salt-master建立分组
如dn: 'L@dnxxx,dyyy'
salt -N dn state.apply hadoop test=true
salt -N dn cmd.run 'ls -ll /'
salt -N dn test.ping
salt 'dnxxx' test.ping
salt-minion修改minion配置:master id
salt-key -L
salt-key -A
systemctl start salt-minion.service
systemctl start salt-master.service
apache:
pkg.installed: []
service.running:
- watch:
- pkg: apache
- file: /etc/httpd/conf/httpd.conf
- user: apache
user.present:
- uid: 87
- gid: 87
- home: /var/www/html
- shell: /bin/nologin
- require:
- group: apache
group.present:
- gid: 87
- require:
- pkg: apache
/etc/httpd/conf/httpd.conf:
file.managed:
- source: salt://apache/httpd.conf
- user: root
- group: root
- mode: 644
目录文件:/etc/salt/master
interface: 192.168.0.1 ---接口(默认是0.0.0.0)
ipv6: True ---侦听ipv6
publish_port: 4505 ---发布端口
master_id: MasterOfMaster ---发布master传递给minion的id,返回请求给主服务器,这必须与配置syndic的字符串相同
user: root ---用户运行salt进程
enable_ssh_minions: True ---是否启用salt-ssh命令
ret_port: 4506 ---接收端口
pidfile: /var/run/salt-master.pid ---pidfile文件所在位置
root_dir: / ---系统运行根目录
conf_file: /etc/salt/master ---配置文件
pki_dir: /etc/salt/pki/master ---存储pki身份验证密钥的目录
extension_modules: /root/salt_extmods ---自定义扩展模块(modules、states、grains、proxy、pillar)
module_dirs:
- /var/cache/salt/minion/extmods ---自定义扩展目录
cachedir: /var/cache/salt/master ---缓存信息(如salt执行的作业信息)
verify_env:True ---启动时验证并设置配置目录的权限
keep_jobs : 24 ---保留旧作业的小时数
gather_job_timeout : 10 ---客户端请求有关正在运行的作业等待的秒数
TIMEOUT:5 ---设置salt命令和api的默认超时
LOOP_INTERVAL:60 ---loop_interval选项控制主维护过程检查周期的秒数。此过程更新文件服务器后端,清除作业缓存并执行调度程序。
OUTPUT:nested ---设置salt命令使用的默认输出器。
outputter_dirs : [] ---用于搜索salt输出器的其他目录列表。
OUTPUT_FILE:/path /output/file ---设置salt命令使用的默认输出文件。默认是输出到CLI而不是文件。功能与“--out-file”CLI选项的功能相同,仅将其设置为所有salt命令的单个文件。
SHOW_TIMEOUT:TRUE ---是否启用显示超时
SHOW_JID:False --是否启用显示JID
color:True ---默认输出为彩色
color_theme:/etc/salt/color_theme ---颜色主题路径
cli_summary:false 是否显示minions的数量
sock_dir:/var/run/salt/master ---套接字目录
enable_gpu_grains : True ---是否启用GPU
job_cache:true ---主服务器临时作业缓存(大型部署)
minion_data_cache:True ---minion数据缓存
cache: consul/localfs ---缓存子系统模块用于minion数据缓存。
memcache_expire_seconds : 30 ---Memcache是一个额外的缓存层,可以在内存中保留从minion数据缓存中获取有限数量的有限数据,从而使缓存操作更快。它对localfs 缓存驱动程序没有多大意义,但有助于更复杂的驱动程序,如consul。此选项设置memcache项目到期时间。默认设置为0 禁用memcache。
memcache_max_items : 1024 ---memcache项目限制
memcache_full_cleanup :True ---缓存已满会清除其存储空间
memcache_debug:True ---启用收集memcache统计信息并记录在调试日志级别
ext_job_cache : redis ---默认返回者-minion,也会禁用主服务器的作业缓存
event_return :
- syslog
- splunk ---记录事件的返回者
event_return_queue : 0 ---在繁忙的系统上,启用event_returns会对返回者造成相当大的存储系统负载。事件可以在主服务器上排队,并使用单个事务以批处理方式存储多个事件。默认情况下,事件不会排队。
event_return_whitelist :
- salt / master / a_tag
- salt / run / * / ret ---仅返回与白名单中的标记匹配的事件。
event_return_blacklist :
- salt / master / not_this_tag
- salt / wheel / * / ret ---存储所有事件将_except_标记返回黑名单。
max_event_size : 1048576 ---传递非常大的事件会导致minion消耗大量内存。该值调整允许进入主事件总线的消息的最大大小。该值以字节表示。
master_job_cache : redis ---指定要用于作业缓存的返回者。作业缓存只能与salt master进行交互,因此不需要从minions访问。
enforce_mine_cache :false ---默认情况下,当禁用minion_data_cache时,它将停止工作,因为它基于缓存数据,通过启用此选项,我们只显示mine系统的缓存。
max_minions : 100 ---主服务器允许的最大连接数
con_cache:True ---如果在大型安装中使用max_minions,则主服务器可能会遇到高负载情况,因为必须检查每个身份验证的已连接的minions数。此缓存为所有MWorker进程提供所有连接的minions的minion-id,并极大地提高了max_minions的性能。
presence_events:false ---是否寻找积极连接的minoin
ping_on_rotate :false ---秘钥每24小时轮换一次,ping所有的minions
TRANSPORT:zeromq ---支持zeromq、raet、tcp三种传输
transport_opts :
tcp :
publish_port : 4605
ret_port : 4606
zeromq : []
MASTER_STATS:False ---启用主统计信息可以从主事件总线触发运行时吞吐量和统计信息事件。这些事件将报告在主服务器上运行的功能以及这些运行在给定时间段内平均花费的时间。
MASTER_STATS_EVENT_ITER:60 ---解雇master_stats事件的时间(以秒为单位)。这只会在接收到主设备的请求时触发,空闲主设备不会触发这些事件。
sock_pool_size : 15 ---为了避免在将数据写入套接字时阻塞等待,我们支持Salt应用程序的套接字池。
ipc_mode : ipc ---ipc策略。(即套接字与tcp等)Windows平台缺少POSIX IPC,必须依赖基于TCP的进程间通信。在Windows上默认ipc_mode 设置为tcp。
tcp_master_pub_port : 4512 ---如果ipc_mode是TCP,则应发布主节点事件的TCP端口。
