共计 5447 个字符,预计需要花费 14 分钟才能阅读完成。
| 导读 | SaltStack 是基于 Python 开发的一套 C / S 架构配置管理工具(功能不仅仅是配置管理,如使用 salt-cloud 配置 AWS EC2 实例),它的底层使用 ZeroMQ 消息队列 pub/sub 方式通信,使用 SSL 证书签发的方式进行认证管理。号称世界上最快的消息队列 ZeroMQ 使得 SaltStack 能快速在成千上万台机器上进行各种操作。 |
而且采用 RSA Key 方式确认身份,传输采用 AES 加密,这使得它的安全性得到了保障。SaltStack 经常被描述为 Func 加强版 +Puppet 精简版。
目前市场上主流的开源自动化配置管理工具有 puppet、chef、ansible、saltstack 等等。到底选择那个比较好?可以从以下几方面考虑:
Puppet、Chef 基于 Ruby 开发,ansible、saltstack 基于 python 开发的
运维开发语言热衷于 python(后期可做二次开发),排除 Puppet、Chef
ansible 基于 ssh 协议传输数据,SaltStack 使用消息队列 zeroMQ 传输数据。从网上数据来看,SaltStack 比 ansible 快大约 40 倍。
对比 ansible,Saltstack 缺点是需要安装客户端。为了速度建议选择 SaltStack
SaltStack github 地址:https://github.com/saltstack/salt
SaltStack 官网文档地址:https://docs.saltstack.com
在 SaltsStack 架构中服务端叫作 Master,客户端叫作 Minion,都是以守护进程的模式运行,一直监听配置文件中定义的 ret_port(saltstack 客户端与服务端通信的端口,负责接收客户端发送过来的结果,默认 4506 端口)和 publish_port(saltstack 的消息发布系统,默认 4505 端口)的端口。当 Minion 运行时会自动连接到配置文件中定义的 Master 地址 ret_port 端口进行连接认证。
- Master:控制中心,salt 命令运行和资源状态管理
- Minion : 需要管理的客户端机器, 会主动去连接 Mater 端, 并从 Master 端得到资源状态
- 信息, 同步资源管理信息
- States:配置管理的指令集
- Modules:在命令行中和配置文件中使用的指令模块, 可以在命令行中运行
- Grains:minion 端的变量, 静态的
- Pillar:minion 端的变量, 动态的比较私密的变量, 可以通过配置文件实现同步 minions 定义
- highstate:为 minion 端下发永久添加状态, 从 sls 配置文件读取. 即同步状态配置
- salt_schedule:会自动保持客户端配置
默认以 CentOS6 为例,采用 yum 安装,还有其它安装方式,如 pip、源码、salt-bootstrap
rpm -ivh https://mirrors.tuna.tsinghua.edu.cn/epel/epel-release-latest-6.noarch.rpmyum -y install salt-master
service salt-master start注:需要 iptables 开启 master 端 4505、4506 端口
yum -y install salt-minion
sed -i 's@#manster:.*@manster: master_ipaddress@' /etc/salt/minion #master_ipaddress 为管理端 IP
echo 10.252.137.141 > /etc/salt/minion_id # 个人习惯使用 IP,默认主机名
service salt-minion start
minion 在第一次启动时,会在 /etc/salt/pki/minion/(该路径在 /etc/salt/minion 里面设置)下自动生成 minion.pem(private key)和 minion.pub(public key),然后将 minion.pub 发送给 master。master 在接收到 minion 的 public key 后,通过 salt-key 命令 accept minion public key,这样在 master 的 /etc/salt/pki/master/minions 下的将会存放以 minion id 命名的 public key,然后 master 就能对 minion 发送指令了。
认证命令如下:
[root@10.252.137.14 ~]# salt-key -L #查看当前证书签证情况
Accepted Keys:
Unaccepted Keys:
10.252.137.141
Rejected Keys:
[root@10.252.137.14 ~]# salt-key -A -y #同意签证所有没有接受的签证情况
The following keys are going to be accepted:
Unaccepted Keys:
10.252.137.141
Key for minion 10.252.137.141 accepted.
[root@10.252.137.14 ~]# salt-key -L
Accepted Keys:
10.252.137.141
Unaccepted Keys:
Rejected Keys:[root@10.252.137.14 ~]# salt '*' test.ping
10.252.137.141:
True
[root@10.252.137.14 ~]# salt '*' cmd.run 'ls -al'
10.252.137.141:
total 40
drwx------ 4 root root 4096 Sep 7 15:01 .
drwxr-xr-x 22 root root 4096 Sep 3 22:10 ..
