自动化运维工具Saltstack-KaliArch

llcong

　　一、概述
　　1.1 Saltstack简介
　　SaltStack是一个服务器基础架构集中化管理平台，具备配置管理、远程执行、监控等功能，一般可以理解为简化版的puppet和加强版的func。SaltStack基于Python语言实现，结合轻量级消息队列（ZeroMQ）与Python第三方模块（Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等）构建。通过部署SaltStack环境，我们可以在成千上万台服务器上做到批量执行命令，根据不同业务特性进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等，SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。
　　1.2 特点

• 　　简单
  

　　兼顾大规模部署与更小的系统的同时提供多功能性是很困难的，Salt是非常简单配置和维护，不管项目的大小。Salt可以胜任管理任意的数量的服务器，不管是本地网络，还是跨数据中心。架构采用C/S模式，在一个后台程序中集成必要功能。默认不需要复杂的配置就可以工作，同时可以定制用于特殊的需求。

• 　　并行执行
  

　　Salt的核心功能：
　　通过并行方式让远端节点执行命令
　　采用安全的加密/解析协议
　　最小化使用网络和负载
　　提供简单的程序接口
　　Salt引入了更细粒度的控制，允许不通过目标名字，二是通过系统属性分类

• 　　构建在成熟技术之上
  

　　Salt采用了很多技术和技巧。网络层采用优秀的ZeroMQ库，所以守护进程里面包含AMQ代理。Salt采用公钥和主控通讯，同时使用更快的AES加密通信，验证和加密都已经集成在Salt里面。Salt使用msgpack通讯，所以更快速和更轻量网络交换。

• 　　Python 客户端接口
  

　　为了实现简单的扩展，Salt执行例程可以写成简单的Python模块。客户端程序收集的数据可以发送回主控端，可以是其他任意程序。可以通过Python API调用Salt程序，或者命令行，因此，Salt可以用来执行一次性命令，或者大型应用程序中的一部分模块。

• 　　快速，灵活，可扩展
  

　　结果是一个系统可以高速在一台或者一组服务器执行命令。Salt速度很快，配置简单，扩展性好，提供了一个远程执行架构，可以管理多样化需求的任何数量的服务器。整合了世界上最好的远程执行方法，增强处理能力，扩展使用范围，使得可以适用任何多样化复杂的网络。

• 　　开源
  

　　Salt基于Apache 2.0 licence开发，可以用于开源或者自有项目。请反馈你的扩展给项目组，以便更多人受益，共同促进Salt发展。请在你的系统部署 系统，让运维更便捷。
　　1.3 架构
　　saltstack是基于C/S服务模式，在该架构中，服务器端叫做Master，客户端叫做Minion。传统的C/S模式我们这样理解，客户端发送请求给服务器端，服务器端接受到来自客户端的请求并处理完成后再返回客户端。 在saltstack架构中，不仅有传统的C/S服务模式，而且有消息队列中的发布与订阅（pub/sub）服务模式。目前我们一般用其C/S架构做批量管理。

