Saltstack 简介
https://docs.saltstack.com/en/latest/contents.html 官方说明 文档
Saltstack 是一个服务器基础设施管理工具,它具有配置管理、远程执行、监控等功能。Saltstack由Python语言编写,基于 C/S 架构,即服务端 master 和客户端 minions,Master和 Minion之间是通过 Zeromq(消息队列)进行通信的 ;适合大规模批量管理服务器。
Saltstack 常用模块
(1)pkg模块:包管理,包括增删更新
(2)file模块:管理文件操作,包括同步文件、设置文件权限和所属用户组、删除文件等。
(3)cmd模块:在Million上执行命令或者脚本。
(4)user模块:管理系统账户操作。
(5)service模块:管理系统服务操作。
(6)cron模块:管理cron服务操作。
saltstack安装
1.准备工作
准备三台机器,这三台机器都关闭selinux以及防火墙
setenforcr 0
systemctl stop firewalld.service
systemctl disable firewalld.servicemaster服务器 (192.168.100.143)
minion服务器 (192.168.100.144 192.168.100.145)
2.编辑hosts文件(三台都配置)
vim /etc/hosts
192.168.100.143 master.saltstack.com
192.168.100.144 web01.saltstack.com
192.168.100.145 web02.saltstack.com3.分别修改各自的主机名
vim /etc/hostname
master.saltstack.com #master服务器
web01.saltstack.com #million服务器1
web02.saltstack.com #million服务器1配置完成,重启生效,再次关闭selinux。
4.安装
(1)服务端
yum install -y epel-release #安装epel源
yum install -y salt-master (2)客户端
yum install -y epel-release #安装epel源
yum install -y salt-minion5.配置服务端配置文件(/etc/salt/master)
vim /etc/salt/master
interface: 192.168.100.143 #第15行,修改监听地址为本机地址
auto_accept: True #第215行,主服务器会自动认证被控端的认证,只要被控端在设置完主服务器的IP地址后启动服务,主服务器就会允许被控端自动认证,以避免以后每次都要运行salt-key来确认认证书信任。
file_roots:
base:
- /srv/sale
#第416行,去掉注释。开启saltstack文件根目录位置,注意这个目录默认没有创建,需要自己手动创建。
nodegroups:
group1: 'web01.saltstack.com'
group2: 'web02.saltstack.com' #第710行,配置组分类
pillar_opts: True #第552行,开启pillar功能,同步文件功能
pillar_roots:
base:
- /srv/pillar #第529行,去掉注释,pillar的主目录,需要自己创建6.创建salt与pillar文件根目录
mkdir /srv/salt
mkdir /srv/pillar7.启动salt-master服务
systemctl start salt-master
systemctl enable salt-master8.配置million客户端配置文件(/etc/salt/minion)
vim /etc/salt/minion
master: 192.168.100.143 ##第16行,指定master服务器的IP
id: web01.saltstack.com #注意冒号要有空格 ##第78行,指定客户端主机名,另一台是web02.saltstack.com
9.分别启动两台客户端服务
systemctl start salt-minion10.测试
(1)查看在主服务器上已经被接受过的客户端
salt-key
salt-key -A 将所有客户端的加入到 accept keys 下
salt-key -L #显示已经或未被认证的被控端id
salt-key -D #删除所有认证主机id证书
salt-key -d id #删除单个id证书(id为被控端id名)
salt-key -A #接受所有id证书请求
salt-key -a id #接受单个id证书请求(id为被控端id名)(1)测试连接服务端和客户端的通信状态
##在主服务器端进行操作
salt '*' test.ping
web01.saltstack.com:
True
web02.saltstack.com:
True
出错 minion not respond ,本身出错 ,或者 之前 有过salt master 更改过了
出现这个问题时,我操作了以下几个步骤解决了:
在fxq01上操作:salt-key -d web1 删除rm -rf /etc/salt/pki/master/minions/web1
在web1上操作:rm /etc/salt/pki/minion/* -rf ;重启服务 systemctl restart salt-minion 然后查看ls /etc/salt/pki/minion/ 看有无文件(minion.pem minion.pub)如果没有重启机器。