tcp_master_pull_port : 4513 ---TCP端口,如果ipc_mode是TCP ,则应该在该端口上提取主节点的事件。
tcp_master_publish_pull : 4514 ---主端口上的事件应该被拉出的TCP端口,然后重新发布到主服务器上的事件总线上。
tcp_master_workers : 4515 ---用于mworkers连接到主服务器的TCP端口。
auth_events:True ---主服务器是否启用触发身份验证事件
minion_data_cache_events :True ---主服务器是否启用触发minion数据缓存事件,当minion请求minion数据高速缓存刷新时会触发Minion数据高速缓存事件。
-------------------------------------------------------
salt-ssh配置
roster: cache ---默认为flat,使用名单模块
roster_defaults :
user : daniel
sudo : True
priv : /root/.ssh/id_rsa
tty : True ---所有名单都将继承的默认设置
roster_file : / root / roster ---传入salt-ssh flat名单文件的替代位置。
rosters:
- /etc/salt/roster.d
- /opt/salt/some/more/rosters
ssh_passwd: '' ---密码
ssh_port: 22 ---端口
ssh_scan_ports: 22
ssh_scan_timeout: 0.01
ssh_sudo: False
ssh_timeout: 60
ssh_user: root
ssh_log_file: /var/log/salt/ssh
ssh_minion_opts:
gpg_keydir: /root/gpg
ssh_use_home_key: False
ssh_identities_only: False
ssh_list_nodegroups:
groupA: minion1,minion2
groupB: minion1,minion3
THIN_EXTRA_MODS : None ---Thin附加模块列表
MIN_EXTRA_MODS:None ---与thin_extra_mods类似的附加模块列表
----------------------------------------------------------------------------
Master安全设置
open_mode:false ---打开模式应该只在短时间内用于清理pki键。要打开打开模式,请将此值设置为True。
auto_accept: false ---自动接受来自minion的所有传入公钥
keysize:2048 ---秘钥大小
autosign_timeout:120 ---自动接受在pki_dir / minion_autosign / keyid中找到匹配名称的传入公钥的时间(以分钟为单位)。
AUTOSIGN_FILE:not defined
AUTOREJECT_FILE:not defined
autosign_grains_dir:not defined
permissive_pki_access:false ---是否启用对salt秘钥的允许访问
publisher_acl:
fred:
- test.ping
- pkg.*
publisher_acl_blacklist:
users:
- root
- '^(?!sudo_).*$' # all non sudo users
modules:
- cmd.*
- test.echo
sudo_acl: False ---强制publisher_acl以及publisher_acl_blacklist用户何时可以访问salt命令。
external_auth :
pam :
fred :
- test.*
token_expire : 43200 ---口令生效的时间(以秒为单位)
token_expire_user_override :
pam :
- fred
- tom
ldap :
- gary
keep_acl_in_token :false ---是否保存身份验证列表到口令文件里
eauth_acl_module : django
file_recv:false ---允许minion将文件推送到master
file_recv_max_size : 100 ---推送文件的大小设置
master_sign_pubkey :True ---使用主公钥的加密签名对主auth-reply进行
MASTER_SIGN_KEY_NAME: master_sign ---可以自定义的签名密钥对的名称,不带后缀。
MASTER_PUBKEY_SIGNATURE:master_pubkey_signature
--------------------------------------------------------------------------------------
MASTER LARGE SCALE TUNING SETTINGS
max_open_files: 100000 ---最大打开文件数
worker_threads: 5 ---工作线程
pub_hwm : 1000 ---zeromq高位标记
zmq_backlog : 1000 ---zeromq的log
----------------------------------------------------------------------------------------
主服务器log设置
log_file : / var / log / salt / master
log_file : file:/// dev / log
log_file : udp:// loghost:10514
log_level :warning
log_level_logfile :warning
log_datefmt: '%H:%M:%S'
log_datefmt_logfile: '%Y-%m-%d %H:%M:%S'
log_fmt_console: '%(colorlevel)s %(colormsg)s'
log_fmt_console: '[%(levelname)-8s] %(message)s'
log_fmt_logfile: '%(asctime)s,%(msecs)03d [%(name)-17s][%(levelname)-8s] %(message)s'
----------------------------------------------------------------------------------------------------
NODE GROUPS
nodegroups:
group1: 'L@foo.domain.com,bar.domain.com,baz.domain.com or bl*.domain.com'
group2: 'G@os:Debian and foo.domain.com'
group3: 'G@os:Debian and N@group1'
group4:
- 'G@foo:bar'
- 'or'
- 'G@foo:baz'
---------------------------------------------------------------------------------------------------------
RANGE CLUSTER SETTINGS
range_server: range:80
DEFAULT_INCLUDE:master.d/*.conf
# Include files from a master.d directory in the same
# directory as the master config file
include: master.d/*
# Include a single extra file into the configuration
include: /etc/roles/webserver
# Include several files and the master.d directory
include:
- extra_config
- master.d/*
- /etc/roles/webserver
------------------------------------------------------------------------------------------------------------
