[SaltStack] Multi-Master配置

Multi Master配置

从salt 0.16.0版本开始, 管理minions可以使用multi-master特性. 当使用multi-master时, 所有masters均可以正常运行, 任何一个active-master都可以向minions发送命令.

在0.16.0版本, masters之间并不会共享信息, public keys需要在每台master上accept, 文件共享需要手动完成, 或者使用类似git工具确保file_roots目录文件一致.

建立Multi-Master的大概步骤：
- 安装新的master server
- copy masterkeys到新的master对应目录
- 启动新的master进程
- 配置minions配置文件
- Restart minions
- 在新的master上accept keys

Master Keys

配置Multi-Master主要的问题是: 每一个master使用相同的private key. Private key在master第一次启动时自动生成的(注意: 配置Multi-Master时, 一定要在启动新master前将老master的private key copy到对应目录).

Master的private key在pki_dir目录下, 默认的位置是: /etc/salt/pki/master/master.pem, 将该key copy到新的master对应的目录下.

谨记, 一定是在启动新master之前copy!

Configure Minions

修改minion config文件, 这样每一个minion将会认证到所有master上.

Config文件默认在:/etc/salt/minion

e.g.

修改minion config file

master:

  - saltmaster1.example.com

  - saltmaster2.example.com

最后, restart minion..

此时, 所有master都alive, 并且可以控制minon.

配置过程

安装master

Rpm装，就不说了（注意：先不要启动salt-master）
copyprivate keys(可以使用nc copy文件)
启动新的salt-master

/etc/init.d/salt-master start
配置minion端config files
重启salt-minion

/etc/init.d/salt-minion restart

有一个问题: master之间无法容灾.

如果主salt-master当机, salt-call将会失败, 无法完成同步, 但是其他冗余salt-master还是可以向下highstate.

所以需要使用DNS解析, 如果主master宕机, 立即切换DNS到其他的master.

测试

stop old salt-master
在minion上salt-call
在new salt-master上highstate

看以看出在new salt-master上highstate是没有问题的.

Sharing Files Between Masters

Salt并不会在每个master之间同步文件共享, 下面介绍一下一些key files在master之间的同步和保持一致.

Minion Keys

Minion keys会被每一个master接受. 可以通过salt-key工具手动完成, 或者同步一些关键目录. 必要的同步目录是:

/etc/salt/pki/master/minions

/etc/salt/pki/master/minions_pre

/etc/salt/pki/master/minions_rejected

file_roots

file_roots: 目录也应该被在master之间同步. 这是用于管理配置的salt state file目录, 推荐的同步方法是使用gitfs, 或者将file_roots目录放在共享存储上.

pillar_roots

同file_roots一样也需要被同步.

Master Configuration

确保master相关的配置也是相互同步的.

external_auth

client_acl

peer

peer_run

Conclusion

总的来说配置Multi-master还是比较简单的, 可以提供多master来管理minions, 确保keys和state files在master之间保持同步.

From reno

2015-06-17 21:23:00