|
Saltstack简介
Saltstack是基于Python开发的一套C/S架构,具备Puppet、Ansible功能于一身的配置管理工具,功能十分强大,各模块融合度及复用性极高;使用号称世界上最快的消息队列ZeroMQ使得Saltstack能够秒级在数万台服务器上进行各种操作,而且使用RAS Key方式确认身份,传输采用AES加密,安全性能更高;
Saltstack不仅仅是一款配置管理工具,还是一款做云计算和数据中心架构编排利器。目前Salt-cloud项目也已经合并到Saltstack主项目里,Saltstack已经支持Docker相关模块,在友好地支持各大云平台之后,配合Saltstack的Mine实现各云平台业务自动扩展。
自动化工具对比
1)Puppet
优点:老牌经典自动化配置软件、应用广泛、功能强大
缺点:不能批处理,使用Ruby和DSL语言开发,没有相关技术栈的公司维护和二次开发起来比较很难,门槛比较高;缺少错误检查和报告;最致命的是Puppet的执行是无序执行,对于一些配置或者部署有先后顺序的项目比较难以处理
2)Chef
优点:功能也比较强大(资料比较少)
缺点:官方文档说明比较模糊浅显;执行并非push实时执行,而是client端定时获取server端数据
3)Ansible
优点:社区年轻有活力,play-book使用yaml,简洁,不需要客户端client支持
缺点:使用SSH管理配置,理论上慢于Saltstack,对于不苛求执行效率,Ansible也是一个不错的选择
4)Saltstack
优点:功能不仅限于配置管理、使用Python开发、Grain/Pillar支持、自定义moudles
缺点:社区相对比较年轻,文档资料较少(其实官方文档已经讲解得很深入了...)
Saltstack的三种运行方式
· Local
· Master/Minion
· Salt SSH
Saltstack最传统的运行方式还是C/S模式,需要在被管理节点上安装Minion客户端;其实Saltstack也支持SSH方式,无需安装Agent,通过SSH实现管理
Saltstack目前最主要的三大主要功能
· 远程执行
· 配置管理
· 云管理
接下来,我们也会一步步深入学习Saltstck的各个重要功能,通过Saltstack系列实现一套常规的web集群环境自动化配置管理...
Saltstack部署
实验环境
[root@saltstack-node1 ~]# cat /etc/redhat-release
CentOS Linux release 7.2.1511 (Core)
[root@saltstack-node1 ~]# uname -r
3.10.0-327.el7.x86_64
实验主机
saltstack-node1 10.0.0.185 Master/Minior
saltstack-node2 10.0.0.186 Minior
1)安装yum源
Saltsatck官方提供了一些专门的repo源:https://repo.saltstack.com/#rhel
yum install https://repo.saltstack.com/yum/redhat/salt-repo-latest-1.el7.noarch.rpm 2)安装软件
在node1上面安装Master和Minion,node2只安装Minion
[root@saltstack-node1 ~]# yum install -y salt-master salt-minion
[root@saltstack-node2 ~]# yum install -y salt-minion
修改Master的主机地址
[root@saltstack-node1 ~]# vim /etc/salt/minion
#master: 172.16.2.185 #master地址,注意空格
更改minion的id号
id: saltstack-node2.lichengbing.com #id号是唯一用来区分不同minion的标识,如果不设置,默认使用主机名 id号对于后期做配置管理作用很大,注意命名规则,等开启服务后,能在salt文件夹下看见id文件
[root@saltstack-node1 ~]# cd /etc/salt/
-rw-r----- 1 root root 31892 Sep 25 19:27 minion
3)开启Master和Minion
[root@saltstack-node1 ~]# systemctl start salt-master.service
[root@saltstack-node1 ~]# systemctl start salt-minion.service
[root@saltstack-node2 ~]# systemctl start salt-minion
[root@saltstack-node1 ~]# netstat -tunlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1039/sshd
tcp 0 0 0.0.0.0:4505 0.0.0.0:* LISTEN 42394/python
tcp 0 0 0.0.0.0:4506 0.0.0.0:* LISTEN 42542/python
tcp6 0 0 :::22 :::* LISTEN 1039/sshd
udp 0 0 127.0.0.1:323 0.0.0.0:* 746/chronyd
udp6 0 0 ::1:323 :::*
746/chronyd
#4505端口用户消息发布、4506用户接收minion返回消息
想查看saltstack具体进程,可以安装一个python-setproctitle库
[root@saltstack-node1 ~]# yum install -y python-setproctitle
[root@saltstack-node1 ~]# systemctl restart salt-master
[root@saltstack-node1 ~]# ps -ef|grep salt-master
root 49340 1 8 20:28 ? 00:00:01 /usr/bin/python /usr/bin/salt-master ProcessManager
root 49354 49340 0 20:28 ? 00:00:00 /usr/bin/python /usr/bin/salt-master MultiprocessingLoggingQueue
root 49355 49340 0 20:28 ? 00:00:00 /usr/bin/python /usr/bin/salt-master ZeroMQPubServerChannel
root 49358 49340 0 20:28 ? 00:00:00 /usr/bin/python /usr/bin/salt-master EventPublisher
root 49359 49340 5 20:28 ? 00:00:00 /usr/bin/python /usr/bin/salt-master Maintenance
root 49466 49340 1 20:28 ? 00:00:00 /usr/bin/python /usr/bin/salt-master Reactor
