saltstack笔记

一、saltstack是什么?

saltstack是一个开源异构平台基础设置管理工具。

二、saltstack能干什么?

如果你是一个管理成百上千台服务器的管理员,你是否会遇到如下几个场景?
1.需要在每台服务器上部署agent,几百台服务器难道一个一个部署?
2.agent配置需要变更,也需要一个一个配置?
3.0day漏洞爆出,需要检查服务器版本,安装对应补丁,怎么办?

  • 配置管理系统,能够维护预定义状态的远程节点(比如,确保指定的包被安装,指定的服务在运行)。
  • 分布式远程执行系统,用来在远程节点(可以是单个节点,也可以是任意规则挑选出来的节点)上执行命令和查询数据。

为什么要使用salt?

  • 简单,非常容易设置和维护,不用考虑项目的大小。几乎不改动配置就可以工作。
  • 并行执行,命令发送到远程系统是并行的而不是串行的,使用安全的加密协议,使用最小最快的网络载荷,提供简单的编程接口。
  • 灵活易扩展,使用python开发,可以从简单的Python API调用,或者从命令行被调用,可以用来执行一次性命令,也可以作为一个更大的应用程序的一个组成部分。

三、saltstack运行方式?

saltstack三种运行方式

  • Local
  • Master/Minion
  • Salt SSH

最传统的运行方式还是C/S模式,管理端安装Master,被管理节点上安装Minion客户端。
下面主要介绍Master/Minion运行方式。

四、saltstack基本安装和配置

这里采用repo源,在线安装。请参考官方文档
分别在管理端和被管理节点使用yum命令进行安装。

  yum install salt-master
  yum install salt-minion

安装完成之后,首先启动master

  service salt-master start
  #或者
  /etc/init.d/salt-master start

打开minion节点,编辑配置文件

  vim /etc/salt/minion
  #添加下面配置,注意分号后面有空格!
  master: 192.168.252.136 #master端ip,有dns解析也可以填写域名。
  id: web137 #本节点名称,填好之后尽量不要更改。

启动minion

  service salt-minion start

切换到master

  #查看minion
  salt-key -L
  #会列如下信息
  [root@localhost ~]# salt-key #省略-L也行。
  Accepted Keys:
  Denied Keys:
  Unaccepted Keys:
  web137
  Rejected Keys:
  #接受minion
  salt-key -a web137 -y # -a 后面指定要接受的id名称
  或者
  salt-key -A # -A表示接受所有,同理,可以使用 -d ,-D拒绝掉。
  #再次查看
  [root@localhost ~]# salt-key -L
  Accepted Keys:
  web137
  Denied Keys:
  Unaccepted Keys:
  Rejected Keys:

至此,一个简单的saltstack环境就已经搭建好了。

一些注意事项和说明:
a) master使用两个端口和minion通信,要确保这两个端口通信正常。

  • 4505 publish_port 消息发布系统端口
  • 4506 ret_port 客户端与服务端通信端口

可以关闭掉防火墙,或者将端口添加至INPUT链表。

  #iptables链表规则是自上而下,这里插入在REJECT ALL之前。  
  iptables -I INPUT 5 -p tcp --dport 4505 -j ACCEPT -m comment --comment "salt_publish_port"
  iptables -I INPUT 5 -p tcp --dport 4506 -j ACCEPT -m comment --comment "salt_ret_port"

当然也可以在配置文件自定义端口。

  #master配置文件
  vim /etc/salt/master
  #修改如下配置,注意空格!
  publish_port: 1505
  ret_port: 1506
  #修改成自定义的端口即可,注意,minion节点也需要指定master端口。
  #minion配置文件
  vim /etc/salt/minion
  #配置如下
  master_port: 1506 #指定master通信端口即可

b) minion和master认证过程
1.minion在首次启动时,会在/etc/salt/pki/minion/下自动生成公钥和私钥
minion.pub(public key)和minion.pem(private key),并将公钥(minion.pub)发送给master
2.master在接收到minion的公钥后,通过salt-key命令接受minion,并将minion公钥
放在/etc/salt/pki/master/minions下,以minion id命名。这个时候,master就可以对minion发送指令了。
也可以配置为自动接受

  #master配置
  vim /etc/salt/master
  #配置如下
  auto_accept: True #修改为自动接受

五、saltstack简单应用

salt命令格式

  salt '<操作目标>' <模块.方法> [参数]

引号中的操作目标,可以使用正则和通配符过滤、筛选。

  • salt 'shell正则' 命令
    //使用通配符

  • salt -E 'prel正则' 命令
    //使用正则表达式

  • salt -N $group 命令
    //使用分组名称
    可以在配置文件进行分组

    #编辑master文件
    vim /etc/salt/master
    #配置如下
    nodegroups:
      group1: '[email protected],bar.domain.com,baz.domain.com and bl*.domain.com'
      group2: 'G@os:Debian and foo.domain.com'
    
