自动化之SaltStack

一、SaltStack 简介

Salt，,一种全新的基础设施管理方式，部署轻松，在几分钟内可运行起来，扩展性好，很容易管理上万台服务器，速度够快，服务器之间秒级通讯。

salt底层采用动态的连接总线, 使其可以用于编配, 远程执行, 配置管理等等.

官网地址：http://docs.saltstack.cn/index.html

Salt 是：

• 一个配置管理系统，能够维护预定义状态的远程节点(比如，确保指定的报被安装，指定的服务在运行)

• 一个分布式远程执行系统，用来在远程节点（可以是单个节点，也可以是任意规则挑选出来的节点）上执行命令和查询数据

开发其的目的是为远程执行提供最好的解决方案，并使远程执行变得更好，更快，更

简单

既要考虑大规模部署，又要考虑小规模系统，提供适应多种场合的应用让人沮丧，但Salt非常容易设置和维护，而不用考虑项目的大小。从数量可观的本地网络系统，到跨数据中心的互联网部署，Salt设计为在任意数量的server下都可工作。salt的拓扑使用简单的server/client模式，需求的功能内建在一组daemon中。salt在几乎不改动配置的情况下就可以工作，也可以调整从而满足特定的需求。

并行执行

Salt的核心功能

• 使命令发送到远程系统是并行的而不是串行的

• 使用安全加密的协议

• 使用最小最快的网络载荷

• 提供简单的编程接口

Salt同样引入了更加细致化的领域控制系统来远程执行，使得系统成为目标不止可以通过主机名，还可以通过系统属性。

BUILDS ON PROVEN TECHNOLOGY

Salt运用大量的技术和技巧。网络层使用卓越的`ZeroMQ`_ 网络类库构建，所以Salt的守护端包含了可行的和透明的AMQ代理。Salt使用公钥和master守护端认证，然后使用更快的AES`_ 负载通信加密; 身份认证和加密对salt是不可或缺的。Salt通过`msgpack`_建立通信，使得速度更快并且网络流量少。

PYTHON客户端接口

为了允许简单的扩展，Salt执行程序可以写为纯Python模块。数据从Salt执行过程中收集到可以发送回master服务端，或者发送到任何任意程序。Salt可以从一个简单的Python API调用，或者从命令行被调用，所以Salt可以用来执行一次性命令，也可以作为一个更大的应用程序的一个组成部分。

快速，灵活，易扩展

结果是能够在1台或多台目标机器上快速执行命令的系统。Salt运行快速，安装简单，高度可定制；Salt用相同的远程执行架构满足管理不同数量服务器的需求。Salt基础设施可以集成最好的远程执行工具，增强了Salt的能力及用途，得到功能丰富实用可以适用于任何网络的系统。

开放

Salt是在`Apache 2.0 协议`_下开发，可以被用来开发开放和私有项目。请将你的扩展提交回Salt项目使我们可以共同让Salt茁壮成长。请随意播撒Salt在你的系统上，享受美味芬芳。

SALTSTACK是什么？

Salt是一种和以往不同的基础设施管理方法，它是建立在大规模系统高速通讯能力可以大幅提升的想法上。这种方法使得Salt成为一个强大的能够解决基础设施中许多特定问题的多任务系统。远程执行引擎是Salt的核心，它能够为多组系统创建高速、安全的双向通讯网络。基于这个通许系统，Salt提供了一个非常快速、灵活并且容易使用的配置管理系统，称之为“Salt States”。

基于python开发，提供REST API接口

三大功能： 远程执行、配置管理（状态）、云管理

其它：Puppet（ruby）、ansible（python）

四种运行方式：Local、Minion/Master(C/S)、Syndic(代理，类似zabbix proxy)、Salt SSH

二、安装SALT

主机名	IP地址		说明
linux-node1.example.com	192.16.230.130	模式：master同时也是minion
linux-node2.example.com	192.168.230.131	模式：minion