　　1) Master：控制中心,salt命令运行和资源状态管理
　　2) Minion : 需要管理的客户端机器,会主动去连接Mater端,并从Master端得到资源状态
　　3) 信息,同步资源管理信息
　　4) States：配置管理的指令集
　　5) Modules：在命令行中和配置文件中使用的指令模块,可以在命令行中运行
　　6) Grains：minion端的变量,静态的
　　7) Pillar：minion端的变量,动态的比较私密的变量,可以通过配置文件实现同步minions定义
　　8) highstate：为minion端下发永久添加状态,从sls配置文件读取.即同步状态配置
　　9) salt_schedule：会自动保持客户端配置
　　1.4 连接方式
　　Master与Minion认证
　　(1)、minion在第一次启动时，会在/etc/salt/pki/minion/（该路径在/etc/salt/minion里面设置）下自动生成minion.pem（private key）和 minion.pub（public key），然后将 minion.pub发送给master。
　　(2)、master在接收到minion的public key后，通过salt-key命令accept minion public key，这样在master的/etc/salt/pki/master/minions下的将会存放以minion>　　SaltStack master启动后默认监听4505和4506两个端口。4505（publish_port）为saltstack的消息发布系统，4506（ret_port）为saltstack客户端与服务端通信的端口。如果使用lsof 查看4505端口，会发现所有的minion在4505端口持续保持在ESTABLISHED状态
　　二、安装部署
主机名IP地址系统saltstack-server172.20.4.50CentOS>2.1 初始化环境：
yum install ntpdate -y && ntpdate time1.aliyun.com                    #同步时间　　
service iptables stop                                                 #关闭iptables
　　
sed -i "s/SELINUX=enforcing/SELINUX=disabled/"  /etc/selinux/config   #关闭selinux
　　
setenforce 0
cat > saltstack.repo <<EOF　　
[saltstack-repo]
　　
name=SaltStack repo for RHEL/CentOS $releasever
　　
baseurl=https://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest
　　
enabled=1
　　
gpgcheck=1
　　
gpgkey=https://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest/SALTSTACK-GPG-KEY.pub
　　
EOF
　　
rpm --import https://repo.saltstack.com/yum/redhat/6/x86_64/latest/SALTSTACK-GPG-KEY.pub
　　
yum cleanall && yum makecache                #更新yum源
　　2.2 master  端安装
yum -y install salt-master　　
mkdir /etc/salt/states
编辑/etc/salt/states　　
interface: 0.0.0.0
　　
state_top: top.sls
　　
file_roots:
　　
   base:
　　
     - /etc/salt/states

　　启动服务，并设置开机自启
/etc/init.d/salt-master start　　
chkconfig salt-master on
　　2.3 monitor端安装
　　配置yum源和master方法一致
yum -y install salt-minion　　修改/etc/salt/minion文件（slatstack-1/2 都更改成对应的id，master指向master的ip地址）

　　启动客户端，并设置开机自启动

　　2.4 证书管理
#执行salt-key -L  查看秘钥验证　　
#执行Salt-key -a 加ID添加认证秘钥

　　三、验证测试

　　四、常见模块
　　(1)、cp模块（实现远程文件、目录的复制，以及下载URL文件等操作）
　　将主服务器file_roots指定位置下的目录复制到被控主机
salt &quot;*&quot; cp.get_dir salt://testdir /tmp/test　　将主服务器file_roots指定位置下的文件复制到被控主机
salt &quot;*&quot; cp.get_file salt://testdir/testfile /tmp/testfile　　下载指定URL内容到被控主机指定位置
salt &quot;*&quot; cp.get_url http://mirrors.163.com/.help/CentOS6-Base-163.repo /etc/yum.repos.d/CentOS6-Base-163.repo　　(2)、cmd模块（实现远程的命令行调用执行）
salt &quot;*&quot; cmd.run 'netstat -lntup'　　(3)、cron模块（实现被控主机的crontab操作）
　　为指定的被控主机、root用户添加crontab信息
salt &quot;*&quot; cron.set_job root '*/5' '*' '*' '*' '*' '/usr/sbin/ntpdate time1.aliyun.com'　　删除指定的被控主机、root用户的crontab信息
salt &quot;*&quot; cron.rm_job root '/usr/sbin/ntpdate time1.aliyun.com'　　查看定时任务
salt '*' cron.raw_cron root　　(4)、dnsutil模块（实现被控主机通用DNS操作）
　　为被控主机添加指定的hosts主机配置项
salt '*' dnsutil.hosts_append /etc/hosts 127.0.0.1 test.saltstack.com　　(5)、file模块（被控主机文件常见操作，包括文件读写、权限、查找、校验等）
salt '*' file.get_sum /etc/resolv.conf md5　　
salt '*' file.stats /etc/resolv.conf
　　(6)、network模块（返回被控主机网络信息）
salt '*' network.ip_addrs　　
salt '*' network.interfaces
　　(7)、pkg包管理模块（被控主机程序包管理，如yum、apt-get等）
salt '*' pkg.install sysstat　　
salt '*' pkg.file_list sysstat
　　(8)、service 服务模块（被控主机程序包服务管理）
salt '*' service.enable crond　　
salt '*' service.disable crond
　　
salt '*' service.status crond
　　
salt '*' service.stop crond
　　
salt '*' service.start crond
　　
salt '*' service.restart crond
　　
salt '*' service.reload crond