運維自動化之Saltstack使用詳解
概要
saltstack是基於Python開發的C/S架構的一款批量管理工具,底層采用動態的連接總線(ZeroMQ消息隊列pub/sub方式通信),使用ssl證書簽發的方式進行認證管理,使其可以用於編配, 遠程執行, 配置管理等等。部署輕松,在幾分鐘內可運行起來,擴展性好,很容易管理上萬臺服務器,速度夠快,服務器之間秒級通訊。號稱世界上最快的消息隊列ZeroMQ使得saltstack非常快速的管理大量服務器,采用RSA Key方式確認身份,傳輸采用AES加密,安全性也非常有保障。
Saltstack使用Python開發,是一個非常簡單易用和輕量級的管理工具。由Master和Minion構成,通過ZeroMQ進行通信。
SaltStack基於Python語言實現,結合輕量級消息隊列(ZeroMQ)與Python第三方模塊(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)構建。有如下特性:
(1)、部署簡單、方便;
(2)、支持大部分UNIX/Linux及Windows環境;
(3)、主從集中化管理;
(4)、配置簡單、功能強大、擴展性強;
(5)、主控端(master)和被控端(minion)基於證書認證,安全可靠;
(6)、支持API及自定義模塊,可通過Python輕松擴展。
Saltstack的master端監聽4505與4506端口,4505為salt的消息發布系統,4506為salt客戶端與服務端通信的端口;salt客戶端程序不監聽端口,客戶端啟動後,會主動連接master端註冊,然後一直保持該TCP連接,master通過這條TCP連接對客戶端控制,如果連接斷開,master對客戶端就無能為力了。當然,客戶端若檢查到斷開後會定期的一直連接master端的。
核心功能
1、使命令發送到遠程系統是並行的而不是串行的
2、使用安全加密的協議
3、使用最小最快的網絡載荷
4、提供簡單的編程接口
架構
saltstack是基於C/S服務模式,在該架構中,服務器端叫做Master,客戶端叫做Minion。傳統的C/S模式我們這樣理解,客戶端發送請求給服務器端,服務器端接受到來自客戶端的請求並處理完成後再返回客戶端。 在saltstack架構中,不僅有傳統的C/S服務模式,而且有消息隊列中的發布與訂閱(pub/sub)服務模式。目前我們一般用其C/S架構做批量管理。
1) Master:控制中心,salt命令運行和資源狀態管理
2) Minion : 需要管理的客戶端機器,會主動去連接Mater端,並從Master端得到資源狀態
3) 信息,同步資源管理信息
4) States:配置管理的指令集
5) Modules:在命令行中和配置文件中使用的指令模塊,可以在命令行中運行
6) Grains:minion端的變量,靜態的
7) Pillar:minion端的變量,動態的比較私密的變量,可以通過配置文件實現同步minions定義
8) highstate:為minion端下發永久添加狀態,從sls配置文件讀取.即同步狀態配置
9) salt_schedule:會自動保持客戶端配置
Saltstack安裝
安裝方式有四種,下面通過一個案例簡單介紹在CentOS6.8上進行SaltStack部署。
(1) yum方式安裝(采用saltstack源)推薦這種方式,簡單粗暴。註意沒有配置saltstack源的,請先配置saltstack源。
Version 7:
rpm --importhttps://repo.saltstack.com/yum/redhat/7/x86_64/latest/SALTSTACK-GPG-KEY.pub
Version 6:
rpm --import https://repo.saltstack.com/yum/redhat/6/x86_64/latest/SALTSTACK-GPG-KEY.pub
Save the following file to /etc/yum.repos.d/saltstack.repo:
Version 7 and 6:
[saltstack-repo]
name=SaltStack repo for RHEL/CentOS $releasever
baseurl=https://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest
enabled=1
gpgcheck=1
gpgkey=https://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest/SALTSTACK-GPG-KEY.pub
安裝好saltstack源後,用yum 命令來檢查是否添加到源列表。
yum repolist
Master端安裝:
yum -y install salt-master
Minon端安裝:
yum -y install salt-minion
配置並啟動Saltstack
Salt 的配置非常簡單。默認的 master 配置就可以在大多數情況下運行。僅僅需要更改的是 minion ,在 minion 配置文件中設置 master 的地址。
The configuration fileswill be installed to /etc/salt and are named after the respective components,/etc/salt/master, and /etc/salt/minion.