1、官方已经提供了Yum，我们可以指定官方yum源http://repo.saltstack.com/

服务器A

yum install https://repo.saltstack.com/yum/redhat/salt-repo-latest-1.el7.noarch.rpm

安装salt

yum -y install salt-master salt-minion

服务器B

yum -y install salt-minion

2、修改两个salt-minion的配置文件，指出salt-master的主机，这里可以使用ip地址，如果有内部dns也可以使用主机名，使用主机名方便以后salt-master的迁移

master: 192.168.30.130可以是主机名需要解析（指定服务端的IP地址）

id：   唯一标识符，可以不配，不配默认就是主机名

[root@linux-node1 ~]#sed -i '16s#\#master: salt#master: 192.168.230.130#g' /etc/salt/minion

[root@linux-node2 ~]#sed -i '16s#\#master: salt#master: 192.168.230.130#g' /etc/salt/minion

3、服务器A启动master和minion，并配置开机自启动

systemctl enable salt-master.service

systemctl start salt-master.service

systemctl enable salt-minion.service

systemctl start salt-minion.service

服务器B

systemctl enable salt-minion.service

systemctl start salt-minion.service

启动服务之后会在/etc/salt下面产生一个minion_id的配置文件（里面就是我们配置文件中指定的ID，可以不修改。不修改默认就是主机名）同时还会产生一个pki的文件，里面存放minion的公钥和私钥

4、配置说明

[root@linux-node1 ~]# ll /etc/salt/
total
-rw-r-----.  root root   Feb    cloud
drwxr-xr-x.  root root      Feb    cloud.conf.d
drwxr-xr-x.  root root      Feb    cloud.deploy.d
drwxr-xr-x.  root root      Feb    cloud.maps.d
drwxr-xr-x.  root root      Feb    cloud.profiles.d
drwxr-xr-x.  root root      Feb    cloud.providers.d
-rw-r-----.  root root  Feb    master
drwxr-xr-x.  root root      Feb    master.d
-rw-r-----.  root root  Dec  : minion
drwxr-xr-x.  root root      Feb    minion.d
-rw-r--r--.  root root     Dec  : minion_id
drwxr-xr-x.  root root     Dec  : pki
-rw-r-----.  root root  Feb    proxy
drwxr-xr-x.  root root      Feb    proxy.d
-rw-r-----.  root root    Aug    roster

salt启动之后会先读取minion_id里面的配置

[root@linux-node1 ~]# cat /etc/salt/minion_id
linux-node1.example.com

minion在启动的时候建立的

[root@linux-node1 ~]# tree /etc/salt/pki/
/etc/salt/pki/
├── master
│   ├── master.pem
│   ├── master.pub
│   ├── minions
│   ├── minions_autosign
│   ├── minions_denied
│   ├── minions_pre
│   │   ├── linux-node1.example.com
│   │   └── linux-node2.example.com
│   └── minions_rejected
-------------------minion-----------------------
└── minion
    ├── minion.pem  私钥
    └── minion.pub   公钥

 directories, files

配置完master启动minion的时候就会将公钥发送过去

master讲解

[root@linux-node1 salt]# tree /etc/salt/pki/

/etc/salt/pki/

├── master

│   ├── master.pem 私钥

│   ├── master.pub 公钥

│   ├── minions

│   ├── minions_autosign

│   ├── minions_denied

│   ├── minions_pre  接收到minion的公钥等待master的同意

│   │   ├── linux-node1.example.com 使用id作为公钥的名称

│   │   └── linux-node2.example.com

│   └── minions_rejected

└── minion

    ├── minion.pem

    └── minion.pub

 directories, file

三、Saltstack认证

[root@linux-node1 salt]# salt-key
Accepted Keys:同意的
Denied Keys:拒绝的
Unaccepted Keys:等待同意的
linux-node1.example.com
linux-node2.example.com
Rejected Keys:

同意认证的方法：

分为三种：

1. [root@linux-node1 salt]# salt-key -A
2. [root@linux-node1 salt]# salt-key -a 指定id
3. [root@linux-node1 salt]# salt-key -a 支持通配符