3.关闭两台机器selinx,和防火墙:setenforce 0 (临时生效); iptables -F ;systemctl disable firewalld
(2)测试远程执行命令
##在主服务器端进行操作
salt '*' cmd.run 'hostname' ##远程执行命令命令
命令格式:
salt '<操作目标>' <方法> [参数]salt '*' sys.doc 'test/cron/file/network' 这个命令用于查询模块的方法.!!!非常重要
例:
salt 'backup' cmd.run 'free -m' #查看被控主机内存使用情况常用参数
针对<操作目标>,Saltstack提供了多种方法对被控主机(id)进行过滤。下面列举出常用具体参数:
-E,--pcre,通过正则表达式进行匹配:
salt -E '^SN2013.*' test.ping #探测SN2013开头的主机id名是否连通-L,--list,以主机id名列表的形式进行过滤,格式与Python的列表相似,即不同主机id名称使用逗号分离。
salt -L 'SN2013-08-021,SN2013-08-021' grains.item osfullname #获取主机id为:SN2013-08-021,SN2013-08-021完整操作系统发行版名称-G,--grain,根据被控主机的grains信息进行匹配过滤,格式为:
salt -G 'osrelease:6.4' cmd.run 'python -V' #获取发行版本号为6.4的python版本号-I,--pillar,根据被控主机的pillar信息进行匹配过滤,格式为:"对象名称":"对象值"
salt -I 'nginx:root:/data' test.ping #探测具有'nginx:root:/data'信息的连通性。
#pillar属性配置文件如下:
nginx:
root: /data-N,--nodegroup,根据主控端master配置文件中的分组名称进行过滤。
#分组配置:【/etc/salt/master】
nodegroups:
web1group: 'L@wx,SN2013-08-21'
web2group: 'L@SN2013-08-22,SN2014'
#其中L@表示后面的主机id格式为列表,即主机id以逗号分隔:G@表示以grain格式描述:S@表示以IP子网或地址格式描述
salt -N web2group test.ping #探测web2group被控主机的连通性-C,--compound,根据条件运算符not、and、or去匹配不同规则的主机信息
salt -C 'E@^SN2013.* and G@os:Centos' test.ping #探测SN2013开头并且操作系统版本为CentOS的主机的连通性-S,--ipcidr,根据被控主机的IP地址或IP子网进行匹配
salt -S 192.168.0.0/16 test.ping
salt -S 192.168.1.10 test.ping常用模块
Archive模块
功能:实现系统层面的压缩包调用,支持gzip、gunzip、rar、tar、unrar、unzip等
示例:
#采用gunzip解压sourcefile.txt.gz包
salt '*' archive.gunzip sourcefile.txt.gz
#采用gzip压缩sourcefile.txt文件
salt '*' archive.gzip sourcefile.txtAPI调用:
client.cmd('*','archive.gunzip',['sourcefile.txt.gz'])cmd模块
功能:实现远程的命令行调用执行(默认具备root操作权限,使用时需评估风险)
示例:
#获取所欲被控主机的内存使用情况
salt '*' cmd.run 'free -m'在wx主机上运行test.py脚本,其中script/test.py存放在file_roots指定的目录(默认是在/srv/salt,自定义在/etc/salt/master文件中定义,
该命令会做2个动作:首先同步test.py到minion的cache目录;然后运行该脚本
salt 'wx' cmd.script salt://script/test.pyAPI调用:
client.cmd('*','cmd.run',['free -m'])cp模块
功能:实现远程文件、目录的复制,以及下载URL文件等操作
示例:
#将被控主机的/etc/hosts文件复制到被控主机本地的salt cache目录(/var/cache/salt/minion/localfiles/)
salt '*' cp.cache_local_file /etc/hosts
#将主控端file_roots指定位置下的目录复制到被控主机/minion/目录下
salt '*' cp.get_dir salt://script/ /minion/
#将主控端file_roots指定位置下的文件复制到被控主机/minion/test.py文件(file为文件名)
salt '*' cp.get_dir salt://script/test.py /minion/test.py
#下载URL内容到被控主机指定位置(/tmp/index.html)
salt '*' cp.get_url http://www.slashdot.ort /tmp/index.htmlAPI调用:
client.cmd('*','cp.get_file',['salt://script/test.py','/minion/test.py'])
cron模块
功能:实现被控主机的crontab操作
示例:
#查看指定被控主机、root用户的crontab操作
salt 'wx' cron.raw_cron root
#为指定被控主机、root用户添加/usr/local/weekly任务zuoye
salt 'wx' cron.set_job root '*' '*' '*' '*' 1 /usr/local/weekly
#删除指定被控主机、root用户crontab的/usr/local/weekly任务zuoye
salt 'wx' cron.rm_job root /usr/local/weekly
###查看任务
salt '*' cron.raw_cron root
### 增加任务
salt 'backup' cron.set_job root '*/1' '*' '*' '*' '*' "ntpdate s2c.time.edu.cn >> /dev/null 2>&1"
###删除任务
salt 'backup' cron.rm_job root "ntpdate s2c.time.edu.cn >> /dev/null 2>&1"
######注意整个长命令含空格要加引号,否则后面的直接被当成注释
API调用:
client.cmd('wx','cron.set_job',['root','','','','',1,'/usr/local/weekly'])
dnsutil模块
功能:实现被控主机通用DNS操作
示例:
#添加指定被控主机hosts的主机配置项
salt 'wx' dnsutil.hosts_append /etc/hosts 127.0.0.1 adl.yuk.com,ad2.yuk.com
#删除指定被控主机的hosts的主机配置项
salt 'wx' dnsutil.hosts_remove /etc/hosts ad1.yuk.comAPI调用:
clietn.cmd('wx','dnsutil.hosts_append',['/etc/hosts','127.0.0.1','ad1.yuk.com','ad2.yuk.com'])
file模块
功能:被控主机常见的文件操作,包括文件读写、权限、查找、校验
示例:
#校验所有被控主机/etc/fstab文件的md5值是否为xxxxxxxxxxxxx,一致则返回True值
salt '*' file.check_hash /etc/fstab md5=xxxxxxxxxxxxxxxxxxxxx
#校验所有被控主机文件的加密信息,支持md5、sha1、sha224、shs256、sha384、sha512加密算法
salt '*' file.get_sum /etc/passwd md5
#修改所有被控主机/etc/passwd文件的属组、用户权限、等价于chown root:root /etc/passwd
salt '*' file.chown /etc/passwd root root
#复制所有被控主机/path/to/src文件到本地的/path/to/dst文件
salt '*' file.copy /path/to/src /path/to/dst
#检查所有被控主机/etc目录是否存在,存在则返回True,检查文件是否存在使用file.file_exists方法
salt '*' file.directory_exists /etc
#获取所有被控主机/etc/passwd的stats信息
salt '*' file.stats /etc/passwd
#获取所有被控主机/etc/passwd的权限mode,如755,644
salt '*' file.get_mode /etc/passwd
#修改所有被控主机/etc/passwd的权限mode为0644
salt '*' file.set_mode /etc/passwd 0644
#在所有被控主机创建/opt/test目录
salt '*' file.mkdir /opt/test
#将所有被控主机/etc/httpd/httpd.conf文件的LogLevel参数的warn值修改为info
salt '*' file.sed /etc/httpd/httpd.conf 'LogLevel warn' 'LogLevel info'
#给所有被控主机的/tmp/test/test.conf文件追加内容‘maxclient 100’
salt '*' file.append /tmp/test/test.conf 'maxclient 100'
#删除所有被控主机的/tmp/foo文件
salt '*' file.remove /tmp/fooAPI调用:
client.cmd('*','file.remove',['/tmp/foo'])
iptables模块
功能:被控主机的iptables支持
示例:
#在所有被控主机端追加(append)、插入(insert)iptables规则,其中INPUT为输入链
salt '*' iptables.append filter INPUT rule='-m state --state RELATED,ESTABLISHED -j ACCEPT'
salt '*' iptables.insert filter INPUT position=3 rule='-m state --state RELATED,ESTABLISHED -j ACCEPT'
#在所有被控主机删除指定链编号为3(position=3)或指定存在的规则