root 49467 49340 2 20:28 ? 00:00:00 /usr/bin/python /usr/bin/salt-master ReqServer_ProcessManager
root 49470 49467 0 20:28 ? 00:00:00 /usr/bin/python /usr/bin/salt-master MWorkerQueue
root 49480 49467 6 20:28 ? 00:00:00 /usr/bin/python /usr/bin/salt-master MWorker-0
root 49483 49467 6 20:28 ? 00:00:00 /usr/bin/python /usr/bin/salt-master MWorker-1
root 49486 49467 6 20:28 ? 00:00:00 /usr/bin/python /usr/bin/salt-master MWorker-2
root 49488 49467 5 20:28 ? 00:00:00 /usr/bin/python /usr/bin/salt-master MWorker-3
root 49489 49467 6 20:28 ? 00:00:00 /usr/bin/python /usr/bin/salt-master MWorker-4
4)Minion的私钥、公钥认证
当配置好master地址,启动minion后,minion端会发送自己的公钥到master端请求验证
[root@saltstack-node2 ~]# tree /etc/salt/pki
/etc/salt/pki
├── master
└── minion
├── minion.pem
└── minion.pub #这是minion的公钥
[root@saltstack-node2 ~]# md5sum /etc/salt/pki/minion/minion.pub
f1190cb622042a2cc9ca918b3d3ab7da /etc/salt/pki/minion/minion.pub
被成功发送到了master
[root@saltstack-node1 salt]# tree /etc/salt/pki
/etc/salt/pki
├── master
│ ├── master.pem
│ ├── master.pub
│ ├── minions
│ ├── minions_autosign
│ ├── minions_denied
│ ├── minions_pre #minions_pre用来存储接收到的minion公钥
│ │ ├── saltstack-node1.lichengbing.com
│ │ └── saltstack-node2.lichengbing.com
│ └── minions_rejected
└── minion
├── minion.pem
└── minion.pub
[root@saltstack-node1 salt]# md5sum /etc/salt/pki/master/minions_pre/saltstack-node2.lichengbing.com
f1190cb622042a2cc9ca918b3d3ab7da /etc/salt/pki/master/minions_pre/saltstack-node2.lichengbing.com
#MD5验证确实是minion的公钥
5)master认证minion
[root@saltstack-node1 ~]# salt-key #查看连接成功的minion
Accepted Keys:
Denied Keys:
Unaccepted Keys:
saltstack-node1.lichengbing.com
saltstack-node2.lichengbing.com
Rejected Keys:
[root@saltstack-node1 ~]# salt-key -a saltstack-node1.lichengbing.com # -a认证参数
The following keys are going to be accepted:
Unaccepted Keys:
saltstack-node1.lichengbing.com
Proceed? [n/Y] y
Key for minion saltstack-node1.lichengbing.com accepted.
[root@saltstack-node1 ~]# salt-key -a saltstack-node2.lichengbing.com
The following keys are going to be accepted:
Unaccepted Keys:
saltstack-node2.lichengbing.com
Proceed? [n/Y] y
Key for minion saltstack-node2.lichengbing.com accepted.
[root@saltstack-node1 ~]# salt-key
Accepted Keys: #认证成功的minion
saltstack-node1.lichengbing.com
saltstack-node2.lichengbing.com
Denied Keys:
Unaccepted Keys:
Rejected Keys:
认证成功后,master也会将自己的公钥发一份到minion,作为以后连接认证
[root@saltstack-node2 ~]# tree /etc/salt/pki
/etc/salt/pki
├── master
└── minion
├── minion_master.pub #master发送过来的公钥
├── minion.pem
└── minion.pub
远程执行
认证成功后,在master之上就可以执行简单的远程执行命令了
测试minion存活情况
[root@saltstack-node1 ~]# salt '*' test.ping
saltstack-node1.lichengbing.com:
True
saltstack-node2.lichengbing.com:
True
批量对所有minion远程执行一个w命令
[root@saltstack-node1 ~]# salt '*' cmd.run 'w'
saltstack-node1.lichengbing.com:
20:14:22 up 7:21, 2 users, load average: 0.10, 0.28, 0.31
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 15:49 4:18m 0.40s 0.40s -bash
root pts/1 10.0.0.1 15:55 22.00s 3.22s 1.20s /usr/bin/python /usr/bin/salt * cmd.run w
saltstack-node2.lichengbing.com:
20:14:23 up 7:32, 2 users, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 12:51 1:50m 0.29s 0.29s -bash
root pts/0 10.0.0.1 18:24 4:39 1.51s 1.51s -bash |
|
|