Salt快速入门Salt的体系结构中将节点区分为: master, minion, syndic。
1. master: 老大,管理端
2. minion: 马仔,被管理端
3. syndic: 头目,对于老大来说是马仔,对于马仔来说是老大
在入门阶段,先不考虑syndic。
1. 安装配置如果将操作系统区分为:
*NIX
Linux
Solaris
HP Unix
FreeBSD
OS X
windows
理论上来说,Salt可以安装在任何*NIX系统上,包括master和minion。除了源代码之外, 还可以通过Salt提供的安装脚本,或者PyPI进行安装。
对于Linux,尤其是企业环境中常用的RHEL,CentOS,Ubuntu,可以通过包管理器非常容易的安装master 和/或 minion。 比如: yum(需要先配置EPEL), apt(需要增加http://debian.madduck.net/repo/库),yaourt,ports。
Mac OS X 先使用HomeBrew解决依赖包:brew install swig zmq,然后用PyPI安装:pip install salt。
对于windows,只能安装minion(windows只适合做马仔)。从官方网站下载合适的安装包。安装过程中可以指定master地址和本机名称。 安装后需要自己启动Salt服务。配置文件在C:\salt\conf\minion。
具体的各操作系统下的安装可以参考官方文档。这里为了简单,只考虑常用的RHEL/CentOS 和 windows。 在下面的例子中,使用一台RHEL/CentOS作为master, 另外一台RHEL/CentOS和一台windows 2003 Server作为 minion。
2. 安装管理端(master)# 安装EPEL,注意选择合适的版本 rpm -ivh http://mirrors.sohu.com/fedora-e ... ease-6-8.noarch.rpm yum update # 安装master yum install salt-master # 修改配置 vim /etc/salt/master # 最基本的设定服务端监听的IP(比如使用VIP做master的高可用时): # interface: 服务端监听IP # 其他配置参考[官方文档](http://docs.saltstack.com/ref/configuration/master.html) # 启动服务(以下命令等效) salt-master -d /etc/init.d/salt-master start service salt-master start3. 安装被管理端(minion)# 安装EPEL,注意选择合适的版本 rpm -ivh http://mirrors.sohu.com/fedora-e ... ease-6-8.noarch.rpm yum update # 安装minion yum install salt-minion # 修改配置 vim /etc/salt/minion # 最基本的设定是指定master地址,以及本机标识符: # master: master的主机名或IP地址 # id: 本机标识符 # 其他配置参考[官方文档](http://docs.saltstack.com/ref/configuration/minion.html) # 启动服务(以下命令等效) salt-minion -d /etc/init.d/salt-minion start service salt-minion start4. 接受minion的托管请求minion向master投诚后,还需要master接受才行。这个过程叫做“授信”。
Salt底层使用公钥-私钥证书来保证通信信道的安全。具体的机制可以参考ZeroMQ的相关内容。Salt已经屏蔽了底层的细节,只需要使用封装好的命令:
# 在master上运行 # 查看所有minion salt-key -L Accepted Keys: windows bond_app_server_main mac_os_vm salt-master Unaccepted Keys: minion1 minion2 Rejected Keys: #其中Unaccepted Keys是未许可的minion。可以使用下面的命令通过认证: salt-key -a minion15. 测试安装配置好之后,首先要测试一下联通性:salt '*' test.ping。salt会列出每个认证过的minion的联通状态(true 或 false)。
再举一些例子:
# 查询主机运行了多长时间 sudo salt '*' cmd.run "uptime" # 批量重启服务 salt '*' cmd.run "service httpd restart" # 让多台机器一起,使用Apache Bench进行压力测试 salt '*' cmd.run "ab -n 10 -c 2 http://www.google.com/"注意,默认情况下master和minion之间使用以下端口进行通信:
1. 4505(publish_port): salt的消息发布系统
2. 4506(ret_port):salt客户端与服务端通信的端口
网络的设置需要保证这些端口可以访问。
Salt的强大功能上面的例子都是用Salt进行批量操作。但是Salt的功能不仅如此。
认真分析一下我的“非专职运维工作”的内容,发现可以分为以下三个方面:
1. 变更操作:根据需要对节点中某个资源的某种状态进行调整,并检验变更的结果
2. 配置管理:让上述行为变得“可管理”,支持“有关人士”对上述行为的标记、控制、识别、报告、跟踪和归档甚至审批和审计
3. 状态监控:随时掌握状态,发现异常。尽量在系统用户发现问题之前解决麻烦
Salt对上述三个方面提供了完美的支持,事实上,Salt提供的功能比我需要的还要多。下图是Salt的主要功能:
如果想对Salt的功能和使用有一个初步的了解,最好参考官方文档:Salt Stack Walkthrough。
1. 批量操作(targeting)再回顾一下上文中的例子:
