自動化運維工具之saltstack

SaltStack簡介

SaltStack是一個伺服器基礎架構集中化管理平台，具備配置管理、遠端執行、監控等功能，一般可以了解為簡化版的puppet和加強版的func。SaltStack基于Python語言實作，結合輕量級消息隊列（ZeroMQ）與Python第三方子產品（Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等）建構。

通過部署SaltStack環境，我們可以在成千上萬台伺服器上做到批量執行指令，根據不同業務特性進行配置集中化管理、分發檔案、采集伺服器資料、作業系統基礎及軟體包管理等，SaltStack是運維人員提高工作效率、規範業務配置與操作的利器。

特性

1) 部署簡單、友善；

2) 支援大部分UNIX/Linux及Windows環境；

3) 主從集中化管理；

4) 配置簡單、功能強大、擴充性強；

5) 主要端（master）和被控端（minion）基于證書認證，安全可靠；

6) 支援API及自定義子產品，可通過Python輕松擴充。

Master與Minion認證

1) minion在第一次啟動時，會在/etc/salt/pki/minion/(該路徑在/etc/salt/minion裡面設定)下自動生成minion.pem(private key)和 minion.pub(public key)，然後将 minion.pub發送給master。

2) master在接收到minion的public key後，通過salt-key指令accept minion public key，這樣在master的/etc/salt/pki/master/minions下的将會存放以minion id命名的 public key，然後master就能對minion發送指令了。

salt-master的端口：

4505：為salt的消息釋出專用端口

4506：為用戶端與服務端通信的端口

=============================================================

                          SaltStack的安裝與配置

一 部署環境：

環境描述：

192.168.122.101 salt-master.linux.com

192.168.122.102 node1.linux.com 

192.168.122.103 node2.linux.com 

準備工作：

SELinux, firewalld, 時間同步, 計算名稱解析 

在主機能夠聯網的情況下，通過在主機安裝EPEL源安裝

salt master安裝：

# yum install -y epel-release

# yum install -y salt-master 

salt minion安裝：

# yum install -y salt-minion 

分别在salt minion端(node1和node2)編輯其配置檔案，指定master主機及自身的ID資訊 

[root@node1 ~]# vim /etc/salt/minion 

master: salt-master.linux.com

 啟動salt-master服務 

[root@salt-master ~]# systemctl start salt-master

[root@salt-master ~]# systemctl enable salt-master

Created symlink from /etc/systemd/system/multi-user.target.wants/salt-master.service to /usr/lib/systemd/system/salt-master.service.

[root@salt-master ~]# 

[root@salt-master ~]# ss -antp | grep salt

LISTEN     0      100          *:4505                     *:*                   users:(("salt-master",pid=2203,fd=13))

LISTEN     0      100          *:4506                     *:*                   users:(("salt-master",pid=2215,fd=21))

 在minion端啟動salt-minion服務 

[root@node01 ~]# systemctl start salt-minion

[root@node01 ~]# systemctl enable salt-minion.service 

Created symlink from /etc/systemd/system/multi-user.target.wants/salt-minion.service to /usr/lib/systemd/system/salt-minion.service.

在salt-master端通過salt-key指令檢視minion的證書申請，并通過  

[root@salt-master ~]# salt-key -L

Accepted Keys:

Denied Keys:

Unaccepted Keys:

node01.linux.com

node02.linux.com

Rejected Keys:

[root@salt-master ~]# salt-key -A -y   

The following keys are going to be accepted:

Key for minion node01.linux.com accepted.

Key for minion node02.linux.com accepted.

參數說明：

salt-key用于管理minion端的證書資訊，常用選項如下：

-L 用于檢視所有minion端的證書資訊

-a <arg> 用于同意指定minion端的證書

-A  用于同意所有minion端的證書

-r <arg> 用于拒絕指定minion端的證書

-R 用于拒絕所有minion端的證書

-d <arg> 用于删除指定minion端的證書

-D 用于删除所有minion端的證書

-y 類似于yum中的-y選項

通過salt-key --help可擷取更多的幫助資訊

通過test子產品中的ping指令測試通信

[root@salt-master ~]# salt '*' test.ping

node2.linux.com:

    True

node1.linux.com:

二、簡單應用saltstack

示例1：minion修改主機名

minion端已經向master端注冊過後，如果要修改minion端的主機名，則需要首先在master端删除該minion的key，再将minion端的/etc/salt/minion_id及pki目錄删除(因為這兩個檔案中記錄的資訊都與主機名有關，一旦主機名變化後，必須重新生成這兩個檔案，否則minion端的服務會自動關閉)，再手動修改用戶端主機名

示例：修改node1.linux.com的主機名為agent1.linux.com 

1) 在master端删除node1.linux.com 

[root@salt-master ~]# salt-key -d node01.linux.com -y

Deleting the following keys:

Key for minion node01.linux.com deleted.

2) 删除minion端的相關的檔案 

[root@node1 ~]# cd /etc/salt/

[root@node1 salt]# rm -rf minion_id pki/

[root@node01 ~]# hostnamectl set-hostname agent01.linux.com

[root@agent01 ~]# systemctl restart salt-minion

3) 在master端再次通過該minion的證書

[root@salt-master ~]# salt-key -a agent01.linux.com -y

agent01.linux.com

Key for minion agent01.linux.com accepted.

基本sls狀态檔案使用

1) 在/salt/master檔案中啟動base狀态目錄

[root@master salt]# vim /etc/salt/master 

file_roots:

  base:

    - /srv/salt

2) 定義狀态檔案 

[root@master salt]# mkdir /srv/salt/

[root@master salt]# cat /srv/salt/apache.sls  >>>定義狀态檔案 

apache-service:

  pkg.installed:

    - names:

      - httpd

      - mod_ssl

  service.running:

    - name: httpd

    - enable: True

[root@master salt]# cat /srv/salt/top.sls  >>>定義狀态檔案與Target的關系 

base: 

  '*':

    - apache

[root@master salt]# 

3) 執行狀态檔案 

[root@master salt]# salt '*' state.highstate

示例：無top.sls檔案時執行狀态檔案  

[root@salt-master salt]# cat /srv/salt/ftp.sls 

ftp-service:

    - name: vsftpd

[root@salt-master salt]# salt '*' state.sls ftp

本文轉自 北冥有大魚  51CTO部落格，原文連結：http://blog.51cto.com/lyw168/1957661，如需轉載請自行聯系原作者