-rw------- 1 root root 501 Sep 7 14:49 .bash_history
-rw-r--r-- 1 root root 3106 Feb 20 2014 .bashrc
drwx------ 2 root root 4096 Jan 30 2015 .cache
drwxr-xr-x 2 root root 4096 Apr 22 13:57 .pip
-rw-r--r-- 1 root root 140 Feb 20 2014 .profile
-rw-r--r-- 1 root root 64 Apr 22 13:57 .pydistutils.cfg
-rw------- 1 root root 4256 Sep 7 15:01 .viminfosalt 执行命令的格式如下:
salt '' [arguments]target:执行 salt 命令的目标,可以使用正则表达式
function:方法,由 module 提供
arguments:function 的参数
1. 正则表达式
salt -E 'Minion*' test.ping #主机名以 Minion 开通2. 列表匹配
salt -L Minion,Minion1 test.ping3. Grians 匹配
salt -G 'os:CentOS' test.pingos:CentOS(默认存在)是 Grains 的键值对,数据以 yaml 保存在 minion 上,可在 minion 端直接编辑 /etc/salt/grains,yaml 格式。或者在 master 端执行 salt ‘*’ grains.setval key “{‘sub-key’: ‘val’, ‘sub-key2’: ‘val2’}” , 具体文档(命令 salt * sys.doc grains 查看文档)
4. 组匹配
salt -N groups test.ping如,在 master 新建 /etc/salt/master.d/nodegroups.conf,yaml 格式
5. 复合匹配
salt -C 'G@os:CentOS or L@Minion' test.ping6. Pillar 值匹配
salt -I 'key:value' test.ping/etc/salt/master 设置 pillar_roots, 数据以 yaml 保存在 Master 上
7. CIDR 匹配
salt -S '10.252.137.0/24' test.ping10.252.137.0/24 是一个指定的 CIDR 网段
通过下面命令可以查看所有的 function:
salt ‘10.252.137.141’ sys.doc cmd
function 可以接受参数:
salt '10.252.137.141' cmd.run 'uname -a'并且支持关键字参数:
在所有 minion 上切换到 / 目录以 salt 用户运行 uname - a 命令。salt '10.252.137.141' cmd.run 'uname -a' cwd=/ user=saltsalt states 的核心是 sls 文件,该文件使用 YAML 语法定义了一些 k / v 的数据。
sls 文件存放根路径在 master 配置文件中定义,默认为 /srv/salt, 该目录在操作系统上不存在,需要手动创建。
在 salt 中可以通过 salt:// 代替根路径,例如你可以通过 salt://top.sls 访问 /srv/salt/top.sls。
在 states 中 top 文件也由 master 配置文件定义,默认为 top.sls,该文件为 states 的入口文件。
一个简单的 sls 文件如下:
apache:
pkg.installed
service.running
- require:
- pkg: apache说明:此 SLS 数据确保叫做 ”apache” 的软件包 (package) 已经安装, 并且 ”apache” 服务 (service) 正在运行中。
- 第一行,被称为 ID 说明(ID Declaration)。ID 说明表明可以操控的名字。
- 第二行和第四行是 State 说明(State Declaration),它们分别使用了 pkg 和 service states。pkg state 通过系统的包管理其管理关键包,service state 管理系统服务(daemon)。在 pkg 及 service 列下边是运行的方法。方法定义包和服务应该怎么做。此处是软件包应该被安装,服务应该处于运行中。
- 第六行使用 require。本方法称为”必须指令”(Requisite Statement),表明只有当 apache 软件包安装成功时,apache 服务才启动起来。
state 和方法可以通过点连起来,上面 sls 文件和下面文件意思相同。
apache:
pkg.installed
service.running
- require:
- pkg: apache将上面 sls 保存为 init.sls 并放置在 sal://apache 目录下,结果如下:
/srv/salt
├── apache
│ └── init.sls
└── top.slstop.sls 如何定义呢?
master 配置文件中定义了三种环境,每种环境都可以定义多个目录,但是要避免冲突,分别如下:
# file_roots:
# base:
# - /srv/salt/
# dev:
# - /srv/salt/dev/services
# - /srv/salt/dev/states
# prod:
# - /srv/salt/prod/services
# - /srv/salt/prod/statestop.sls 可以这样定义:
base:
'*':
- apache说明:
第一行,声明使用 base 环境
第二行,定义 target,这里是匹配所有
第三行,声明使用哪些 states 目录,salt 会寻找每个目录下的 init.sls 文件。
一旦创建完 states 并修改完 top.sls 之后,你可以在 master 上执行下面命令:
[root@10.252.137.14 ~]# salt '*' state.highstate
sk2:
----------
State: - pkg
Name: httpd
Function: installed
Result: True
Comment: The following packages were installed/updated: httpd.
Changes:
----------
httpd:
----------
new:
2.2.15-29.el6.centos
old:
----------
State: - service
Name: httpd
Function: running
Result: True
Comment: Service httpd has been enabled, and is running
Changes:
----------
httpd:
True
Summary
------------
Succeeded: 2
Failed: 0
------------
Total: 2上面命令会触发所有 minion 从 master 下载 top.sls 文件以及其中定一个的 states,然后编译、执行。执行完之后,minion 会将执行结果的摘要信息汇报给 master。
