SaltStack是基于Python开发的一套C/S架构配置管理工具(功能不仅仅是配置管理,如使用salt-cloud配置AWS EC2实例),它的底层使用ZeroMQ消息队列pub/sub方式通信,使用SSL证书签发的方式进行认证管理。采用号称世界上最快的消息队列ZeroMQ使得SaltStack能快速在成千上万台机器上进行各种操作,而且采用RSA Key方式确认身份,传输采用AES加密,这使得它的安全性得到了保障。
SaltStack经常被描述为Func加强版+Puppet精简版。
市场上主流的开源自动化配置管理工具有puppet、chef、ansible、saltstack等等。到底选择那个比较好?可以从以下几方面考虑:
语言的选择(puppet/chef vs ansible/saltstack)
Puppet、Chef基于Ruby开发,ansible、saltstack基于python开发的
运维开发语言热衷于python(后期可做二次开发),排除Puppet、Chef
速度的选择 (ansible vs saltstack)
ansible基于ssh协议传输数据,SaltStack使用消息队列zeroMQ传输数据。从网上数据来看,SaltStack比ansible快大约40倍。
对比ansible,Saltstack缺点是需要安装客户端。为了速度建议选择SaltStack
SaltStack github地址:https://github.com/saltstack/salt
SaltStack官网文档地址:https://docs.saltstack.com
在SaltsStack架构中服务端叫作Master,客户端叫作Minion,都是以守护进程的模式运行,一直监听配置文件中定义的ret_port(saltstack客户端与服务端通信的端口,负责接收客户端发送过来的结果,默认4506端口)和publish_port(saltstack的消息发布系统,默认4505端口)的端口。当Minion运行时会自动连接到配置文件中定义的Master地址ret_port端口进行连接认证。
Master:控制中心,salt命令运行和资源状态管理
Minion?:?需要管理的客户端机器,会主动去连接Mater端,并从Master端得到资源状态信息,同步资源管理信息
States:配置管理的指令集
Modules:在命令行中和配置文件中使用的指令模块,可以在命令行中运行
Grains:minion端的变量,静态的
Pillar:minion端的变量,动态的比较私密的变量,可以通过配置文件实现同步minions定义
highstate:为minion端下发永久添加状态,从sls配置文件读取.即同步状态配置
salt_schedule:会自动保持客户端配置?
1)安装部署
建议从官网下载安装包,配置saltstack的yum源,可以离线安装部署
服务端
yum install -y salt-master.noarch
客户端
yum install -y salt-minion.noarch
saltstack官方提供了各种版本系统安装方法(地址:http://repo.saltstack.com/#rhel)
2)服务启动和客户端配置
[root@master ~]#systemctl enable salt-master
[root@master ~]#systemctl start salt-master
客户端上:
[root@client ~]# sed -i "s/#master: salt/master: masterip/g" /etc/salt/minion
[root@client ~]# sed -i "s/#id:/id: clientip/g" /etc/salt/minion
[root@client ~]#systemctl enable salt-minion
[root@client ~]#systemctl start salt-minion
?
minion在第一次启动时,会在/etc/salt/pki/minion/下自动生成minion.pem(private key)和 minion.pub(public key),然后将 minion.pub发送给master。master在接收到minion的public key后,通过salt-key命令accept minion public key,这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key,然后master就能对minion发送指令了。
认证命令如下:
[root@master ~]# salt-key –L ????#查看当前证书签证情况
Accepted?Keys:
Unaccepted?Keys:
192.168.1.1
Rejected?Keys:
[root@master ~]#
salt-key –a 接受某个客户端请求
salt-key –A 接受所有客户端请求
salt-key –d 删除单个客户端
salt-key –D 删除所有客户端
salt执行命令的格式如下:
salt?'<target>'?<function>?[arguments]
target:执行salt命令的目标,可以使用正则表达式
function:方法,由module提供
arguments:function的参数
target可以是以下内容:
1)?正则表达式
salt?-E?'Minion*'?test.ping??#主机名以Minion开通
2) 列表匹配
salt?-L?Minion,Minion1?test.ping
3)?Grians匹配
salt?-G?'os:CentOS'?test.ping
os:CentOS(默认存在)是Grains的键值对,数据以yaml保存在minion上,可在minion端直接编辑/etc/salt/grains,yaml格式。或者在master端执行salt '*' grains.setval key "{'sub-key': 'val', 'sub-key2': 'val2'}" ,具体文档(命令salt * sys.doc grains查看文档)
4)组匹配
salt?-N?groups?test.ping
如,在master新建/etc/salt/master.d/nodegroups.conf ,yaml格式
5)?复合匹配
salt?-C?'G@os:CentOS?or?L@Minion'?test.ping
6)??Pillar值匹配
salt?-I?'key:value'?test.ping
/etc/salt/master设置pillar_roots,数据以yaml保存在Master上
7) CIDR匹配
salt?-S?'10.252.137.0/24'?test.ping
10.252.137.0/24是一个指定的CIDR网段
function是module提供的方法
通过下面命令可以查看所有的function:
salt?'10.252.137.141'?sys.doc?cmd
function可以接受参数:
salt?'10.252.137.141'?cmd.run?'uname?-a'
并且支持关键字参数:
#在所有minion上切换到/目录以salt用户运行uname?-a命令。
salt?'10.252.137.141'?cmd.run?'uname?-a'?cwd=/?user=salt
states文件
salt states的核心是sls文件,该文件使用YAML语法定义了一些k/v的数据。
sls文件存放根路径在master配置文件中定义,默认为/srv/salt,该目录在操作系统上不存在,需要手动创建。
在salt中可以通过salt://代替根路径,例如你可以通过salt://top.sls访问/srv/salt/top.sls。
在states中top文件也由master配置文件定义,默认为top.sls,该文件为states的入口文件。
一个简单的sls文件如下:
apache:
?pkg:
???-?installed
?service:
???-?running
???-?require:
?????-?pkg:?apache
说明:此SLS数据确保叫做"apache"的软件包(package)已经安装,并且"apache"服务(service)正在运行中。
第一行,被称为ID说明(ID Declaration)。ID说明表明可以操控的名字。
第二行和第四行是State说明(State Declaration),它们分别使用了pkg和service states。pkg state通过系统的包管理其管理关键包,service state管理系统服务(daemon)。 在pkg及service列下边是运行的方法。方法定义包和服务应该怎么做。此处是软件包应该被安装,服务应该处于运行中。
第六行使用require。本方法称为”必须指令”(Requisite Statement),表明只有当apache软件包安装成功时,apache服务才启动起来。