KEEPALIVE SETTINGS-TCP
tcp_keepalive: True
tcp_keepalive_cnt: -1
tcp_keepalive_idle: 300
tcp_keepalive_intvl': -1
yum install salt-master
yum install salt-minion
yum install salt-ssh
yum install salt-syndic
yum install salt-cloud
systemctl enable salt-master.service
systemctl start salt-master.service
systemctl enable salt-minion.service
systemctl start salt-minion.service
配置目录
/etc/salt
/var/cache/salt
/var/log/salt
/var/run/salt
firewall-cmd --permanent --zone=<zone> --add-port=4505-4506/tcp
firewall-cmd --reload
-A INPUT -m state --state new -m tcp -p tcp --dport 4505 -j ACCEPT
-A INPUT -m state --state new -m tcp -p tcp --dport 4506 -j ACCEPT
SaltStack是(C/S)架构的集中化管理平台,SaltStack基于Python语言,
采用zeromq消息队列进行通信(tcp,ipc)。
一. 部署环境
系统:centos7.3
centos7默认防火墙是firewall,修改为iptables(方法自行百度)
salt-master:192.168.1.100
salt-minion-1:192.168.1.200
salt-minion-2:192.168.1.300
1.1 查看centos的版本和内核版本以及安装配置阿里云yum源
#cat /etc/redhat-release
CentOS Linux release 7.3.1611 (Core)
#wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
1.2 安装epel-release和salt-master工具包
#yum install epel-release -y
#yum install salt-master -y
1.3 配置saltstatck开机自启动服务
#systemctl enable salt-master.service
1.4 启动saltstack master服务
#systemctl start salt-master
1.5 检查saltstack端口及进程的运行状态
4505是saltstack管理服务器发送命令消息的端口,4506是消息返回时所用的端口,saltstack一般是启动多个进程并发工作的
#netstat -ntlp|grep python
tcp 0 0 120.76.40.16:4505 0.0.0.0:* LISTEN 4916/python
tcp 0 0 120.76.40.16:4506 0.0.0.0:* LISTEN 4936/python
#ps -aux |grep salt-master|grep -v grep
root 4906 0.0 0.0 314468 27816 ? Ss 10:47 0:00 /usr/bin/python /usr/bin/salt-master
root 4915 0.3 0.1 414628 37948 ? Sl 10:47 0:36 /usr/bin/python /usr/bin/salt-master
root 4916 0.0 0.0 396528 23580 ? Sl 10:47 0:00 /usr/bin/python /usr/bin/salt-master
root 4917 0.0 0.0 396528 25920 ? Sl 10:47 0:00 /usr/bin/python /usr/bin/salt-master
root 4920 0.0 0.0 314468 22936 ? S 10:47 0:00 /usr/bin/python /usr/bin/salt-master
root 4923 0.0 0.0 1057776 32016 ? Sl 10:47 0:01 /usr/bin/python /usr/bin/salt-master
root 4924 0.0 0.1 1205240 34072 ? Sl 10:47 0:01 /usr/bin/python /usr/bin/salt-master
root 4928 0.0 0.1 1205976 34252 ? Sl 10:47 0:01 /usr/bin/python /usr/bin/salt-master
root 4931 0.0 0.1 1206252 34200 ? Sl 10:47 0:01 /usr/bin/python /usr/bin/salt-master
root 4933 0.0 0.0 1057964 32280 ? Sl 10:47 0:01 /usr/bin/python /usr/bin/salt-master
root 4936 0.0 0.0 691476 23472 ? Sl 10:47 0:00 /usr/bin/python /usr/bin/salt-master
1.6 配置iptables防火墙)(ps:注意selinux状态,阿里云服务器默认是disabled)
#vim /etc/systconfig/iptables加入两行
-A INPUT -p tcp -m state --state NEW -m tcp --dport 4505 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 4506 -j ACCEPT
#systemctl restart iptables
salt master 会启动两个端口 tcp 4505和tcp 4506
more /etc/salt/master |grep 450
#publish_port: 4505
#ret_port: 4506
#syndic_master_port: 4506
其中 tcp 4506 是master的端口,在minion配置文件中能看到,允许minion访问后 执行salt-key时 会获取到
2.配置salt-minion
2.1 查看centos的版本和内核版本以及安装配置阿里云yum源
#cat /etc/redhat-release
CentOS Linux release 7.3.1611 (Core)
#wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
2.2 安装epel-release和salt-minion工具包
#yum install epel-release -y
#yum install salt-minion -y
2.3 配置minion配置
master参数指定master 的ip (或者主机名),必配参数,如果minion启动时不能解析到master 主机,启动会失败;
#sed -i 's/#master: salt/master: 192.168.1.100/g' /etc/salt/minion
id参数设置salt-minion名,默认未设置,minio名取主机hostname中设定的主机名
#sed -i 's/#id:/id: 192.168.200/g' /etc/salt/minion
2.4 配置saltstatck开机自启动服务
#systemctl enable salt-minion
2.5 启动saltstack minion服务
#systemctl start salt-minion
3.其他minion同样配置
4.saltstack具体操作
# salt-key -L #查看salt-key
Accepted Keys:
salt-minion-01
salt-minion-02
Denied Keys:
Unaccepted Keys:
Rejected Keys:
# salt-key -A -y #添加salt-key
The following keys are going to be accepted:
Unaccepted Keys:
salt-minion-01
salt-minion-02
Key for minion salt-minion-01 accepted.