salt '*' iptalbes.delete filter INPUT position=3
salt '*' iptables.delete filter INPUT rule='-m state --state RELATEC,ESTABLISHED -j ACCEPT'
#保存所有被控主机端主机规则到本地硬盘(/etc/sysconfig/iptables)
salt '*' iptables.save /etc/sysconfig/iptablesAPI调用:
client.cmd('*','iptables.append',['filter','INPUT','rule=\'-p tcp --sport 80 -j ACCEPT\''])
network模块
功能:返回被控主机的网络信息
示例:
#在指定被控主机获取dig、ping、traceroute目录域名信息
salt 'wx' network.dig www.qq.com
salt 'wx' network.ping www.qq.com
salt 'wx' network.traceroute www.qq.com
#获取指定被控主机的mac地址
salt 'wx' network.hwaddr eth0
#检测指定被控主机是否属于10.0.0.0/16子网范围,属于则返回True
salt 'wx' network.in_subnet 10.0.0.0/16
#获取指定被控主机的网卡配置信息
salt 'wx' network.interfaces
#获取指定被控主机的IP地址配置信息
salt 'wx' network.ip_addrs
#获取指定被控主机的子网信息
salt 'wx' network.subnetsAPI调用:
client.cmd('wx','network.ip_addrs')
pkg包管理模块
功能:被控主机程序包管理,如:yum、apt-getdegn
示例:
#为所有被控主机安装PHP环境,根据不同系统发行版调用不同安装工具进行部署,如redhat平台的yum,等价于yum -y install php
salt '*' pkg.install php
#卸载所有被控主机的PHP环境
salt '*' pkg.remove php
#升级所有被控主机的软件包
salt '*' pkg.upgradeAPI调用:
client.cmd('*','pkg.remove',['php'])
service服务模块
功能:被控主机程序包服务管理
示例:
#开启(enable)、禁用(disable)nginx开机自启动脚本
salt '*' service.enable nginx
salt '*' service.disable nginx
#针对nginx服务的reload、restart、start、stop、status操作
salt '*' service.reload nginx
salt '*' service.restart nginx
salt '*' service.start nginx
salt '*' service.stop nginx
salt '*' service.status nginxAPI调用:
client.cmd('*','service.stop',['nginx'])
其他模块
除了上述模块外,saltstack还提供了user(系统用户模块)、group(系统组模块)、partition(系统分区模块)、puppet(puppet管理模块)、system(系统重启、关机模块)、timezone(时区管理模块)、nginx(nginx管理模块)、mount(文件系统挂载模块)等等。当然我们也可以通过Python扩展模块来满足需求。
grains pillar state 三大组件
grains说明
grains是Saltstack最重要的组件之一,grains的作用是手机被控主机的基本信息,这些信息通常都是一些静态类的数据,包括CPU、内核、操作系统、虚拟化等,在服务器端可以根据这些信息进行灵活定制,管理员可以利用这些信息对不同业务进行个性化定制。
例:(janja模板)
{% if grains['os'] == 'Ubuntu' %}
host: {{ grains['host'] }}
{% elif grains['os'] == 'CentOS' %}
host: {{ grains['fqdn] }}
{% endif %}grains常用操作命令
匹配内核版本为2.6.32-358.14.1.el6.x86_64的主机
salt -G 'kernelrelease:2.6.32-358.14.1.el6.x86_64' cmd.run 'uname -a'
获取所有主机的grains项信息
salt '*' grains.ls定义grains数据
定义grains数据的方法有两种,一种为在被控主机定制配置文件:另一种是通过主控端扩展模块API实现。区别是模块更灵活,可以通过Python编程动态定义,而
配置文件只适合相对固定的键与值。下面分别进行说明:
1、被控端主机定制grains数据
【/etc/salt/minion】
default_include:minion.d/*.conf #自定义grains配置文件路径
grains配置文件:【/etc/salt/minion.d/hostinfo.conf】
grains:
roles:
- webserver
- memcache
deployment: datacenter4
cabinet: 13重启salt-minion使之生效:service salt-minion restart
