自动化之SaltStack

aa0660

一、SaltStack 简介
　　Salt，,一种全新的基础设施管理方式，部署轻松，在几分钟内可运行起来，扩展性好，很容易管理上万台服务器，速度够快，服务器之间秒级通讯。
　　salt底层采用动态的连接总线, 使其可以用于编配, 远程执行, 配置管理等等.
　　官网地址：http://docs.saltstack.cn/index.html
　　Salt 是：

• 　　一个配置管理系统，能够维护预定义状态的远程节点(比如，确保指定的报被安装，指定的服务在运行)
  
  
• 　　一个分布式远程执行系统，用来在远程节点（可以是单个节点，也可以是任意规则挑选出来的节点）上执行命令和查询数据
  
  

　　开发其的目的是为远程执行提供最好的解决方案，并使远程执行变得更好，更快，更

简单
　　既要考虑大规模部署，又要考虑小规模系统，提供适应多种场合的应用让人沮丧，但Salt非常容易设置和维护，而不用考虑项目的大小。从数量可观的本地网络系统，到跨数据中心的互联网部署，Salt设计为在任意数量的server下都可工作。salt的拓扑使用简单的server/client模式，需求的功能内建在一组daemon中。salt在几乎不改动配置的情况下就可以工作，也可以调整从而满足特定的需求。

并行执行
　　Salt的核心功能

• 　　使命令发送到远程系统是并行的而不是串行的
  
  
• 　　使用安全加密的协议
  
  
• 　　使用最小最快的网络载荷
  
  
• 　　提供简单的编程接口
  
  

　　Salt同样引入了更加细致化的领域控制系统来远程执行，使得系统成为目标不止可以通过主机名，还可以通过系统属性。

BUILDS ON PROVEN TECHNOLOGY
　　Salt运用大量的技术和技巧。网络层使用卓越的`ZeroMQ`_ 网络类库构建，所以Salt的守护端包含了可行的和透明的AMQ代理。Salt使用公钥和master守护端认证，然后使用更快的AES`_ 负载通信加密; 身份认证和加密对salt是不可或缺的。Salt通过`msgpack`_建立通信，使得速度更快并且网络流量少。

PYTHON客户端接口
　　为了允许简单的扩展，Salt执行程序可以写为纯Python模块。数据从Salt执行过程中收集到可以发送回master服务端，或者发送到任何任意程序。Salt可以从一个简单的Python API调用，或者从命令行被调用，所以Salt可以用来执行一次性命令，也可以作为一个更大的应用程序的一个组成部分。

快速，灵活，易扩展
　　结果是能够在1台或多台目标机器上快速执行命令的系统。Salt运行快速，安装简单，高度可定制；Salt用相同的远程执行架构满足管理不同数量服务器的需求。Salt基础设施可以集成最好的远程执行工具，增强了Salt的能力及用途，得到功能丰富实用可以适用于任何网络的系统。

开放
　　Salt是在`Apache 2.0 协议`_下开发，可以被用来开发开放和私有项目。请将你的扩展提交回Salt项目使我们可以共同让Salt茁壮成长。请随意播撒Salt在你的系统上，享受美味芬芳。

SALTSTACK是什么？
　　Salt是一种和以往不同的基础设施管理方法，它是建立在大规模系统高速通讯能力可以大幅提升的想法上。这种方法使得Salt成为一个强大的能够解决基础设施中许多特定问题的多任务系统。远程执行引擎是Salt的核心，它能够为多组系统创建高速、安全的双向通讯网络。基于这个通许系统，Salt提供了一个非常快速、灵活并且容易使用的配置管理系统，称之为“Salt States”。
　　基于python开发，提供REST API接口
　　三大功能： 远程执行、配置管理（状态）、云管理
　　其它：Puppet（ruby）、ansible（python）
　　四种运行方式：Local、Minion/Master(C/S)、Syndic(代理，类似zabbix proxy)、Salt SSH

二、安装SALT
　　主机名
　　IP地址
　　说明
　　linux-node1.example.com
　　192.16.230.130
　　模式：master同时也是minion
　　linux-node2.example.com
　　192.168.230.131
　　模式：minion




　　1、官方已经提供了Yum，我们可以指定官方yum源http://repo.saltstack.com/
　　服务器A
　　

yum install https://repo.saltstack.com/yum/redhat/salt-repo-latest-1.el7.noarch.rpm　　

　　安装salt
　　

yum -y install salt-master salt-minion　　

　　服务器B
　　

yum -y install salt-minion　　

　　2、修改两个salt-minion的配置文件，指出salt-master的主机，这里可以使用ip地址，如果有内部dns也可以使用主机名，使用主机名方便以后salt-master的迁移
　　master: 192.168.30.130可以是主机名需要解析（指定服务端的IP地址）
　　id：   唯一标识符，可以不配，不配默认就是主机名
　　

