum 安装的方式而非源码安装,后者容易出现各种问题。
2. 在主节点安装 Salt master 和 minion:
yum -y install salt-master salt-minion
3. 在其他节点上只需要按照 Salt minion:
yum -y install salt-minion
从按照过程我们可以看到会安装很多 Python 依赖包,这就是不推荐源码安装的主要原因:
至此,Saltstack 安装完成!
配置 Saltstack
安装完成后不代表我们就能使用了,还需要对服务进行配置,具体方法如下:
1. 主节点启动 Master:
systemctl start salt-master
2. 所有节点配置 Minion:配置文件为 /etc/salt/minion
# 第 16 行,一般写 Master 的域名最好,没用域名写 IP master: 192.168.100.111 # 第 112 行,配置每台主机的 id,要求唯一且具有意义,用于区分主机 id: saltstack-node-01
3. 所有节点启动 Minion:
systemctl start salt-minion
4. 此时查看目录变化(这里我们做个拓展,帮助我们更好的了解 saltsatck):
tree /etc/salt/
如果没有 tree 命令 yum 安装一个即可,查看当前的目录结构变化:
Master 节点:
Minion 节点:
可以看到,在 Master 和 Minion 节点的 pki/minion 目录下都生成了公钥私钥文件。同时,Minion 都会把自己的公钥文件发给 Master 节点。并更名为我们设置的 id 名字。我们可以通过 MD5 查看两个文件是否为同一个。
在 Master 节点查看 node3 的公钥:
在 node3 查看 pub 文件:
可以看到两个 MD5 值是相同的,所以这其实是同一个文件。
注意:在其他资料上可能见到生成 minion_id 文件,原因是没配置 minion 配置中的 id ,如果有配置是不会生成的。
5. 在 Master 上面查看 Key:
启动了 Minion 并不就能代表着能够连入 Master,这还牵扯到授权,我们可以查看目前授权的主机状态:
salt-key
如下图:
6. 允许授权:
salt-key -a saltstack-node-01
如下图:
这里可以使用通配符,如:
salt-key -a saltstack-node-*
那么剩下的都会被添加授信:
此时再度查看 Master 节点的目录结构:
可以发现,被授权的 Key 都从 minions_pre 下移动到了 minions 目录,同时在 minion 目录下新增了 minion_master.pub 文件,这样就实现了互相通信。
同时这也意味着我们之前配置 id 的重要性,因为你修改 id,意味着这个公钥就失效了。
同时在 id 设计的时候,我们应该让他具有意义,比如我们现在有两个项目,一个叫 erp,一个叫 mall,那么针对 erp 的主机群的 id 设计就应该是 erp-xxxx,mall 的 id 就应该是是 mall-xxxx,这样我们就能使用通配符对主机群组进行批量管理。
当然还有一下常见的参数,通过 salt-key -h 查看,如:
| salt-key 参数 | 说明 |
|---|---|
| -L | 显示所有 |
| -A | 接受所有授权 |
| -d | 删除某个 Key |
| -D | 删除所有 |
7. 测试节点通信:
salt '*' test.ping
使用单引号的目的是转义,我们向所有授权的发起状态检测,结果如图:
8. 远程执行命令:
salt 'saltstack-node-03' cmd.run 'ip a'
执行效果如图:
其它示例:
1. 通配符使用的时候,如选择 node1,node2,可以写成 node[12]
2. 选择多台的时候可以使用逗号隔开,但是需要 -L 参数,如:salt -L 'node1,node2' test.ping
3. 相同前缀也可以使用竖线分割,但是必须要 -E 参数,如:salt -E 'node(1|2)' test.ping
小结
至此,我们算是简单得了解了安装 Saltstack 之后一些简单的配置,接下来我们将慢慢的正式开始谈及 Saltstack 的一些更高级的用法。