概要
saltstack是基于Python开发的C/S架构的一款批量管理工具,底层采用动态的连接总线(ZeroMQ消息队列pub/sub方式通信),使用ssl证书签发的方式进行认证管理,使其可以用于编配, 远程执行, 配置管理等等。
部署轻松,在几分钟内可运行起来,扩展性好,很容易管理上万台服务器,速度够快,服务器之间秒级通讯。号称世界上最快的消息队列ZeroMQ使得saltstack非常快速的管理大量服务器,采用RSA Key方式确认身份,传输采用AES加密,安全性也非常有保障。
服务架构
saltstack是基于C/S服务模式,在该架构中,服务器端Master,客户端Minion。在saltstack架构中,不仅有传统的C/S服务模式,而且有消息队列中的发布与订阅(pub/sub)服务模式。目前我们一般用其C/S架构做批量管理。
minion与master通信模式如下图:
Master与Minion的连接
在master和minion端都是以守护进程的模式运行。SaltStack master启动后默认监听4505和4506两个端口。4505(publish_port)为saltstack的消息发布系统,4506(ret_port)为saltstack客户端与服务端通信的端口。如果使用lsof 查看4505端口,会发现所有的minion在4505端口持续保持在ESTABLISHED状态。整个通信过程可以用debug查看。
master:
salt-master –l debug
ss –a | grep '4505|4506'
minion:
salt-minion –l debug
安装
首先安装epel源,
RHEL/CentOS 6:
rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm
RHEL/CentOS 7:
rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
Master端安装:
yum -y install salt-master
Minon端安装:
yum -y install salt-minion
saltstack配置文件
下面给出master和minion所以配置文件的分类解释以及在我们实验环境下所需要设置的配置参数。
master配置文件
在大规模使用saltstack的时候会经常遇到的问题参数
max_open_files:可根据master和minion数量进行适当调整
timeout:根据master和minion网络状况适当调整
auto_accpet和autosign_file:大规模部署的时候可以设置自动签证
master_tops和所有以external开头的参数:saltstack与外部系统进行整合的相关配置参数
主要配置
安全配置
salt-ssh配置
state系统配置
文件服务配置
pillar系统配置
syndic架构配置
日志配置
minion配置文件
主要配置
模块管理配置
state系统配置
文件目录配置
安全配置
日志配置
长连接配置
在我们实验环境下我们使用如下的配置:
master:
minion:
saltstack的证书管理
要理解证书管理首先要了解master与minion认证的原理:
Master与Minion认证
-
minion在第一次启动时,会在/etc/salt/pki/minion/(该路径在/etc/salt/minion里面设置)下自动生成minion.pem(private key)和 minion.pub(public key),然后将 minion.pub发送给master。
-
master在接收到minion的public key后,通过salt-key命令accept minion public key,这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key,然后master就能对minion发送指令了。
那么一些证书管理的指令可通过salt-key -h查看,下面为常见命令:
小写字母针对的单一对象,大写都是针对全体。
salt-key -L #查询所有接收到的证书
salt-key -a <证书名> #接收单个证书
salt-key -A #接受所有证书
salt-key -d <证书名> #删除单个证书
salt-key -D #删除所有证书
salt-key -P #打印所有的public key
salt-key -p PRINT #打印指定的public key
salt-key -r REJECT #拒绝指等待认证的key
salt-key -R #拒绝所有等待认证的key
salt-key -f FINGER #显示指定key的指纹信息
salt-key -F #显示所有key的指纹信息
日常命令参数:
master:
/usr/bin/salt #salt核心操作命令
/usr/bin/salt-cp #salt文件传输命令
/usr/bin/salt-key #salt证书管理命令
/usr/bin/salt-master #salt master服务命令
/usr/bin/salt-run #salt master runner命令
/usr/bin/salt-unity #salt统一的调用包装器,围绕其他的Salt CLI脚本
1.salt-cp 分发文件到minion上,不支持目录分发,通常在master运行
salt-cp [options] '<target>' SOURCE DEST
salt-cp '*' testfile.html /tmp
salt-cp 'test*' index.html /tmp/a.html
2.alt-master master运行命令
salt-master [options]
salt-master #前台运行master
salt-master -d #后台运行master
salt-master -l debug #前台debug输出
3.salt-run 该命令执行runner(salt带的或者自定义的,runner以后会讲),通常在master端执行,比如经常用到的manage
salt-run [options] [runner.func]
salt-run manage.status #查看所有minion状态
salt-run manage.down #查看所有没在线minion
salt-run manged.up #查看所有在线minion
minion:
/usr/bin/salt-call #拉取命令
/usr/bin/salt-minion #服务命令
1.salt-call(定时同步)该命令通常在minion上执行,minion自己执行可执行模块,不是通过master下发job
salt-call [options] <function> [arguments]
salt-call test.ping #自己执行test.ping命令
salt-call cmd.run 'ifconfig' #自己执行cmd.run函数
可以把salt-call state.highstate命令放在minion端的定时任务中,来进行自动请求同步。
也可以把salt '*' state.highstate放在master端的定时任务中,来进行自动推送到所有机器。
也可以在/etc/salt/minion配置文件中加入如下内容,如下是每隔5分钟同步,效果一样。
schedule:
highstate:
function:state.highstate
seconds:300
2.salt-minion minion端运行的命令
salt-minion [options]
salt-minion #前台运行
salt-minion -d #后台运行
salt-minion -l debug #前台debug输出