# 测试连通性 salt '*' test.ping # 查询主机运行了多长时间 sudo salt '*' cmd.run "uptime" # 批量重启服务 salt '*' cmd.run "service httpd restart" # 让多台机器一起,使用Apache Bench进行压力测试 salt '*' cmd.run "ab -n 10 -c 2 http://www.google.com/"上面的例子都是对多个节点进行批量操作:使用通配符"'*'"对所有注册的节点进行操作。Salt支持多种方式对节点id(minion id)进行匹配。包括:
默认:通配符(globbing))
* E:正则表达式(Regular Expression)
* L:列表
* N: 分组(group)
* C:复合匹配
先看一下通配符、正则表达式和列表的例子:
# 通配符是最常用的匹配方式。Salt使用[linux风格的通配符](http://docs.python.org/2/library/fnmatch.html) salt '*' test.ping salt '*.example.net' test.ping salt '*.example.*' test.ping salt 'web?.example.net' test.ping salt 'web[1-5]' test.ping salt 'web-[x-z]' test.ping # 正则表达式可以适应更复杂的情况。使用[python的re模块](http://docs.python.org/2/library/re.html#module-re)进行匹配 salt -E 'web1-(prod|devel)' test.ping # 最直接的方式是自己指定多个minion,即列表 salt -L 'web1,web2,web3' test.ping复合匹配(Compound matchers)有点复杂,后续会在其他文章中专门介绍。
2. 节点分组(nodegroups)好吧,批量操作确实很爽。但是每次都输入匹配规则有点麻烦,对于复杂的匹配规则更是如此。 salt的 nodegroups功能可以将常用的匹配规则保存下来(称之为minion的分组)。批量操作是,只需要使用L标记指定要操作的group名字即可。 groups定义在master的配置文件/etc/salt/master中。
group 的定义可以使用各种匹配规则,比如:
group1: '[email protected], bar.domain.com,baz.domain.com or bl*.domain.com'group2: 'G@os:Debian and foo.domain.com'3. 命令执行(execution)Salt生来就有命令编排的功能。据说,Salt最先实现的是远程执行技术,然后才添加的配置管理功能。Salt使用ZeroMQ来处理命令执行的请求和响应消息,安装配置简单,并且性能非常高。
Salt即可以批量执行命令,也可以单机执行。通常单机执行用于测试:
1. 单机(立即)执行。 使用salt-call命令单机执行操作
2. 批量(立即)执行。最常用的操作。使用salt命令,对匹配的minion节点执行操作
Salt可以执行的命令也可以分为两种:
1. 系统命令,使用cmd.run执行
2. Salt模块,将常用的命令/批处理封装到内置的Salt模块(module),使用模块名.功能名的方式执行。
比如:
# 执行系统命令 salt '*' cmd.run 'hostname' # 执行Salt模块 salt '*' disk.usage使用Salt模块的好处是能够做到一致。比如同样是查看磁盘使用情况,salt '*' cmd.run "df -h"只能用于NIX节点,而salt '*' disk.usage对NIX和Windows都适用,并且采用相同结构返回数据,便于批量处理。
Salt已经内置了大量的模块,这些模块涵盖了日常管理任务的主要任务,包括:
1. 通用的管理任务,比如apt, at, cp, cron, disk, extfs, file, grains, hosts, iptables, mount, network, pam, parted, pkg, ps, selinux, shadow, ssh, test等
2. 针对特定软件的任务,比如apache, cassandra, djangomod, git, mongodb, mysql, nginx, nova, postgres, solr, sqlite3, 和tomcat
而且,自己开发Salt模块也非常简单,很容易将实际管理操作中的一些经验通过自定义的模块固化下来,并方便分享。
在开发和调试模块的时候,可以使用test=True参数进行模拟执行(Dry run)。比如:
salt 'minion1.example.com' state.highstate -v test=True4. 节点信息(grains)grains是Salt内置的一个非常有用的模块。在用salt进行管理客户端的时候或者写state的时候都可以引用grains的变量。
grains的基本使用举例如下:
# 查看grains分类 salt '*' grains.ls # 查看grains所有信息 salt '*' grains.items # 查看grains某个信息 salt '*' grains.item osrelease5. 配置管理(state)配置管理是Salt中非常重要的内容之一。Salt通过内置的state模块支持配置管理所需的功能。关于这部分内容,官方文档有很详细的描述,可以参考 part 1,part 2和 part 3。
Salt中可以定义节点的目标状态,称之为state。state对应配置管理中的配置,可以对其进行标识、变更控制、变更识别、状态报告、跟踪和归档以及审计等一些的管理行为。
状态描述
Salt使用SLS文件(SaLt State file)描述状态。SLS使用YAML格式进行数据序列化,因此简单明了,可读性也很高。
基本描述(yaml)
下边是一个简单的SLS文件例子:
apache: pkg: - installed service: - running - require: - pkg: apache