验证:
salt 'wx' grains.item roles deployment cabinet结果:
wx:
----------
cabinet:
13
deployment:
datacenter4
roles:
- webserver
- memcache2、主控端扩展模块定制grains数据
首先在主控端编写python代码,然后将该python文件同步到被控端主机,最后刷新生效(即编译Python源码文件成字节码pyc)。
在主控端base目录(在/etc/salt/master中配置的file_roots项,默认在/srv/salt)下生成_grains目录执行install -d /srv/salt/_grains开始编写代码,实现获取被控主机系统允许最大打开文件数(ulimit -n)的grains数据
【/srv/salt/_grains/grains_openfile.py】
#!/usr/bin/env python
# -*- coding:utf-8 -*-
import os,sys,commands
#定义一个获取最大打开文件数的函数,函数名称没有要求,符合python函数命名规则即可
def Grains_openfile():
'''
return os max open file of grains value
'''
grains = {} #初始化一个字典,变量名一定要用grains,以便Saltstack识别
_open_file=65535 #初始化一个默认值
try:
getulimit = commands.getstatusoutput('source /etc/profile;ulimit -n')
except Exception,e:
pass
if getulimit[0]==0:
_open_file=int(getulimit[1])
grains['max_open_file'] = _open_file #将获取的ulimit -n的结果进行赋值,其中'max_open_file'就是grains项,——open_file就是grains的值
return grains 最后同步模块到指定被控主机并刷新生效,grains比较适合采集静态类的数据,比如硬件、内核信息等,当有动态类的功能需求时,需要进行刷新。
同步操作:
salt 'wx' saltutil.sync_all结果:文件同步到被控端的cache目录中
/var/cache/salt/minion/extmods/grains/grains_openfile.py
/var/cache/salt/minion/files/base/_grains/grains_openfile.py#注:/var/cache/salt/minion/extmods/grains/为扩展模块文件最终存放位置,刷新模块后将在同路径下生产字节码pyc;/var/cache/salt/minion/files/base/_grains/为临时存放位置。
刷新模块:
salt 'wx' sys.reload_modules
#生成pyc字节码
/var/cache/salt/minion/extmods/grains/grains_openfile.py
/var/cache/salt/minion/extmods/grains/grains_openfile.pyc
/var/cache/salt/minion/files/base/_grains/grains_openfile.py验证:
salt 'wx' grains.item max_open_file结果:
wx:
----------
max_open_file:
1024pillar组件
pillar也是Saltstack最重要的组件之一,其作用是定义与被控主机相关的任何数据,定义好的数据可以被其他组件使用,如模板、state、API等。
在pillar中定义的数据与不同业务特性的被控主机相关联,这样不同被控主机只能看到自己匹配的数据,因此pillar安全性很高,适用于一些比较敏感的数据,这也是区别于grains最关键的一点,如定义不同业务组主机的用户id、组id、读写权限、程序包等信息,定义的规范是采用Python字典形式,即键/值,最上层的键一般为主机的id或组的名称。
pillar的定义
主配置文件定义
Saltstack默认将主控端配置文件中的所有数据都定义到pillar中,而对所有被控主机开放,可通过修改/etc/salt/master配置来定义是否开启或关闭这项功能。
【/etc/salt/master】
pillar_opts: True/False修改后执行命令来观察效果:
salt '*' pillar.dataSLS文件定义
pillar支持在sls文件中定义数据,格式须符合YAML规范,与Saltstack的state组件十分相似,新人容易将两者混淆,两者文件的配置格式、入口文件top.sls都是一致的。
定义pillar的主目录
【/etc/salt/master】
pillar_roots:
base:
- /srv/pillar同时创建pillar目录,执行命令:
install -d /srv/pillar定义入口文件top.sls
入口文件的作用一般是定义pillar的数据覆盖被控主机的有效范围,'*'代表任意主机,其中包括了一个data.sls文件具体内容如下:
【/srv/pillar/top.sls】
base:
'*':
- data #指代的是data.sls文件
【/srv/pillar/data.sls】