[iyunv@linux-node1 ~]#sed -i '16s#\#master: salt#master: 192.168.230.130#g' /etc/salt/minion　　

　　
[iyunv@linux
-node2 ~]#sed -i '16s#\#master: salt#master: 192.168.230.130#g' /etc/salt/minion　　

　　3、服务器A启动master和minion，并配置开机自启动
　　

systemctl enable salt-master.service　　

　　
systemctl start salt
-master.service　　

　　
systemctl enable salt
-minion.service　　

　　
systemctl start salt
-minion.service　　

　　服务器B
　　

systemctl enable salt-minion.service　　

　　
systemctl start salt
-minion.service　　

　　启动服务之后会在/etc/salt下面产生一个minion_id的配置文件（里面就是我们配置文件中指定的ID，可以不修改。不修改默认就是主机名）同时还会产生一个pki的文件，里面存放minion的公钥和私钥
　　4、配置说明
　　

[iyunv@linux-node1 ~]# ll /etc/salt/　　
total
120　　
-rw-r-----. 1 root root  2624 Feb 23  2017 cloud
　　
drwxr-xr-x. 2 root root     6 Feb 24  2017 cloud.conf.d
　　
drwxr-xr-x. 2 root root     6 Feb 24  2017 cloud.deploy.d
　　
drwxr-xr-x. 2 root root     6 Feb 24  2017 cloud.maps.d
　　
drwxr-xr-x. 2 root root     6 Feb 24  2017 cloud.profiles.d
　　
drwxr-xr-x. 2 root root     6 Feb 24  2017 cloud.providers.d
　　
-rw-r-----. 1 root root 42644 Feb 23  2017 master
　　
drwxr-xr-x. 2 root root     6 Feb 24  2017 master.d
　　
-rw-r-----. 1 root root 33748 Dec 20 19:10 minion
　　
drwxr-xr-x. 2 root root     6 Feb 24  2017 minion.d
　　
-rw-r--r--. 1 root root    23 Dec 20 19:07 minion_id
　　
drwxr-xr-x. 4 root root    32 Dec 20 19:04 pki
　　
-rw-r-----. 1 root root 26984 Feb 23  2017 proxy
　　
drwxr-xr-x. 2 root root     6 Feb 24  2017 proxy.d
　　
-rw-r-----. 1 root root   344 Aug 11  2015 roster
　　

　　salt启动之后会先读取minion_id里面的配置
　　

[iyunv@linux-node1 ~]# cat /etc/salt/minion_id　　
linux
-node1.example.com　　

　　minion在启动的时候建立的
　　

[iyunv@linux-node1 ~]# tree /etc/salt/pki/　　
/etc/salt/pki/
　　
├── master
　　
│   ├── master.pem
　　
│   ├── master.pub
　　
│   ├── minions
　　
│   ├── minions_autosign
　　
│   ├── minions_denied
　　
│   ├── minions_pre
　　
│   │   ├── linux-node1.example.com
　　
│   │   └── linux-node2.example.com
　　
│   └── minions_rejected
　　
-------------------minion-----------------------
　　
└── minion
　　├── minion.pem  私钥
　　└── minion.pub   公钥
　　

　　
7 directories,6 files
　　

　　配置完master启动minion的时候就会将公钥发送过去
　　master讲解
　　

[iyunv@linux-node1 salt]# tree /etc/salt/pki/　　

　　
/etc/salt/pki/
　　

　　
├── master
　　

　　
│   ├── master.pem 私钥
　　

　　
│   ├── master.pub 公钥
　　

　　
│   ├── minions
　　

　　
│   ├── minions_autosign
　　

　　
│   ├── minions_denied
　　

　　
│   ├── minions_pre  接收到minion的公钥等待master的同意
　　

　　
│   │   ├── linux-node1.example.com 使用id作为公钥的名称
　　

　　
│   │   └── linux-node2.example.com
　　

　　
│   └── minions_rejected
　　

　　
└── minion
　　

　　├── minion.pem
　　

　　└── minion.pub
　　

　　

　　
7 directories,6 file
　　


三、Saltstack认证
　　

[iyunv@linux-node1 salt]# salt-key　　
Accepted Keys:同意的
　　
Denied Keys:拒绝的
　　
Unaccepted Keys:等待同意的
　　
linux
-node1.example.com　　
linux
-node2.example.com　　
Rejected Keys:
　　

　　同意认证的方法：
　　分为三种：

• [iyunv@linux-node1 salt]# salt-key -A
  
• [iyunv@linux-node1 salt]# salt-key -a 指定id
  
• [iyunv@linux-node1 salt]# salt-key -a 支持通配符