Key for minion salt-minion-02 accepted.
# salt-key -L #查看salt-key
Accepted Keys:
salt-minion-01
salt-minion-02
Denied Keys:
Unaccepted Keys:
Rejected Keys:
salt-key -a slaver.test.com
说明:-a :accept ,-A:accept-all,-d:delete,-D:delete-all。可以使用 salt-key 命令查看到已经签名的客户端。此时我们在客户端的 /etc/salt/pki/minion 目录下面会多出一个minion_master.pub 文件。
# salt salt-minion* test.ping #简单测试
示例1: salt '*' test.ping //检测通讯是否正常,也可以指定其中一个 'slaver.test.com'
示例2: salt '*' cmd.run 'df -h' //远程执行命令
说明: 这里的 * 必须是在 master 上已经被接受过的客户端,可以通过 salt-key 查到,通常是我们已经设定的 id 值。关于这部分内容,它支持通配、列表以及正则。 比如两台客户端 web10、web11, 那我们可以写成 salt 'web*' salt 'web1[02]' salt -L 'web10,web11' salt -E 'web(10|11)' 等形式,使用列表,即多个机器用逗号分隔,而且需要加-L,使用正则必须要带-E选项。 它还支持 grains 和 pillar,分别加 -G 和 -I 选项,下面会介绍到。
salt-minion-01:
True
salt-minion-02:
True
# salt salt-minion* cmd.run 'uname -r' #运行linux命令
salt-minion-01:
3.10.0-327.el7.x86_64
salt-minion-02:
3.10.0-327.el7.x86_64
salt '*' test.ping ## '*' 表示所有的minion,可以输入指定的minion_id,或者使用正则匹配 匹配指定的minion
认证过程
启动minion服务后,会产生一个密钥对,然后minion会根据配置的master地址去连接master,并尝试把公钥发给master,minion_id表示minio的身份。
在master上可以使用salt-key来查看密钥认证的情况,直到密钥认证后,master和minion就可以通信了,我们就可以通过state模块来管理minion。
minon密钥目录
ll /etc/salt/pki/minion/
total 12
-rw-r--r--. 1 root root 450 Nov 15 09:59 minion_master.pub ##认证通过后master发过来的master公钥
-r--------. 1 root root 1674 Nov 15 09:58 minion.pem
-rw-r--r--. 1 root root 450 Nov 15 09:58 minion.pub
在minion服务没有启动时,pki目录是不存在的。minion服务启动后,会创建pki目录,minion目录和密钥对。
我们可以把pki目录删除,然后重启服务会重新生成pik目录。
master密钥目录
ll /etc/salt/pki/master/minions
-rw-r--r--. 1 root root 450 Nov 15 17:59 cong-49 ##已通过的minion密钥
master接受minion的公钥后会存放在/etc/salt/pki/master/minions目录下,以minion的id来命名。
同时master会把自身的公钥发给minion。
master端的pki目录千万不要删除,因为这个目录包含了所有minion的认证密钥。不过我们可以删除指定minion的密钥文件。
也可以 用命令salt-key删除指定minion的key认证
在master把对应的minion的key删掉:
salt-key -d 192.168.1.49
查看密钥保存目录是否存在对应mining的密钥key,如果存在删除它
[root@cong-33 nginx]# ll /etc/salt/pki/master/minions
minion端
停止minion服务:
[root@cono-49 ~]# /etc/init.d/salt-minion stop
删除key目录让其重新生成:
rm -rf /etc/salt/pki
启动服务
/etc/init.d/salt-minion start
salt-key命令
salt-key -L 列出master的key认证情况
salt-key -a minion_id 通过指定minion的key认证
salt-key -A 批量通过minion的key认证
salt-key -d minion_id 删除指定minion的key认证
salt-key -D 批量删除minion的key认证
minion没有监听端口的。minion在通过与master的key认证后一直与master的4505端口保持连接。
master监听4505和4506两个端口,
4505是消息发布端口,
4506是消息接收端口,接收执行返回结果和命令执行情况的
一、salt常用命令
1.salt 该命令执行salt的执行模块,通常在master端运行,也是我们最常用到的命令
salt [options] '<target>' <function> [arguments]
如: salt '*' test.ping
2.salt-run 该命令执行runner(salt带的或者自定义的,runner以后会讲),通常在master端执行,比如经常用到的manage
salt-run [options] [runner.func]
salt-run manage.status ##查看所有minion状态
salt-run manage.down ##查看所有没在线minion
salt-run manged.up ##查看所有在线minion
3.salt-key 密钥管理,通常在master端执行
salt-key [options]
salt-key -L ##查看所有minion-key
salt-key -a <key-name> ##接受某个minion-key
salt-key -d <key-name> ##删除某个minion-key
salt-key -A ##接受所有的minion-key
salt-key -D ##删除所有的minion-key
4.salt-call 该命令通常在minion上执行,minion自己执行可执行模块,不是通过master下发job
salt-call [options] <function> [arguments]
salt-call test.ping ##自己执行test.ping命令
salt-call cmd.run 'ifconfig' ##自己执行cmd.run函数
5.salt-cp 分发文件到minion上,不支持目录分发,通常在master运行
salt-cp [options] '<target>' SOURCE DEST
salt-cp '*' testfile.html /tmp