appname: website
flow:
maxconn: 3000
maxmem: 6G校验pillar
刷新被控主机的pillar信息
salt '*' saltutil.refresh_pillar
查看上面定义的data.sls数据项
salt 'wx' pillar.data appname flowpillar的使用
完成pillar配置后接下来介绍使用方法。我们可以在state、模板文件中引用,模板格式为:{{ pillar变量 }}
例:
{{ pillar['appname'] }}(一级字典)
{{ pillar['flow']['maxconn'] }}(二级字典) 或 {{ salt['pillar.get']('flow:maxconn',{}) }}
#Python API格式如下:
pillar['flow']['maxconn']
pillar.get('flow:appname',{})操作目标主机
salt -I 'appname:website' test.ping结果:
wx:
True结合grains处理数据的差异性
首先通过结合grains的id信息来区分不同的id的maxcpu的值,其次进行引用观察匹配的信息,将data.sls修改成如下形式:
appname: website
flow:
maxconn: 3000
maxmem: 6G
{% if grains['id'] == 'wx' %} #jinjia2模板语法
maxcpu: 8
{% else %}
maxcpu: 4
{% endif %}结果:
wx:
----------
flow:
----------
maxconn:
3000
maxcpu:
8
maxmem:
6Gstate组件
state是Saltstack最核心的功能,通过预先定制好的sls(salt state file)文件对被控制主机进行状态管理,支持包括程序包(pkg)、文件(file)、网络配置(network)、系统服务(service)、系统用户(user)等。
state的定义
state的定义是通过sls文件进行描述的,支持YAML语法,定义规则如下:
$ID: #定义state名称,通常采用与描述对象保存一致的方法,如apache、nginx等
$state: #须管理对象的类型
- $state: states #定制对象的状态示例:
# 自定义的名字 ,只要保证实际 文件名与 top.sls对应即可
apache: #state名称:apache
pkg: #管理对象类型:pkg,进行软件安装(yum、apt)
- installed #pkg要执行的方法:install,如未安装就进行安装
service: #管理对象类型:service,管理系统守护进程
- running #service要执行的方法:running,如未运行就进行启动
- require: #关键字require,确保apache服务只有在成功安装软件包后才会启动
- pkg: apache注:---关键字说明
require:在运行此state之前,先运行依赖的state关系检查,可配置多个state依赖对象;
watch:在检查摸个state发生变化时运行此模块。
state的使用
state的入口文件与pillar一样,文件名都是top.sls,但state要求sls文件必须存放在Saltstack base定义的目录下(默认为/srv/salt)。
state描述配置*.sls支持jinjia模板、grains及pillar引用等,在state的逻辑层次定义完成后,再*通过salt '' state.highstate执行生效**。
示例:
结合grains与pillar,实现一个根据不同操作系统类型部署apache环境的任务
定义pillar
【/srv/pillar/top.sls】
base:
'*':
- apache在top.sls中引用二级配置有两种方式,一种是直接引用,如本例中直接引用apache.sls;另一种是创建apache目录,再引用目录中的init.sls文件,两者效果是一样的。
【/srv/pillar/apache.sls】或【/srv/pillar/apache/init.sls】
pkgs:
{% if grains['os_family'] == 'Debian' %}
apache: apache2
{% elif grains['os_family'] == 'RedHat' %}
apache: httpd
{% elif grains['os'] == 'Arch' %}
apache: apache
{% endif %}测试:
salt '*' saltutil.refresh_pillar #刷新pillar
salt '*' pillar.data pkgs #获取pkgs信息定义state
【/srv/salt/top.sls】
base:
'*':
- apache【/srv/salt/apache.sls】或【/srv/salt/apache/init.sls】
apache:
pkg:
- installed
- name: {{ pillar['pkgs']['apache'] }} #pillar['pkgs']['apache']引用的是pillar定义的数据
service.running:
- name: {{ pillar['pkgs']['apache'] }}
- require:
- pkg: {{ pillar['pkgs']['apache'] }}执行state
salt '*' state.highstate