该文件描述一个ID为apache的配置状态:
1. 软件包(pkg)已经安装
2. 服务应该处于运行中
3. 服务的运行依赖于apache软件包的安装
state文件中的所有YAML变量名来自Salt的state模块。
Salt内置了大量的state模块,比如cron, cmd, file, group, host, mount, pkg, service, ssh_auth,user等。 详细清单参考这里。
还可以开发自己的state模块。
扩展描述(jinja)
state可以使用jinja模板引擎进行扩展,其语法可以参考这里。
下面是一个更复杂的例子:
vim: pkg: { % if grains['os_family'] == 'RedHat' % } - name: vim-enhanced { % elif grains['os'] == 'Debian' % } - name: vim-nox { % elif grains['os'] == 'Ubuntu' % } - name: vim-nox { % endif % } - installed
该state增加了判断逻辑:如果是redhard系列的就安装 vim-enhanced,如果系统是Debian或者Ubuntu就安装vim-nox。
逻辑关系
state之间可以有逻辑关系。常见的关系举例如下:
1. require:依赖某个state,在运行此state前,先运行依赖的state,依赖可以有多个
httpd: pkg: - installed file.managed: - name: /etc/httpd/conf/httpd.conf - source: salt://httpd/httpd.conf - require: - pkg: httpd
watch:在某个state变化时运行此模块
redis: pkg: - latest file.managed: - source: salt://redis/redis.conf - name: /etc/redis.conf - require: - pkg: redis service.running: - enable: True - watch: - file: /etc/redis.conf - pkg: redis
watch除具备require功能外,还增了关注状态的功能
3. order:优先级比require和watch低,有order指定的state比没有order指定的优先级高
vim: pkg.installed: - order: 1
想让某个state最后一个运行,可以用last
保存状态
状态描述文件(SLS)要保存在master节点中,并通过指令分发到minion节点。
1. 路径设置
Salt master的配置文件(/etc/salt/master)中可以通过file_roots参数指定状态文件的保存路径。可以为不同的环境(如开发环境、UAT环境、生产环境、灾备环境等)分别指定路径,如下所示:
file_roots: base: - /srv/salt/ dev: - /srv/salt/dev/services - /srv/salt/dev/states prod: - /srv/salt/prod/services - /srv/salt/prod/states
其中,base环境是必须的。
2. 入口文件
file_roots中必须指定“base”环境的路径,因为该路径中存在Salt state的入口文件: top.sls。
Top文件建立配置环境、节点和状态配置之间的映射关系。比如一个简单的top.sls文件:
base: '*': - serversdev: '*nodb*': - mongodb
该文件指定了: - 所有节点使用base环境的servers配置 - nodb节点使用dev环境的mongodb配置
结合第一部分的file_roots配置,该top配置意味存在以下的配置文件:
/srv/salt/servers.sls/srv/salt/dev/mongodb.sls
注:这里也可以使用文件夹/srv/salt/servers/和/srv/salt/dev/mongodb/,在文件夹中放置一组状态文件和配置文件,便于建立复杂的状态配置。
top.sls中的可配置内容非常丰富,具体内容可以参考官方文档。
状态生效(State Enforcement)
master上对状态进行定义,最终这些状态要传递到minion节点上。在本节的例子中,如果定义好了状态文件/srv/salt/dev/mongodb.sls:
mongodb: pkg: - installed
可以使用命令salt "minion1" state.highstate -v使得所有针对"minion1"的state生效;
在执行状态之前先进行测试是个好主意,需要指定参数test=True。比如,salt "minion1" state.highstate -v test=True。
关于state模块的更多用法,可以参考state模块说明,或官方文档。
更多
Salt的state模块的功能不仅如此,还可以使用模板和变量,以及定义状态的定时自动生效。
6. 小结本文介绍Salt的主要功能和基本使用,包括minion节点的管理,批量操作,以及非常重要的配置管理。 掌握了这些内容,可以使用Salt极大提高运维的效率(事实上,Salt对于开发阶段也能提供很大的帮助,开发和运维的界限正在逐渐模糊)。
后续会介绍一些使用案例以及Salt的高级功能。
Salt state实例解析在Salt的官方教程中,以apache和sshd的state配置作为例子。掌握这两个例子,就能够触类旁通,处理日常工作中大部分的配置管理问题。 本文对这两个例子进行详细的分析和注释。
1. 目录结构文档 中的例子包含了多个文件。这些文件之间互相引用和关联。目录结构及文件清单如下:
apache/init.sls
apache/httpd.conf
ssh/init.sls
ssh/server.sls
ssh/banner
ssh/ssh_config
ssh/sshd_config
ssh/custom-server.sls
