自动化运维工具之SaltStack简介与安装

1、SaltStack简介

官方网址：http://www.saltstack.com
官方文档：http://docs.saltstack.com
GitHub：https:github.com/saltstack

SaltStack是一个服务器基础架构集中化管理平台，具备配置管理、远程执行、
监控等功能，一般可以理解为简化版的puppet和加强版的func。SaltStack基于
Python语言实现，结合轻量级消息队列（ZeroMQ）与Python第三方模块
（Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等）构建。
通过部署SaltStack环境，我们可以在成千上万台服务器上做到批量执行命令，
根据不同业务特性进行配置集中化管理、分发文件、采集服务器数据、操作系统基
础及软件包管理等，SaltStack是运维人员提高工作效率、规范业务配置与操作的利
器。

2、SaltStack特性

(1)、部署简单、方便；
(2)、支持大部分UNIX/Linux及Windows环境；
(3)、主从集中化管理；
(4)、配置简单、功能强大、扩展性强；
(5)、主控端（master）和被控端（minion）基于证书认证，安全可靠；

(6)、支持API及自定义模块，可通过Python轻松扩展。

3、SaltStack的结构

saltstack采用C/S（客户端和server端）架构，salt-master为server端，salt-minion为客户端

a)Master与Minion认证

(1)、minion在第一次启动时，会在/etc/salt/pki/minion/（该路径在/etc/salt/minion里面设置）下自动生成minion.pem（private key）和 minion.pub（public key），然后将 minion.pub发送给master。

(2)、master在接收到minion的public key后，通过salt-key命令accept minion public key，这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key，然后master就能对minion发送指令了。

b)Master与minion链接

(1)、SaltStack master启动后默认监听4505和4506两个端口。4505（publish_port）为saltstack的消息发布系统，4506（ret_port）为saltstack客户端与服务端通信的端口。如果使用lsof 查看4505端口，会发现所有的minion在4505端口持续保持在ESTABLISHED状态。

4、SaltStack基础安装与操作

(1)环境说明

192.168.1.12 安装salt-master salt-minion
192.168.1.100 安装salt-minion

1、本次操作采用CentOS 7.2系统

# cat /etc/redhat-release
CentOS Linux release 7.2. (Core) 

# uname -r
3.10.-.el7.x86_64

# hostname -I
192.168.1.12

# hostname -I
192.168.1.100

2、操作系统基础优化

参考博客：http://blog.51cto.com/12217917/2060136

5、yum安装SaltStack

# rpm -ivh https://repo.saltstack.com/yum/redhat/salt-repo-latest-2.el7.noarch.rpm    #两台服务器都安装rpm包

1、salt管理节点安装

# yum install -y salt-master salt-minion

2、salt所有客户端安装（被管理的机器）

# yum install -y salt-minion

6、启动Salt

1、管理端启动命令

# systemctl start salt-master      #master端启动命令
# tree /etc/salt/pki        #启动后查看目录结构
pki
└── master
    ├── master.pem     #salt-master的公钥
    ├── master.pub     #salt-master的私钥
    ├── minions
    ├── minions_autosign
    ├── minions_denied
    ├── minions_pre
    └── minions_rejected

2、配置客户端并启动客户端

# sed -n '16p' /etc/salt/minion         #修改所有客户端的配置文件
master: 192.168.56.11      #告诉客户端   salt-master是谁，：冒号后面需要有空格
注：minion配置文件的关于ID配置，{如果配置ID则使用配置里的ID作为主机通讯标记，如果不配置ID则默认以主机名作为ID为主机通讯标记（本人生产上的主机名都做修改所以这里没有配置ID），ID如果修改，需要删除之前认证的KEY，然后重新添加KEY。}
# systemctl start salt-minion        #启动客户端
注：修改客户端通讯ID的步骤{.停止需要修改ID的salt-minion  .salt-key 删除老的id   .删除minion端的/etc/salt/minion_id   .删除minion端/etc/salt/pki  .修改minion配置文件的id   .启动minion   .master端重新salt-key加入}

# tree      #启动后查看客户端的结构
.
├── minion
├── minion.d
├── minion_id
└── pki
    └── minion
        ├── minion.pem    #minion的公钥
        └── minion.pub    #minion的私钥

7、在master端添加客户端

说明：这一步操作就相当与签劳动合同，表示客户端（salt-minion）接受server端（salt-master）管理。

# salt-key          #查看客户端的命令
Accepted Keys:    #已经同意的key有哪些
Denied Keys:      #拒绝的key有哪些
Unaccepted Keys:    #未同意的key有哪些
linux-node1     #客户端的通讯ID（由于前面没有配置，这里以主机名的形式出现）
linux-node2     #客户端的通讯ID（由于前面没有配置，这里以主机名的形式出现）

# salt-key -A        #-A表示同意所有的客户端通讯ID
The following keys are going to be accepted:
Unaccepted Keys:
db02-
saltstack-
Proceed? [n/Y] y    #确认信息，是否同意这两个key
Key for minion linux-node1
Key for minion linux-node2

关于salt-key的参数
-d 删除单个key，也支持*号模糊匹配删除   (针对key的操作)
-D 删除所有key，慎用                    (针对key的操作)
-L 列表                                 (远程执行、列表key等)
-A 同意所有key                          (针对key的操作)
-a 同意单个，可以用*号迷糊匹配添加      (针对key的操作)
-G 匹配Grains                           (远程执行)
-I 匹配Pillar                             (远程执行)
-E 支持正则表达式                       (远程执行)
-S 指定客户端的ip地址                   (远程执行)
-C 一条远程执行的命令同时支持多个参数   (远程执行)
-N 支持节点组                           (远程执行)
更多操作请通过salt-key --help来查看

8、master端确认是否能连接到客户端（salt-minion端）

1、测试所有客户端是否能通讯

# salt '*' test.ping        #{*为通配符，表示所有。test为模块，ping为test模块下的一个方法（测试是否能通讯）}
linux-node2
    True      #True为通，False为失败
linux-node1
    True

2、远程执行shell命令

# salt ' linux-node2 ' cmd.run "w"       #单独指定某个客户端的通讯ID表示在这台客户端执行（cmd.cun表示执行shell命令，支持linux下所有的shell命令）
linux-node2:
     :: up  :,   user,  load average: 0.00, 0.01, 0.05

如有问题欢迎指出与交流。