Saltstack-安装和简单部署

共计 2312 个字符，预计需要花费 6 分钟才能阅读完成。

SaltSack 是什么？

Saltstack 是一个服务器基础架构集中化管理平台，具备配置管理、远程执行、监控等功能，一般可以理解成简化版的基于 puppet 和加强版的 func。SaltStack 基于 Python 语言实现，结合轻量级消息队列（ZeroMQ）与 python 第三方模块（Pyzmq、PyCrypto、pyjinja2、python-msgpack 和 PyYAML 等）构建。

Saltstack 具有以下特点：
部署简单、方便
支持大部分 UNIX/Linux 及 Windows 环境
主从集中化管理
配置简单、功能强大、扩展性强
主控端（Master）和被控制端（minion）基于证书认证，安全可靠
支持 API 及自定义模块，可通过 Python 轻松扩展

Saltstack 安装：

主控端 IP：192.168.1.10

被控端 IP：192.168.1.20

主控端安装：

yum -y install salt-master

开启服务和开机启动：

service salt-master start

chkconfig salt-master on

被控端：

yum -y install salt-minion

开启服务和开机启动：

service salt-minion start

chkconfig salt-minion on

监听端口, 默认 master 开启 4505，4506 端口

4505(publish_port):salt 的消息发布系统

4506(ret_port):salt 客户端与服务端通信的端口

要保证这 2 个端口能通信正常，如果开启 iptables 需要再主控端添加以下 2 条规则

iptables -A INPUT -m state –state new -m tcp-p tcp–dport4505 -j ACCEPT

iptables -A INPUT -m state –state new -m tcp-p tcp–dport4506 -j ACCEPT

master 主控端配置【/etc/salt/master】：

interface: 192.168.1.20 #绑定 Mster 通信 IP（注意冒号后面必须加一空格）

auto_accept: Ture  #自动认证，避免手动运行 salt-key 来确认证书信任（注意冒号后面必须加一空格）

file_roots:    #指定 Saltstack 文件根目录位置

base:

– /srv/salt

重启生效：

service salt-master restart

minion 被控端配置【/etc/salt/minion】：

master: 192.168.1.10    #指定 master 主机 IP 地址（注意冒号后面必须加一空格）

id: 781915e2    #修改被控端主机识别 id，建议使用操作系统主机名配置（注意冒号后面必须加一空格）

重启生效：

service salt-minion restart

认证有手动和自动 2 种：

1. 手动认证

格式：salt-key 参数 [minion 端 ID(可以是 IP，也可以是主机名) [-y]

-L 列出当前所有认证，包括 Accepted Keys、Denied Keys、Unaccepted Keys、Rejected Keys

-a 添加某个或某些个未接受 (Unaccepted Keys) 认证

-A 添加所有未接受 (Unaccepted Keys) 认证

-d 删除某个或某些个已接受 (Accepted Keys) 认证

-D 删除所有已接受 (Accepted Keys) 认证

-y 使用该参数可免去证书操作的交互，除非对 minion 端很信任，一般不建议使用

-h 帮助

master 端操作：

salt-key -a 781915e2

The following keys are going to be accepted:

Unaccepted Keys:

781915e2

Proceed? [n/Y] y

Key for minion 781915e2 accepted.

salt-key -L

Accepted Keys:  #(接受认证的 key）

781915e2

Denied Keys:

Unaccepted Keys:    #(没有接受认证的 key）

Rejected Keys:

2. 自动认证

在 master 端，/etc/salt/master 取消注释：

auto_accept: True  #设置为自动接受

认证过程:

Master 与 Minion 认证

1.minion 在第一次启动时，会在 /etc/salt/pki/minion/（该路径在 /etc/salt/minion 里面

设置）下自动生成 minion.pem(private key)和 minion.pub(public key)，然后将 minion.pub

发送给 master。

2.master 在接收到 minion 的 public key 后，通过 salt-key 命令 accept minion public key，

这样在 master 的 /etc/salt/pki/master/minions 下的将会存放以 minion id 命名的 public

key, 然后 master 就能对 minion 发送指令了。

Master 与 Minion 的连接

Saltstack master 启动后默认监听 4505 和 4506 两个端口。4505(publish_port)为 salt 的

消息发布系统，4506(ret_port)为 salt 客户端与服务端通信的端口。如果使用 lsof 查看

4505 端口，会发现所有的 Minion 在 4505 端口持续保持在 ESTABLISHED

检查是否运行正常（如下说明正常）：

salt ‘789880e2’ test.ping

781915e2

True

本文永久更新链接地址：http://www.linuxidc.com/Linux/2017-06/145221.htm