Saltstack安装及入门

2021-07-26 14:15:56 浏览数 (1)

点击架构师成长之路

架构师成长之路-Saltstack安装及入门 

(安装、配置、启动)

配置管理工具:

  • Pupper:1. 采用ruby编程语言;2. 安装环境相对较复杂;3.不支持远程执行,需要FUNC工具配置才可以
  • Ansible:1.采用python编程语言;2.被红帽收购;3.轻量级;4.基于模块工作的,本身没有批量部署的能力,真正批量部署的是ansible所运行的模块。
  • Saltstack:采用python编程语言,同时提供Rest API方便二次开发以及和其它平台进行集成(目前企业使用率最高)

Saltstack最基本的三大功能:

  • Remote execution远程执行:同时在上百上千台机器批量执行命令
  • Configuration management配置管理:状态管理(一种状态描述,但是这种状态很难回滚)
  • Event-Driven infrastucture事件驱动基础设施:监听对象,状态变化产生事件捕捉事件自动编排,故障自愈
  • Salt cloud 云管理:几乎可以管理所有的公有云和私有云

Saltstack常用的网址:

  • 官方网站:http://www.saltstack.com
  • 官方文档:http://docs.saltstack.com
  • Github:https://github.com/saltstack
  • 中国Saltstack用户组:http://www.saltstack.cn

Saltstack组件:

  • Salt Master组件:用于向在Salt Minion设备上运行的Salt管理器发送命令和配置。
  • Salt Minion组件:管理系统。此系统运行Salt minion,它从Salt master接收命令和配置。
  • Execution Modules组件:从命令行对一个或多个受管系统执行的特殊命令。用于:实时监控、状态和库存;一次性命令和脚本;部署关键更新。
  • Formulas(status)组件:系统配置的声明性或命令式表示。
  • Grains组件:系统变量。Grain是关于底层托管系统的静态信息,包括操作系统、内存和许多其他系统属性。您还可以为任何系统定义自定义Grain。
  • Pillar组件:用户定义的变量。这些安全变量定义并存储在Salt Master上,然后使用目标“分配”给一个或多个Salt Minion。Salt Pillar数据存储端口、文件路径、配置参数和密码等值。
  • Top File组件:将公式和Salt Pillar数据与Salt Minion匹配。
  • Runners组件:在Salt Master执行以执行支持任务的模块。Salt runner报告作业状态、连接状态、从外部api读取数据、查询连接的Salt minions等等。
  • Returners组件:将Salt minions返回的数据发送到另一个系统,如数据库。Salt Returners可以运行在Salt minions或Salt Master上。
  • Reactor组件:在你的Saltstack环境中发生事件时触发反应。
  • Salt Cloud / Salt Virt组件:在云提供商/管理程序上提供系统,并立即对其进行管理。
  • Salt SSH组件: 在没有Salt minion的系统上通过SSH运行Salt命令。

Saltstack支持的操作系统:

  • Centos
  • Redhat
  • Debian
  • Ubuntu
  • FreeBSD
  • Solaris
  • Fedora
  • Gentoo
  • MAC OS X
  • Archlinux
  • Windows
  • Suse

Saltstack四种运行方式:

  • local:一台本地自运行
  • Minion/Master: 就是C/S模式
  • Syndic 代理组件管理(可以理解成zabbix proxy模式)
  • Salt SSH: 不用安装agent,也能通过SSH收集信息

1. Saltstack的安装

配置两台设备:

  • 一台安装命名为Saltstack01(172.18.20.226):安装salt-master和salt-minion; yum install -y salt-master salt-minion
  • 一台命名为Saltack02(172.18.20.227)只安装salt-minion。 yum install -y salt-minion

Saltstack提供自己官方repo仓库 请点击 ,里面存在各个系统版本安装步骤

yum install https://repo.saltstack.com/yum/redhat/salt-repo-latest.el7.noarch.rpm

建议安装一个本地仓库,我才用的aliyun,如下:

关闭Saltstack01和Saltstack02防火墙:

systemctl stop firewalld.service    #临时关闭firewall

systemctl disable firewalld.service #禁止firewall开机启动

2. Saltstack的配置

2.1  启动Saltstack01的salt-master

1

systemctl start salt-master  #先启用salt-master

Saltstack01的目录

Saltstack02的目录

2.2 配置Saltstack01和Saltstack02的minion配置文件, 并启动salt-minion

cd /etc/salt

vi minion # minion配置文件(多一个空格都能报错,配置master的ip地址或域名,前提要有DNS)

注意:

        配置文件采用YAML语言,切记不要使用TAB键。

默认配置master就可以,还有一个ID选项:如果不设置Id的话,默认获取到主机名:socket.getfqdn()。

1

systemctl start salt-minion

没有设置id的时候,查看一下minion_id默认就是FQDN名,就是Saltstack02。

minion_id 值的生成过程:

minion 默认按照如下顺序,试图在找到一个不是localhost的值作为ID: 