  • salt -L 'server_id1,server_id2,server_id3' 命令
    //指定多个目标id

  • salt -G 'osrelease:6.9' 命令
    //指定os版本为6.9

示例:test.ping、cmd.run

  #检测通讯是否正常
  salt '*' test.ping
  #test.ping
  [root@localhost ~]# salt '*' test.ping  
  web137:
      True
  mysql138:
      True

  #执行命令
  salt '*' cmd.run 'df -Th'
  #cmd.run
  [root@localhost ~]# salt '*' cmd.run 'df -Th'
  mysql138:
    Filesystem           Type   Size  Used Avail Use% Mounted on
    /dev/mapper/VolGroup-lv_root
                         ext4    18G  968M   16G   6% /
    tmpfs                tmpfs  491M   12K  491M   1% /dev/shm
    /dev/sda1            ext4   477M   52M  400M  12% /boot
  web137:
    Filesystem           Type   Size  Used Avail Use% Mounted on
    /dev/mapper/VolGroup-lv_root
                         ext4    18G  968M   16G   6% /
    tmpfs                tmpfs  491M   12K  491M   1% /dev/shm
    /dev/sda1            ext4   477M   52M  400M  12% /boot

怎么知道有哪些模块可用?怎么知道模块有哪些方法可以用、怎么用?

  #获取所有支持的模块
  salt 'web137' sys.list_modules
  #
  [root@localhost ~]# salt 'web137' sys.list_modules
  web137:
    - acl
    - aliases
    - alternatives
    - archive
    - artifactory
    后面部分省略

  #获取模块说明文档
  salt 'web137' sys.doc test
  #
  [root@localhost ~]# salt 'web137' sys.doc test
  'test.arg:'

    Print out the data passed into the function ``*args`` and ```kwargs``, this
    is used to both test the publication data and cli argument passing, but
    also to display the information available within the publication data.
    Returns {"args": args, "kwargs": kwargs}.

    CLI Example:

        salt '*' test.arg 1 "two" 3.1 txt="hello" wow='{a: 1, b: "hello"}'
    

  'test.arg_repr:'

    Print out the data passed into the function ``*args`` and ```kwargs``, this
    is used to both test the publication data and cli argument passing, but
    also to display the information available within the publication data.
    Returns {"args": repr(args), "kwargs": repr(kwargs)}.

    CLI Example:

        salt '*' test.arg_repr 1 "two" 3.1 txt="hello" wow='{a: 1, b: "hello"}'
  后面部分省略

软件包的安装

  #pkg.install
  salt 'web137' pkg.install tree
  #
  [root@localhost ~]# salt 'web137' pkg.install tree
  web137:
    ----------
    tree:
        ----------
        new:
            1.5.3-3.el6
        old:

pkg 函数会自动将本地系统包管理器映射到相同的salt函数。这意味着 pkg.install 在基于Red Hat系统上将使用 yum 而在Debian系统上则使用 apt 来安装包。

grains模块说明
grains 是在 minion(客户端)启动时收集到的一些信息,比如操作系统类型、网卡ip等。

  #列出所有的 grains 项目名字
  [root@localhost ~]# salt 'web137' grains.ls
  web137:
    - SSDs
    - cpu_flags
    - cpu_model
    - cpuarch
    - domain
    - fqdn
    - fqdn_ip4
    - fqdn_ip6
    - gpus
  #列出所有的 grains 项目名以及值
  [root@localhost ~]# salt 'web137' grains.items
  web137:
    ----------
  SSDs:
  cpu_flags:
      - fpu
      - vme
      - de
      - pse
      - tsc


  #也可以在minion配置自定义信息
  #编辑minion配置,注意空格!
  vim /etc/salt/minion
  grains:
    roles:
      - webserver
      - memcache
    deployment: datacenter4
    cabinet: 13
    cab_u: 14-15

有了这些信息之后,在远程执行命令时就很方便。我们可以按照 grains 的一些指标来操作。如上面提到,salt -G 'osrelease:6.9' 命令。

pillar模块说明
pillar 和 grains 不一样,是在 master 上定义的,并且是针对 minion 定义的一些信息。像一些比较重要的数据(密码)可以存在 pillar 里,还可以定义变量等。