salt-cp 'test*' index.html /tmp/a.html
6.salt-ssh 0.17.1版本加入的salt-ssh
7.salt-master master运行命令
salt-master [options]
salt-master ##前台运行master
salt-master -d ##后台运行master
salt-master -l debug ##前台debug输出
8.salt-minion minion运行命令
salt-minion [options]
salt-minion ##前台运行
salt-minion -d ##后台运行
salt-minion -l debug ##前台debug输出
9.salt-syndic syndic是salt的代理,以后会说到
二、普通用户执行salt
普通用户执行salt两种方案:1,salt ACL 2.salt external_auth
1.ACL
1) 设置master配置文件
client_acl:
monitor:
- test*:
- test.*
dev:
- service.*
sa:
- .*
2) 重启Master
service salt-master restart
3) 目录和文件权限
chmod +r /etc/salt/master
chmod +x /var/run/salt
chmod +x /var/cache/salt
4) 测试
# su - monitor
# salt 'test*' test.ping
# exit; su - sa
# salt '*' test.ping
# salt '*' cmd.run 'uptime'
# exit;
2.external_auth
1) 修改master配置文件
external_auth:
pam: monitor: – ‘test‘: – test. sa: – .* – 2) 3)与ACL相同
4) 测试
# salt -a pam 'test*' test.ping ##会提示输入账号密码,所以external_auth与当前用户无关
username: monitor
password:
# su - monitor
# salt -a pam '*' cmd.run 'uptime'
username: sa
password:
5) 使用Token不必每次都输入账号密码,使用external_auth每次都是需要密码的,这样多麻烦,这里引入了Token,它会保存一串字符到在当前用户家目录下.salt_token中,在有效时间内使用external_auth是不需要输入密码的,默认时间12hour,可以通过master配置文件修改
# salt -T -a pam '*' test.ping
username: sa
password:
#salt -a pam '*' test.ping #不会提示输入密码了
三、target
指定你的命令或者模块应用哪写Minion上
1.globbing 默认
salt 'test*' test.ping
2.RE 正则
salt -E 'web1-(pro|devel)' test.ping
3.List 列表
salt -L '127.0.0.1, test*' test.ping
4.grains
salt -G 'os:CentOS' test.ping
#查看所有grains键/值
salt 'test*' grains.items
#查看所有grains项
salt 'test*' grains.ls
查看某个grains的值
salt 'test*' grains.item num_cpus
在top file中匹配grains
'node_type:web':
- match: grain #没有s
- webserver
top file中使用jinja模板
{% set self = grains['node_type'] %}
- match: grain
- {{ self }}
5.nodegroups 其实就是对Minion分组
首先在master的配置文件中对其分组,推荐写到/etc/salt/master.d/中一个独立的配置文件中,比如nodegroup.conf
vim /etc/salt/master.d/nodegroup.conf
#写到master中也是这个格式,master.d中*.conf是默认动态加载的
nodegroups:
test1: 'L@test1,test2 or test3*'
test2: ‘G@os:CenOS or test2'
salt -N test1 test.ping #-N指定groupname
在top file中使用nodegroups
'test1':
- match: nodegroup ##意没s
- webserver
6.混合指定,就是将以上的混合起来用
G Grains glob G@os:Ubuntu
E PCRE Minion ID E@webd+.(dev|qa|prod).loc
P Grains PCRE P@os:(RedHat|Fedora|CentOS)
L List of minions L@minion1.example.com,minion3.domain.com or bl*.domain.com
I Pillar glob I@pdata:foobar
S Subnet/IP address S@192.168.1.0/24 or S@192.168.1.100
R Range cluster R@%foo.bar
salt -C 'G@os:CentOS and L@127.0.0.1,192.168.1.12' test.ping
top file 指定:
'webserver* and G:CentOS or L@127.0.0.1,test1':
- match: compound
- webserver
7.一次在n个minion上执行
-b n
--batch-size n
示例:
salt '*' -b 5 test.ping 5个5个的ping
四、远程批量执行
格式:
salt '<target>' <function> [argument]
注: function是salt带的或自己写的可执行模块里面的function,自带的所有列表http://docs.saltstack.com/ref/modules/all/index.html?highlight=full%20list%20builtin 实例:
salt '*' at.at 10.10am 'uptime'
salt '*' test.ping
五、多Master
1.在另一台机器上安装salt-master
yum -y install salt-master
2.将原来master上的master密钥拷贝到新的master是一份
scp /etc/salt/pki/master/master* newmaster:/etc/salt/pki/master/
3.启动新的Master
service salt-master start
4.修改minion配置文件/etc/salt/minion设置两个master
master:
- master1
- master2
5.重启minion
service salt-minion restart
6.在新的master上接受所有key
salt-key -L
salt-key -A
注意:
1.2个master并不会共享Minion keys,一个master删除了一个key不会影响另一个
2.不会自动同步File_roots,所以需要手动去维护,如果用git就没问题了
3.不会自动同步Pillar_Roots,所以需要手工去维护,也可以用git
4.Master的配置文件也是独立的
六、pillar
Pillar在salt中是非常重要的组成部分,利用它可以完成很强大的功能,它可以指定一些信息到指定的minion上,不像grains一样是分发到所有Minion上的,它保存的数据可以是动态的,Pillar以sls来写的,格式是键值对
适用情景:
1.比较敏感的数据,比如密码,key等
2.特殊数据到特定Minion上
3.动态的内容
4.其他数据类型
查看Minion的Pillar信息
salt '*' pillar.items
查看某个Pillar值
salt '*' pillar.item <key> #只能看到顶级的
salt '*' pillar.get <key>:<key> #可以取到更小粒度的
编写pillar数据
1.指定pillar_roots,默认是/srv/pillar(可通过修改master配置文件修改),建立目录
mkdir /srv/pillar
cd /srv/pillar
2.编辑一个pillar数据文件
vim test1.sls
name: 'salt'
users:
hadoop: 1000
redhat: 2000
ubuntu: 2001
3.建立top file指定minion到pillar数据文件
vim top.sls
base:
'*':
- test1
4.刷新Pillar数据
salt '*' saltutil.refresh_pillar
5.测试
salt '*' pillar.get name
salt '*' pillar.item name
在state中通过jinja使用pillar数据
vim /srv/salt/user.sls
{% for user, uid in pillar.get(’users’, {}).items() %} ##pillar.get('users',{})可用pillar['users']代替,前者在没有得到值的情况下,赋默认值
{{user}}:
user.present:
- uid: {{uid}}
{% endfor %}
当然也可以不使用jinja模板
vim /srv/salt/user2.sls
{{ pillar.get('name','') }}:
user.present:
- uid: 2002
通过jinja模板配合grains指定pillar数据
/srv/pillar/pkg.sls
pkgs:
{% if grains[’os_family’] == ’RedHat’ %}
apache: httpd
vim: vim-enhanced
{% elif grains[’os_family’] == ’Debian’ %}
apache: apache2
vim: vim
{% elif grains[’os’] == ’Arch’ %}
apache: apache
vim: vim
{% endif %}
七、grains
服务器的一些静态信息,这里强调的是静态,就是不会变的东西,比如说os是centos,如果不会变化,除非重新安装系统
定义minion的grains可以写在/etc/salt/minion中格式如下
grains:
roles:
- webserver
- memcache
deployment: datacenter4
cabinet: 13
cab_u: 14-15
或者写在/etc/salt/grains中,格式如下
roles:
- webserver
- memcache
deployment: datacenter4
cabinet: 13
cab_u: 14-15
也可以在master中编写grains的模块,同步到minion中,用Python来写很简单的
1.在/srv/salt中建立_grains目录
mkdir /srv/salt/_grains
2.编写grains文件,需要返回一个字典
vim test1.py
def hello(): ##函数名字无所谓,应该是所有函数都会运行
agrain = {}
agrain['hello'] = 'saltstack'
return agrain ##返回这个字典
3.同步到各个minion中去
salt '*' saltutil.sync_grains
salt '*' saltutil.sync_all
salt '*' state.highstate
4.验证
salt '*' grains.item hello
***********模块***********
查看模块列表module
salt 'minion' sys.list_modules
查看指定module的function用法
salt 'minion' sys.list_functions file
查看指定模块的详细用法
salt 'minion' sys.doc cmd
***********模块使用说明***********
查看配置管理state模块列表
salt 'minion' sys.list_state_modules
查看配置管理sate列表指定模块所有方法列表
salt 'minion' sys.list_state_functions svn
查看配置管理state列表指定模块详细用法
salt 'minion' sys.state_doc file
查看配置管理state列表指定模块的方法分支
salt 'minion' sys.state_doc file.managed
***********pillar变量***********
查看主机对应的所有pillar变量值
salt '*' pillar.data
salt '*' pillar.items
查看主机对应的多个pillar变量值
salt '*' pillar.item roles appname
修改pillar值后需要刷新pillar数据
salt '*' saltutil.refresh_pillar
查看pillar模块详细用法,其他类似
salt 'minion' sys.doc pillar
查看pillar的相关方法
salt 'minion' sys.list_functions pillar
"""
shuke:
- pillar.data
- pillar.ext
- pillar.get
- pillar.item
- pillar.items
- pillar.raw
"""
***********grains变量***********
查看模块用法
salt 'minion' sys.list_functions grains
查看item项
salt 'minion' grains.ls
查看所有iteams
salt 'minion' grains.items
获得某个item值
salt 'minion' grains.get os
同步_grains目录下的py脚本至minion
salt 'minion' saltutil.sync_all
如果py模块有修改,修改后进行重载
salt 'minion' sys.reload_modules
***********minions在线状态***********
查看所有minion状态
salt-run manage.status
