運維自動化之Saltstack使用詳解

概要

saltstack是基于Python開發的C/S架構的一款批量管理工具，底層采用動態的連接總線（ZeroMQ消息隊列pub/sub方式通信），使用ssl證書簽發的方式進行認證管理，使其可以用于編配, 遠程執行, 配置管理等等。部署輕松，在幾分鐘內可運行起來，擴展性好，很容易管理上萬臺服務器，速度夠快，服務器之間秒級通訊。號稱世界上最快的消息隊列ZeroMQ使得saltstack非常快速的管理大量服務器，采用RSA Key方式確認身份，傳輸采用AES加密，安全性也非常有保障。

Saltstack使用Python開發，是一個非常簡單易用和輕量級的管理工具。由Master和Minion構成，通過ZeroMQ進行通信。

SaltStack基于Python語言實現，結合輕量級消息隊列（ZeroMQ）與Python第三方模塊（Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等）構建。有如下特性：

(1)、部署簡單、方便；

(2)、支持大部分UNIX/Linux及Windows環境；

(3)、主從集中化管理；

(4)、配置簡單、功能強大、擴展性強；

(5)、主控端（master）和被控端（minion）基于證書認證，安全可靠；

(6)、支持API及自定義模塊，可通過Python輕松擴展。

Saltstack的master端監聽4505與4506端口，4505為salt的消息發布系統，4506為salt客戶端與服務端通信的端口；salt客戶端程序不監聽端口，客戶端啟動后，會主動連接master端注冊，然后一直保持該TCP連接，master通過這條TCP連接對客戶端控制，如果連接斷開，master對客戶端就無能為力了。當然，客戶端若檢查到斷開后會定期的一直連接master端的。

核心功能

1、使命令發送到遠程系統是并行的而不是串行的

2、使用安全加密的協議

3、使用最小最快的網絡載荷

4、提供簡單的編程接口

架構
   saltstack是基于C/S服務模式，在該架構中，服務器端叫做Master，客戶端叫做Minion。傳統的C/S模式我們這樣理解，客戶端發送請求給服務器端，服務器端接受到來自客戶端的請求并處理完成后再返回客戶端。 在saltstack架構中，不僅有傳統的C/S服務模式，而且有消息隊列中的發布與訂閱（pub/sub）服務模式。目前我們一般用其C/S架構做批量管理。

1)  Master：控制中心,salt命令運行和資源狀態管理

2)  Minion : 需要管理的客戶端機器,會主動去連接Mater端,并從Master端得到資源狀態

3)  信息,同步資源管理信息

4)  States：配置管理的指令集

5)  Modules：在命令行中和配置文件中使用的指令模塊,可以在命令行中運行

6)  Grains：minion端的變量,靜態的

7)  Pillar：minion端的變量,動態的比較私密的變量,可以通過配置文件實現同步minions定義

8)  highstate：為minion端下發永久添加狀態,從sls配置文件讀取.即同步狀態配置

9)  salt_schedule：會自動保持客戶端配置

Saltstack安裝

安裝方式有四種，下面通過一個案例簡單介紹在CentOS6.8上進行SaltStack部署。

（1） yum方式安裝（采用saltstack源）推薦這種方式，簡單粗暴。注意沒有配置saltstack源的，請先配置saltstack源。

Version 7:

rpm --importhttps://repo.saltstack.com/yum/redhat/7/x86_64/latest/SALTSTACK-GPG-KEY.pub

Version 6:

rpm --import https://repo.saltstack.com/yum/redhat/6/x86_64/latest/SALTSTACK-GPG-KEY.pub

Save the following file to /etc/yum.repos.d/saltstack.repo:

Version 7 and 6:

[saltstack-repo]

name=SaltStack repo for RHEL/CentOS $releasever

baseurl=https://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest

enabled=1

gpgcheck=1

gpgkey=https://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest/SALTSTACK-GPG-KEY.pub

安裝好saltstack源后，用yum 命令來檢查是否添加到源列表。

yum repolist 
Master端安裝：

yum -y install salt-master

Minon端安裝：

yum -y install salt-minion

配置并啟動Saltstack

  Salt 的配置非常簡單。默認的 master 配置就可以在大多數情況下運行。僅僅需要更改的是 minion ，在 minion 配置文件中設置 master 的地址。

The configuration fileswill be installed to /etc/salt and are named after the respective components,/etc/salt/master, and /etc/salt/minion.

