企业实战--saltstack自动化运维管理（简介和部署）

一、Saltstack简介

saltstack是一个配置管理系统，能够维护预定义状态的远程节点。

saltstack是一个分布式远程执行系统，用来在远程节点上执行命令和查询数据。

saltstack是运维人员提高工作效率、规范业务配置与操作的利器。

Salt的核心功能：

使命令发送到远程系统是并行的而不是串行的
使用安全加密的协议
使用最小最快的网络载荷
提供简单的编程接口

Salt同样引入了更加细致化的领域控制系统来远程执行，使得系统成为目标不止可以通过主机名，还可以通过系统属性。

二、saltstack通信验证机制

SaltStack 的通讯架构模型

Salt 采用服务端-代理的通讯模型（也可以通过 SSH 方式实现非代理模式）。服务端称为 Salt master，代理端称为 Salt minion。

Salt master 负责发送命令予 Salt minion，随后收集并展示这些命令的执行结果。一台 Salt master 可以管理几千台的系统。

saltstack通信机制

SaltStack 采用 C/S模式，minion与master之间通过ZeroMQ消息队列通信，默认监听4505端口。

Salt Master运行的第二个网络服务就是ZeroMQ REP系统，默认监听4506端口。

Salt minion 验证机制：

(1).当 minion 启动时，其将搜索网络中的 master。当找到时， minion 将发送公钥给 Salt master，从而实现初次握手。
(2).当初次握手后，Salt minion 的公钥将被保存在服务端，此时 master 需要使用过 salt-key 命令接收公钥（也可以采用自动机制）。注意：在 Salt minion 的公钥被接收前，Salt master 是不会将密钥发放给 minion 的，也就是说 minion 在此之前不会执行任何命令。
(3).当 Salt minion 的公钥被接收后，Salt master 就会把公钥连同用于加解密 master 信息的可变动 AES 密钥发送至 Salt minion。其中，返回给 Salt minion 的 AES 密钥由 minion 的公钥加密，可由 Salt minion 解密。

三、saltstack安装与配置

官网：https://www.saltstack.com/

配置master主机（server1）

1.设置官方YUM仓库：

yum install https://repo.saltstack.com/yum/redhat/salt-repo-latest.el7.noarch.rpm

2、安装master端：

[root@server1 yum.repos.d]# yum install salt-master -y

3、设置master自启动并启动服务：

[root@server1 ~]# systemctl enable --now salt-master

master端的配置文件为/etc/salt/master。

4、启动后查看端口可以看出开启了4505和4506两个端口：
其中4505连接minion端主机，任务推送。
4506接受minion主机回执信息。

minion端配置（server2和server3）

1.设置官方YUM仓库：

yum install https://repo.saltstack.com/yum/redhat/salt-repo-latest.el7.noarch.rpm

2、安装minion端：

以下操作以server2为例，server3和server2的操作相同：

[root@server2 ~]# yum install -y salt-minion

3、修改minion配置文件
minion的配置文件为/etc/salt/minion：

[root@server2 ~]# vim /etc/salt/minion
第16行设置master主机的ip：
    16	master: 172.25.254.1

4、启动minion：

[root@server2 salt]# systemctl enable --now salt-minion

server3与server2操作相同。

配置master连接minion

1、server1查看公钥情况：

[root@server1 salt]# salt-key -L
Accepted Keys:
Denied Keys:
Unaccepted Keys:
server2
Rejected Keys:

2、可以看出server2正在等待确认，使用以下命令确认：

[root@server1 salt]# salt-key -A
The following keys are going to be accepted:
Unaccepted Keys:
server2
Proceed? [n/Y] y
Key for minion server2 accepted.

-A表示接受所有，-a表示指定接受，-d表示指定删除，-D表示全部删除。

3、server1再次查看公钥情况可以看出server2已经确认：

[root@server1 salt]# salt-key -L
Accepted Keys:
server2
Denied Keys:
Unaccepted Keys:
Rejected Keys:

此时server2已经与server1连接成功：

[root@server1 salt]# lsof -i :4505
COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
/usr/bin/ 4711 root   15u  IPv4  33856      0t0  TCP *:4505 (LISTEN)
/usr/bin/ 4711 root   17u  IPv4  38277      0t0  TCP server1:4505->server2:34148 (ESTABLISHED)

测试

部署完成后可以使用以下命令测试：

[root@server1 minions]# salt '*' test.ping
server2:
    True
server3:
    True

其中，’*'代表集群中的所有主机（即server2和server3），test表示模块，ping表示test模块中的函数

minion端更改主机名

当minion端更改主机名后，我们需要将保存minion端主机名的缓存删除，缓存保存在/etc/salt/minion_id文件中，删除这个文件后重启salt-minion即可。

[root@server2 minion]# cd /etc/salt/
[root@server2 salt]# ls
cloud         cloud.deploy.d  cloud.profiles.d   master    minion    minion_id  proxy    roster
cloud.conf.d  cloud.maps.d    cloud.providers.d  master.d  minion.d  pki        proxy.d
[root@server2 salt]# cat minion_id
server2