查看所有minion在线状态
salt-run manage.up
查看所有minion不在线状态
salt-run manage.down
***********key管理***********
salt-key 密钥管理,通常在master端执行
salt-key [options]
salt-key -L ##查看所有minion-key
salt-key -a <key-name> ##接受某个minion-key
salt-key -d <key-name> ##删除某个minion-key
salt-key -A ##接受所有的minion-key
salt-key -D ##删除所有的minion-key
***********salt-call相关***********
salt-call 该命令通常在minion上执行,minion自己执行可执行模块,不是通过master下发job
salt-call [options] <function> [arguments]
salt-call test.ping ##自己执行test.ping命令
salt-call cmd.run 'ifconfig' ##自己执行cmd.run函数
***********文件分发***********
salt-cp 分发文件到minion上,不支持目录分发,通常在master运行
salt-cp [options] '<target>' SOURCE DEST
salt-cp '*' testfile.html /tmp
salt-cp 'test*' index.html /tmp/a.html
salt 'S1_0_001_Room' cp.get_dir salt://package /tmp -v 同步目录
salt 'S1_0_001_Room' cp.get_file salt://package/minions.tar.gz /tmp/minions.tar.gz gzip=5 同步文件
**********其他***********
salt-run jobs.active #查看所有minion当前正在运行的jobs
salt '*' saltutil.running # 查看正在运行的任务,找到jid
salt '*' saltutil.kill_job jid # 根据jid杀掉任务
salt '*' saltutil.clear_cache # 清除minion缓存
执行单个命令
salt 'minion' cmd.run 'ps -ef | grep mongod'
测试单个sls模块
salt 'minion' state.sls nginx test=True
执行前进行测试
salt 'minion' state.highstate test=True
在所有minion上执行状态:
salt 'minion' sate.highstate
获取执行jib任务的md5值
salt 'minion' hashutil.md5_digest 20170202150211366486
low数据可以使用state.show_lowstate方法查看
salt 'minion' state.show_lowstate --out yaml
High State数据可以使用state.show_hoghstate方法查看
salt 'minion' state.show_highstate --out yaml
#查看highstate
salt 'minion' state.show_highstate
#查看lowdata
salt 'minion' state.show_lowstate
#执行所有top.sls
salt '*' state.apply
#执行指定环境下top.sls
salt '*' state.apply saltenv=dev
注:
name:要执行的命令,记住该命令将会在salt-minion的路径和权限下执行
onlyif:用于检查的命令,仅当``onlyif``选项指向的命令返回true时才执行name定义的命令
unless:用于检查的命令,仅当``unless``选项指向的命令返回false时才执行name指向的命令
查看wyd用户下进程
salt -N 'Z1_S2' cmd.run 'su -c "ps -u wyd | grep -v top | grep -v bash | grep -v sshd | grep -v grep | grep -v ps | grep -v CMD " wyd'
state中(钩子函数)
requisiterequisite:require/watch/onchanges/onfail/use/prereq/require_in(反转)
========Targeting Minion=======
#Glob(默认)
salt '*' test.ping
salt * test.ping
#PCRE 正则表达式
salt -E '^[m|M]in.[e|o|u]n$' test.ping = salt -E '^[mM]in.[eou]n$' test.ping
#list
salt -L web1,web2,db1 test.ping
#Subnet
salt -S 192.168.1.100 test.ping
salt -S 192.168.0.0/16 test.ping
#Grain
salt -G 'os:ubuntu' test.ping
salt -G 'os_family:Debian' test.ping
salt -G 'ip_interfaces:eth0:192.168.1.100' test.ping
salt -G 'ipv6:::1' test.ping
salt --grain-pcre 'os:red(hat|flag)' test.ping
#Pillar
salt -I 'my_var:my_val' test.ping
#混合(Compound)
salt -C 'G@os:Ubuntu,I@role:web,S@192.168.1.100/24' test.ping
salt -C 'min* or *ion' test.ping
salt -C 'web* or *qa,G@os:Arch' test.ping
#Nodegroup
salt -N webdev test.ping
添加计划任务
salt 'S1_*_Center' cron.set_job root '0' '5' '*' '*' '*' '/usr/sbin/logrotate -vf /etc/logrotate.d/acl >/tmp/cutacl_log 2>&1' identifier=cutacl
删除计划任务
salt -C 'E@S1_(10001|10002|10003)_*' cron.rm_job wyd 'cd /data/wyd/game_server_1.2.0/log;find . -type f -mtime +15 -name "*.log*" -exec rm -rf {} ; 2>&1' identifier='clear log'
SLS文件
简述
SLS(代表SaLt State文件)是Salt State系统的核心。SLS描述了系统的目标状态,由格式简单的数据构成。这经常被称作配置管理
top.sls
top.sls 是配置管理的入口文件,一切都是从这里开始,在master 主机上,默认存放在/srv/salt/目录.