MASTER配置
默認Salt master監聽所有網卡接口(0.0.0.0)的4505和4506端口. 如果需要指定監聽IP, 通過 /etc/salt/master配置文件中的"interface"指令進行如下修改:
- #interface: 0.0.0.0
+ interface: 10.0.0.1 #此處是server端監聽的地址。
auto_accept: True #此處是自動接受客戶端發送過來的key,如果服務器很多的話,需要開啟該功能。
MINION配置
盡管Salt Minion有許多配置選項,但配置Minion還是非常簡單的. 默認的配置Minion會嘗試連接DNS名為"salt"的master,如果minion解析到的地址正確,就無需再做配置.
如果DNS名為"salt"並不能解析到本地正確的Master地址,需要通過如下方法修改 /etc/salt/minion 配置文件中的"master"指令:
- #master: salt
+ master: 10.0.0.1 #這裏改成你的master服務器地址
id: web01 #建議這裏修改成主機名,便於master端分辨
#在配置文件末尾加入下面內容,每隔5分鐘自動同步master配置,效果等同於在客戶端執行salt-call state.highstate或在server端執行 salt ‘*‘state.highstate
schedule:
highstate:
function: state.highstate
minutes: 5
更新完配置後,需要重啟Salt minion以使配置生效.
運行Saltstack
1. 前臺啟動master(如果要以daemon方式啟動,請指定 -d參數<salt-master -d>): salt-master
2. 前臺啟動minion(如果要以daemon方式啟動,請指定 -d參數<salt-minion -d>): salt-minion
運行有問題?
排除 Salt 故障最簡單的方法是在前臺運行 master 和 minion,同時把 log level 設為``debug``
salt-master --log-level=debug
以普通(非root)用戶運行:
想要使用其他用戶身份運行Salt,參見:conf_master:`user`參數在master配置文件中。
Additionally, ownership, and permissions need to be set suchthat the desired user can read from and write to the following directories (andtheir subdirectories, where applicable):
/etc/salt
/var/cache/salt
/var/log/salt
/var/run/salt
更多關於如何使用非特權用戶運行salt的信息可以在 這裏 找到。
salt-key證書管理:
master端證書存放路徑:/etc/salt/pki/master/minions
註意:如果細心的話,你會發現小寫字母針對的單一對象,大寫都是針對全體。比如 -l顯示單一key,-L顯示所有key;-a 接受指定key,而-A 就是接受所有key。
saltstack認證原理:
1)、minion在第一次啟動時,會在/etc/salt/pki/minion/(該路徑在/etc/salt/minion裏面設置)下自動生成minion.pem(private key)和 minion.pub(public key),然後將 minion.pub發送給master。
2)、master在接收到minion的publickey後,通過salt-key命令accept minion public key,這樣在master的/etc/salt/pki/master/minions下的將會存放以minion id命名的 public key,然後master就能對minion發送指令了。
salt-key -L #查詢所有接收到的證書 salt-key -a <證書名> #接收單個證書 salt-key -A #接受所有證書 salt-key -d <證書名> #刪除單個證書 salt-key -D #刪除所有證書 |
Salt在Master和Minion之間的通訊采用AES加密. 這就確保了發送給minions的命令不會被篡改, Master和Minion之間的通訊認證通過信任的已接受的key進行管理.
在發送給Minion之前,需要確保minion的key已經被Master所接受. 運行 ``salt-key``命令將列出Salt Master已知的所有keys.
[[email protected] ~]# salt-key -L
Unaccepted Keys:
alpha
bravo
charlie
delta
Accepted Keys:
[[email protected] ~]# salt-key –A -y
[[email protected] ~]# salt-key -L
Unaccepted Keys:
Accepted Keys:
alpha
bravo
charlie
delta
發送test.ping指令
[[email protected] ~]# salt ‘*‘ test.ping
moban2:
True
moban1:
True
限於篇幅太長,請大家移步這裏進行下載查看,謝謝!
下載地址:http://down.51cto.com/data/2306388
本文出自 “雲計算與大數據” 博客,請務必保留此出處http://linuxzkq.blog.51cto.com/9379412/1925299
運維自動化之Saltstack使用詳解