Python函数socket.getfqdn() 获取的值;

/etc/hostname 定义的值(仅限于非Windows系统);

/etc/hosts (%WINDIR%system32driversetchostson Windows hosts) 中定义的任何映射 127.0.0.0/8 的主机名做ID值

如果以上都能够产生一个ID, 并且不是localhost,then a sorted list of IP addresses on the minion (excluding any within 127.0.0.0/8) is inspected. The first publicly-routable IP address is used, if there is one.Otherwise, the first privately-routable IP address is used.如果一切都失败了,那么则使用localhost作为备用,最终获取的ID将记录在/etc/salt/minion_id文件中,该文件可以手动更改,重启服务后不会被重新覆盖。

注意:如果minion端主配置文件 /etc/salt/minion 中启用了 id: xxxx , 那么这个ID值将覆盖 /etc/salt/minion_id 中记录的ID数值.

此时Saltstack01的目录

此时Saltstack02的目录(启动minion之后就有了pki目录,并生成两个公钥和私钥文件)

2.3  Salt minion和Salt master如何通信???

通信之前需要认证,采用公钥和私钥。

  • 未配置minion的时候:Saltack02的pk/minion下面没有任何目录。
  • 配置完minion的时候:Saltack02的pk/minion下面会多出两个文件minion.pem私钥和minion.pub公钥。
  • Saltack02的公钥会发给Saltack01(Master),Saltack01(Master)收到以后放置在pki/master/minons_pre。命名方式是通过ID命名的,如果改过ID这个位置也要更改。

salt-key 常用参数:

  • -L # 列出所有未被接受的公钥
  • -a # 接受(Accept)指定的主机公钥,后面接主机名
  • -r # 拒绝(Reject)指定的主机公钥,后面接主机名
  • -d # 拒绝(Deny)指定的主机公钥,后面接主机名
  • -A # 接受(Accept)所有的主机公钥
  • -R # 拒绝(Reject)所有的主机公钥
  • -D # 拒绝(Deny)所有的主机公钥
  • -y # 我们在接受主机公钥时需要按y确认,加上该参数可以省略交互

Accepted Keys 表示已经接受的公钥

Denied Keys 表示已经拒绝的公钥

Unaccepted Keys 表示还没有被接受的公钥

Rejected Keys 表示已经被拒绝的公钥

其中:Deny 是直接把包丢掉,不会有任何回应,相对粗暴点,而 Reject 则是会通知对方你的包被我拒绝了

 总结:

当初始化安装 minion 启动服务启动后:

minion端生成一个秘钥对,并产生一个ID值,minion服务会安装ID值命名的公钥发送给 master ,直到接受为止;

master认证完毕后,会将minion 端发送来的,以ID值命名的公钥存放在 /etc/salt/pki/master/minions_pre 目录中(无ID值默认就是FQDN名);

master认证完毕后,会将自身的公钥发送给 minion,并存储为 /etc/salt/pki/minion/minion_master.pub。  

扩展:

master 秘钥对默认存储在/etc/salt/pki/master/master.pub  /etc/salt/pki/master/master.pem

master 端认证的公钥存储在:/etc/salt/pki/master/minions/

minion 秘钥对默认存储在/etc/salt/pki/minion/minion.pub  /etc/salt/pki/minion/minion.pem

minion 存放的master公钥/etc/salt/pki/minion/minion_master.pub

minion_id 默认存储在/etc/salt/minion_id

master会将master的公钥发给minior,此时miniors的目录:

master开始可以管理miniors,此时master的目录(会将pki/master/minons_pre下的目录转移到pki/master/minons下):

此时master已经可以和miniors通信,测试一下

salt'*'test.ping  #

salt ‘*’ test.ping涉及的组件比较多,包括Master Req Server,Master Publisher,Minion,Master EventPubliser等,现在概要地介绍下整个实现流程:

在salt-master机器执行salt ‘*’ test.ping命令;

salt向Master Req Server发送带publish命令的消息;

Master Req Server收到消息后向publish_pull.ipc push消息;

Master Publisher向Minion Publish消息;

Minion收到消息后启动一个新进程来执行消息中fun指定的函数;

函数执行完成后,返回结果给Master Req Server;

Master Req Server把结果push给Master EventPublisher;

这时因为salt客户端订阅了Master EventPublisher,将收到返回结果,之后直接输出到终端。整个流程结束。

master有端口4505和4506,minior无端口:

lsof -n -i:4505  #检查所有和端口4505有关的连接

lsof -n -i:4506  #检查所有和端口4506有关的连接

......

0 人点赞