top.sls 默认从 base 标签开始解析执行,下一级是操作的目标,可以通过正则,grain模块,或分组名,来进行匹配,再下一级是要执行的state文件,不包换扩展名。
创建 /srv/salt/top.sls
通过正则进行匹配的示例,
base:
'*':
- webserver
通过分组名进行匹配的示例,必须要有 - match: nodegroup
base:
group1:
- match: nodegroup
- webserver
通过grain模块匹配的示例,必须要有- match: grain
base:
'os:Fedora':
- match: grain
- webserver
准备好top.sls文件后,编写一个state文件
/srv/salt/webserver.sls
apache: # 标签定义
pkg: # state declaration
- installed # function declaration
第一行被称为(ID declaration) 标签定义,在这里被定义为安装包的名。注意:在不同发行版软件包命名不同,比如 fedora 中叫httpd的包 Debian/Ubuntu中叫apache2
第二行被称为(state declaration)状态定义, 在这里定义使用(pkg state module)
第三行被称为(function declaration)函数定义, 在这里定义使用(pkg state module)调用 installed 函数
最后可以在终端中执行命令来查看结果:
salt '*' state.highstate
或附件 test=True参数 测试执行
salt '*' state.highstate -v test=True
主控端对目标主机(targeted minions)发出指令运行state.highstatem模块,目标主机首先会对top.sls下载,解析,然后按照top.sls内匹配规则内的定义的模块将被下载,解析,执行,然后结果反馈给 master.
SLS文件命名空间
注意在以上的例子中,SLS文件 webserver.sls 被简称为webserver. SLS文件命名空间有如下几条基本的规则:
SLS文件的扩展名 .sls 被省略。 (例如. webserver.sls 变成 webserver)
子目录可以更好的组织,每个子目录都由一个点来表示.(例如 webserver/dev.sls 可以简称为 webserver.dev)
如果子目录创建一个init.sls的文件,引用的时候仅指定该目录即可. (例如 webserver/init.sls 可以简称为 webserver)
如果一个目录下同时存在webserver.sls 和 webserver/init.sls,那么 webserver/init.sls 将被忽略,SLS文件引用的webserver将只引用webserver.sls
state多文件示例
下面是一个state多文件示例,
apache/init.sls
apache/httpd.conf
ssh/init.sls
ssh/server.sls
ssh/banner
ssh/ssh_config
ssh/sshd_config
创建一个引用这些目录的 server.sls
server:
- apache
- ssh
state的层级关系
include 示例:
include 包含某个state文件
/srv/salt/apache.sls
apache:
pkg:
- installed
service:
- running
- require:
- pkg: apache
使用 include 可以包换有state文件而不必重新写
/srv/salt/apache-custom.sls
include:
apache
extend 示例:
extend 与include配合使用,作用是 修改,或扩展引用的state文件的某个字段
/srv/salt/apache.sls
apache:
pkg:
- installed
service:
- running
- require:
- pkg: apache
extend默认是替换引用文件的某个字段的属性,如例
/srv/salt/apache-change.sls
include:
- apache
extend:
apache
pkg:
- name: vim
- installed
当extend与watch,或require结合使用的时候,则是扩展某个字段的属性,如例:
/srv/salt/apache-custom.sls
include:
- apache
extend:
apache
service:
- watch:
- file: /etc/redis.conf
state的逻辑关系列表
match: 配模某个模块,比如 match: grain match: nodegroup
require: 依赖某个state,在运行此state前,先运行依赖的state,依赖可以有多个
watch: 在某个state变化时运行此模块
order: 优先级比require和watch低,有order指定的state比没有order指定的优先级高
state的逻辑关系实例
require:依赖某个state,在运行此state前,先运行依赖的state,依赖可以有多个
httpd: # maps to "name"
pkg:
- installed
file: # maps to State module filename
- managed: # maps to the managed function in the file State module
- name: /etc/httpd/conf/httpd.conf # one of many options passed to the manage function
- source: salt://httpd/httpd.conf
- require:
- pkg: httpd
watch:在某个state变化时运行此模块,watch除具备require功能外,还增了关注状态的功能。
redis:
pkg:
- latest
file.managed:
- source: salt://redis/redis.conf
- name: /etc/redis.conf
- require:
- pkg: redis
service.running:
- enable: True
- watch:
- file: /etc/redis.conf
- pkg: redis
order:优先级比require和watch低,有order指定的state比没有order指定的优先级高
vim:
pkg.installed:
- order: 1
想让某个state最后一个运行,可以用last
进阶主题:模板
使用模板来精简SLS,使SLS可以使用python的 循环,分支,判断 等逻辑
{% for item in ['tmp','test'] %}
/opt/{{ item }}:
file.directory:
- user: root
- group: root
- mode: 755
- makedirs: True
{% endfor %}
```markdown
httpd:
pkg.managed:
{% if grains['os'] == 'Ubuntu' %}
- name: apache2
{% elif grains['os'] == 'CentOS' %}
- name: httpd
{% endif %}
- installed
通过加载jinja模板引擎,可以模板配置文件按照预订条件来生成最终的配置文件
/opt/test.conf
{% if grains['os'] == 'Ubuntu' %}
host: {{ grains['host'] }}
{% elif grains['os'] == 'CentOS' %}
host: {{ grains['fqdn'] }}
{% endif %}
```markdown
/opt/test.conf:
file.managed:
- source: salt://test.conf
- user: root
- group: root
- mode: 644
- template: jinja
#########################################
scp与rsync 远程同步拷贝
#########################################
swapoff -a关掉
永久生效:
echo "vm.swappiness = 0">> /etc/sysctl.conf
(尽量不使用交换分区,注意不是禁用)
刷新
SWAP
可以执行命令刷新一次SWAP(将SWAP里的数据转储回内存,并清空SWAP里的数据)
swapoff -a && swapon -a
sysctl -p (执行这个使其生效,不用重启)