  #编辑配置文件
  vim /etc/salt/master
  #添加
  pillar_roots:
    base:
      - /srv/pillar
  #如果pillar文件夹不存在,新建文件夹
  mkdir -p /srv/pillar
  #修改配置文件后,重启一下master
  service salt-master restart
  #新建入口文件top.sls
  vim /srv/pillar/top.sls
  #添加内容
  base:
    'web137': #指定minion节点
      - web137_info
  #新建web137_info.sls文件
  vim /srv/pillar/web137_info.sls
  #添加内容,注意分号后面有空格!
  conf: /etc/web137.conf
  myname: webserver
  #刷新一下pillar状态
  salt '*' saltutil.refresh_pillar
  #查看一下
  salt 'web137' pillar.items
  #
  [root@localhost pillar]# salt 'web137' pillar.items
  web137:
      ----------
      conf:
          /etc/web137.conf
      myname:
          webserver
  #可以指定单个
  salt 'web137' pillar.item conf
  #
  [root@localhost pillar]# salt 'web137' pillar.item conf
  web137:
      ----------
      conf:
          /etc/web137.conf
  #通过 -I 也可以作为匹配信息
  salt -I 'myname:webserver' test.ping
  #
  [root@localhost pillar]# salt -I 'myname:webserver' test.ping
  web137:
      True

其他杂项
#远程传输文件,将本地文件copy到节点
root@localhost:~# salt-cp '' ./abc.txt /opt/
{'ftp138': {'/opt/abc.txt': True}, 'web137': {'/opt/abc.txt': True}}
#磁盘使用
[root@salt-master /]# salt '
' disk.usage
#网络接口
[root@salt-master /]# salt '' network.interfaces
#文件压缩
root@localhost:~# salt '
' archive.gzip /opt/abc.txt
#文件解压缩
root@localhost:~# salt '' archive.gunzip /opt/abc.txt.gz
#拷贝文件到客户端
salt '
' cp.get_file salt://apache.txt /tmp/cp.txt
#拷贝目录到客户端
salt '' cp.get_dir salt://test /tmp
#显示存活的客户端
salt-run manage.up
#执行服务端脚本
salt '
' cmd.script salt://test/shell.sh

六、saltstack高级应用

1、配置管理安装apache

  #编辑配置文件
  vim /etc/salt/master
  #添加下面配置
  file_roots:
    base:
      - /srv/salt
  #环境: base、dev(开发环境)、test(测试环境)、prod(生产环境)。
  #新建目录salt
  mkdir -p /srv/salt
  #新建top.sls文件
  vim /srv/salt/top.sls
  #添加内容
  base:
    'web137':
      - apache
  #新建apache.sls文件
  vim /srv/salt/apache.sls
  #添加,特别要注意空格!
  apache-service: #自定义id名称
    pkg.installed: #包安装函数
    - names: #如果只有一个服务 - name:httpd
      - httpd #包名
      - httpd-devel

  file.managed:
    - name: /etc/httpd/conf/httpd.conf #目标文件位置
    - source: salt://httpd.conf #源文件,将配置文件放在/srv/salt/目录下
    - user: root #文件所属用户
    - group: root #文件所属组
    - mode: 644 #文件权限

  service.running: #指定服务运行
    - name: httpd  #服务名称
    - enable: True  #设置开机自启
  #
  salt 'web137' state.highstate
  #或者直接指定文件
   salt 'web137' state.sls apache #不需要.sls

2、目录操作

  #编辑top.sls文件
  vim /srv/salt/top.sls
  base:
    'mysql138' :
      - diroper
  #新建diroper文件
  vim /srv/salt/diroper.sls
  diroper:
    file.recurse:
      - name: /tmp/diroper
      - source: salt://diroper
      - user: root
      - file_mode: 644
      - dir_mode: 755
      - mkdir: True
      - clean: True #删除源文件则目标也会跟着删除
  #应用
  salt 'mysql138' state.highstate

3、远程执行脚本

  #添加
  cmdexe:
    - onlyif: test -f /tmp/123.txt
    - names:
      - touch /tmp/cmdtest.txt
      - mkdir /tmp/cmdtest
    - user: root
  #添加
  shell-test:
  cmd.script:
    - source: salt://test/1.sh
    - user: root

4、管理crontab
#添加
cron-test:
cron.present: #把 cron.present: 改成 cron.absent为删除
- name: /bin/touch /tmp/111.txt
- user: root
- minute: '' #注意星号要使用单引号
- hour: 20
- daymonth: 1-10
- month: '3,5'
- dayweek: '
'

七、saltstack开发

  import salt.client 
  client = salt.client.LocalClient()
  ret = client.cmd('*','test.ping')
  print ret

八、总结和参考

  • 配置文件都是键值对的形式,需要特别注意空格。

  • 以上演示的是都在linux环境下部署,saltstack是可以支持多环境,但需要注意的是master不支持安装在windows环境。

  • 笔记未涉及到部分

    • windows配置、云配置
    • web界面
    • 架构中还有一个类似代理层的syndic

参考网址

  • saltstack官方文档
  • 中国SaltStack用户组
  • saltstack全面介绍
  • 运维网_Saltstack 安装配置详解

你可能感兴趣的:(saltstack笔记)