两个配置分别放在了apache和ssh文件夹。一个Salt状态可以使用单个的SLS文件,或者使用一个文件夹。后者更加灵活方便。
2. apache/init.sls apache: pkg: - installed service: - running - watch: - pkg: apache - file: /etc/httpd/conf/httpd.conf - user: apache user.present: - uid: 87 - gid: 87 - home: /var/www/html - shell: /bin/nologin - require: - group: apache group.present: - gid: 87 - require: - pkg: apache /etc/httpd/conf/httpd.conf: file.managed: - source: salt://apache/httpd.conf - user: root - group: root - mode: 644 - template: jinja - context: custom_var: "override" - defaults: custom_var: "default value" other_var: 123说明:
1. sls文件使用YAML格式定义,最外面的层级定义配置项。
2. 一个sls文件中可以有多个配置项,配置项的ID可以起任意的名字。本例中包含ID为apache和/etc/httpd/conf/httpd.conf两个配置项。
3. 配置项内是一系列的状态声明。所有的状态项来自Salt状态模块。即可以使用Salt内置的状态模块,也可以编写自定义的状态模块
4. 状态声明内部指定状态函数的调用。状态函数是每个Salt状态模块中定义的函数。
5. apache配置项
1) pkg模块,使用操作系统的包管理器(如yum, apt-get)安装软件包
salt.states.pkg.installed函数, 验证软件包是否安装以及是否为指定的版本
2) service模块管理服务/守护进程(daemon)的启动或停止
salt.states.service.running函数检查服务是否已经启动
service模块定义了salt.states.service.mod_watch函数,可以使用watch要素监控其他的模块是否满足。这里监控以下情况:
apache软件包(pkg)是否已安装
/etc/httpd/conf/httpd.conf文件(file)是否存在
apache用户(user)是否存在
user.present是简写形式,直接调用user模块的present函数检查是否存在如下属性的apache用户:
uid=87
gid=87
home目录为/var/www/html
登录脚本为/bin/nologin
检查依赖项:apache用户组
group.present是简写形式,直接调用group模块的present函数检查是否存在如下属性的apache用户组:
gid=87
检查依赖项:apache软件包
6. /etc/httpd/conf/httpd.conf配置项
file.managed是简写形式,直接调用file模块的managed方法根据需要从master获取文件并可能会通过模板系统(templating system)进行渲染。文件要满足如下要求:
使用master上面的apache/httpd.conf文件
user=root
group=root
mode=644
使用jinja模板渲染
上下文变量:
custom_var="override"
默认值:
custom_var="default value"
other_var=123
3. ssh/init.slsopenssh-client: pkg.installed /etc/ssh/ssh_config: file.managed: - user: root - group: root - mode: 644 - source: salt://ssh/ssh_config - require: - pkg: openssh-client4. ssh/server.sls include: - ssh openssh-server: pkg.installed sshd: service.running: - require: - pkg: openssh-client - pkg: openssh-server - file: /etc/ssh/banner - file: /etc/ssh/sshd_config /etc/ssh/sshd_config: file.managed: - user: root - group: root - mode: 644 - source: salt://ssh/sshd_config - require: - pkg: openssh-server /etc/ssh/banner: file: - managed - user: root - group: root - mode: 644 - source: salt://ssh/banner - require: - pkg: openssh-server说明:
1. include语句将别的state添加到当前文件中,使得state可以跨文件引用。
使用include相当于把被引用的内容文件添加到自身,可以require、watch或extend被引用的SLS中定义的内容。
这里引用了sshstate。
2. openssh-server配置项
3. sshd
4. /etc/ssh/sshd_config配置项
5. /etc/ssh/banner配置项
5. ssh/custom-server.slsinclude: - ssh.server extend: /etc/ssh/banner: file: - source: salt://ssh/custom-banner说明:
1. 引用sshstate的server配置项
2. extend可以复用已有的state,在原来的基础上进行扩展,增加新的配置或修改已有的配置。
将/etc/ssh/banner配置项的文件修改为salt://ssh/custom-banner