MASTER配置

默認Salt master監聽所有網卡接口(0.0.0.0)的4505和4506端口. 如果需要指定監聽IP, 通過 /etc/salt/master配置文件中的"interface"指令進行如下修改:

- #interface: 0.0.0.0

+ interface: 10.0.0.1 #此處是server端監聽的地址。

auto_accept: True #此處是自動接受客戶端發送過來的key，如果服務器很多的話，需要開啟該功能。

MINION配置

盡管Salt Minion有許多配置選項，但配置Minion還是非常簡單的. 默認的配置Minion會嘗試連接DNS名為"salt"的master，如果minion解析到的地址正確，就無需再做配置.

如果DNS名為"salt"并不能解析到本地正確的Master地址，需要通過如下方法修改 /etc/salt/minion 配置文件中的"master"指令:

- #master: salt

+ master: 10.0.0.1 #這里改成你的master服務器地址

id: web01 #建議這里修改成主機名，便于master端分辨

  #在配置文件末尾加入下面內容，每隔5分鐘自動同步master配置，效果等同于在客戶端執行salt-call state.highstate或在server端執行 salt '*'state.highstate

schedule:

  highstate:

    function: state.highstate

    minutes: 5

更新完配置后，需要重啟Salt minion以使配置生效. 

運行Saltstack

1. 前臺啟動master(如果要以daemon方式啟動，請指定 -d參數<salt-master -d>):
salt-master

2. 前臺啟動minion(如果要以daemon方式啟動，請指定 -d參數<salt-minion -d>):
salt-minion

運行有問題?

排除 Salt 故障最簡單的方法是在前臺運行 master 和 minion，同時把 log level 設為``debug``

salt-master --log-level=debug

以普通(非root)用戶運行:

想要使用其他用戶身份運行Salt，參見:conf_master:`user`參數在master配置文件中。

Additionally, ownership, and permissions need to be set suchthat the desired user can read from and write to the following directories (andtheir subdirectories, where applicable):

• /etc/salt

• /var/cache/salt

• /var/log/salt

• /var/run/salt

更多關于如何使用非特權用戶運行salt的信息可以在 這里 找到。

salt-key證書管理:

master端證書存放路徑：/etc/salt/pki/master/minions

   注意：如果細心的話，你會發現小寫字母針對的單一對象，大寫都是針對全體。比如 -l顯示單一key，-L顯示所有key；-a 接受指定key，而-A 就是接受所有key。

saltstack認證原理：

1)、minion在第一次啟動時，會在/etc/salt/pki/minion/（該路徑在/etc/salt/minion里面設置）下自動生成minion.pem（private key）和 minion.pub（public key），然后將 minion.pub發送給master。

2)、master在接收到minion的publickey后，通過salt-key命令accept minion public key，這樣在master的/etc/salt/pki/master/minions下的將會存放以minion id命名的 public key，然后master就能對minion發送指令了。

Salt在Master和Minion之間的通訊采用AES加密. 這就確保了發送給minions的命令不會被篡改， Master和Minion之間的通訊認證通過信任的已接受的key進行管理.

在發送給Minion之前，需要確保minion的key已經被Master所接受. 運行 ``salt-key``命令將列出Salt Master已知的所有keys.

[root@master ~]# salt-key -L

Unaccepted Keys:

alpha

bravo

charlie

delta

Accepted Keys:

[root@master ~]# salt-key –A -y

[root@master ~]# salt-key -L

Unaccepted Keys:

Accepted Keys:

alpha

bravo

charlie

delta

發送test.ping指令

[root@moban ~]# salt '*' test.ping

moban2:

    True

moban1:

    True

限于篇幅太長，請大家移步這里進行下載查看，謝謝！

下載地址：http://down.51cto.com/data/2306388