Saltstack 自動化運維工具詳細介紹

Saltstack 簡介php


什麼是saltstacknode

• Saltstack是基於python開發的一套C/S架構配置管理工具python

• 使用SSL證書籤方的方式進行認證管理mysql

• 底層使用ZeroMQ消息隊列pub/sub方式通訊nginx

    – 號稱世界上最快的消息隊列ZeroMQ能快速在成千上萬臺主機上進行各類操做c++

    – 採用RSA Key方式確認身web


主要功能正則表達式

• Saltstack最主要的兩個功能是:配置管理與遠程執行算法

• Saltstack不僅是一個配置管理工具,仍是一個雲計算與數據中心架構編排的利器sql

• Saltstack已經支持Docker相關模塊

• 在友好地支持各大雲平臺以後,配合Saltstack的Mine實時發現功能能夠實現各類雲平臺業務的自動擴展


Saltstack架構

• Saltstack基於C/S架構

    – 服務器端稱做Master

    – 客戶端稱做Minion

• 能夠實現傳統處理方式,即:客戶端發送請求給服務器,服務器收到請求後處理請求,再將結果返回

• 也可使用消息隊列中的發佈與訂閱(pub/sub)服務模式

1.jpg



Saltstack工做機制

• Master和Minion都以守護進程的方式運行

• Master監聽配置文件裏定義的ret_port(接收minion請求),和publish_port(發佈消息)的端口

• 當Minion運行時,它會自動鏈接到配置文件裏定義的Master地址ret_port端口進行鏈接認證

• 當Master和Minion能夠正常通訊後,就能夠進行各類各樣的配置管理工做了




Saltstack安裝


依賴:

    1. python2.6 ~ python3.0

    2. ZeroMQ or RAET

    3. mako(可選):一個可選的Salt States解析器

    4. gcc(可選)


MacOS安裝方法:

    1. brew install saltstack

    2. sudo port install salt

    3. sudo pip install salt


Ubuntu14.04安裝方法:

    1. wget -O - https://repo.saltstack.com/apt/ubuntu/14.04/amd64/latest/SALTSTACK-GPG-KEY.pub sudo apt-key add -

     2. deb https://repo.saltstack.com/apt/ubuntu/14.04/amd64/latest trusty main

     3. apt-get install salt-api salt-cloud salt-master salt-minion salt-ssh salt-syndic


Centos 和 redhat 安裝方法:

    1. sudo pip install salt

    2. sudo yum install salt-master salt-minion



Saltstack啓動

    1 . 運行Master 節點

    2.  修改Minion 節點配置,填入Master節點信息

    3.  啓動Minion

    4.  Master節點添加Minion


本次使用一個案例來介紹 Saltstack 

實驗拓撲圖:

3.jpg


服務器使用的操做系統是RHEL7


實驗要求:

爲六臺主機配置IP 分別爲     

sm          192.168.4.10  

web1     192.168.4.11

db1        192.168.4.12

web2     192.168.4.21

db2        192.168.4.22

cache    192.168.4.33


爲了方便實驗 六臺主機全都關閉防火牆 禁用SELinux

配置yum源 


實驗步驟:

安裝saltstack:

在主機sm上配置 安裝salt-master

    // 安裝 salt-master

    # yum -y install salt-master

    // 啓動 Master 

    # systemctl start salt-master

    # systemctl enable salt-master

    //驗證服務

    # netstat -pantu | grep ‘ :4505 | :4506’

    tcp        0      0 0.0.0.0:4505            0.0.0.0:*               LISTEN      12434/python        

    tcp        0      0 0.0.0.0:4506            0.0.0.0:*               LISTEN      12440/python   

    // 修改/etc/hosts, 實現名稱解析

    # echo '

    > 192.168.4.10 sm

    > 192.168.4.11 web1

    > 192.168.4.12 db1

    > 192.168.4.21 web2

    > 192.168.4.22 db2

    > 192.168.4.33 cache

    > ' > /etc/hosts

    // 將sm 的 /etc/hosts 文件同步共享給其餘主機

    # for i in 11 12 21 22 33

    > do

    > rsync -a /etc/hosts 192.168.4.${i}:/etc/ -e 'ssh'

    > done


在其餘主機 11 12 21 22 33上:

    //安裝 salt-minion

    # yum -y install salt-minion

    //修改Minion配置文件,使其能夠與Master通訊

    #sed -e"s/^#\(master:\).*/\1 sm/" -i /etc/salt/minion -e "s/^#\(id:\).*/\1${HOSTNAME}/" -i /etc/salt/minion

    //啓動Minion

    # systemctl start salt-minion.service

    # systemctl status salt-minion.service

    

Master與Minion互信:

• Minion上線後先與Master端聯繫,把本身的pubkey發過去

• Master接受Minion的公鑰後,互信創建完成

• 查看密鑰信息

    [root@sm ~]# salt-key -L

    Accepted Keys:

    Denied Keys:

    Unaccepted Keys:

    cache

    db1

    db2

    web1

    web2

    Rejected Keys:

• 密鑰管理

    [root@sm ~]# salt-key -h

    -L: 列出密鑰

    -a: 接受一個密鑰

    -A: 接受所有密鑰

    -D: 刪除所有密鑰

    ... ...

• 接受密鑰,完成互信

    [root@sm ~]# salt-key -A -y

    The following keys are going to be accepted:

    Unaccepted Keys:

    cache

    db1

    db2

    web1

    web2

    Key for minion cache accepted.

    Key for minion db1 accepted.

    Key for minion db2 accepted.

    Key for minion web1 accepted.

    Key for minion web2 accepted.


遠程執行命令:

salt命令使用方法以下

• salt [options] '<target>' <function> [arguments]

• target指的是在哪些Minion上執行,若是在所有Minion上運行,能夠採用通配符 '*’

-L 列表

-E 正則

-N 分組

-S CIDR

• function通常採用python的 模塊.方法 樣式

• arguments是傳遞給方法的參數



批量管理主機

• 測試全部主機連通性

    [root@sm ~]# salt '*' test.ping

    web1:

        True

    web2:

        True

    db2:

        True

    db1:

        True

    cache:

        True

• 在主機上執行任意命令 測試

     [root@sm ~]# salt '*' cmd.run 'uptime'

    db1:

         01:41:05 up  5:22,  1 user,  load average: 0.00, 0.01, 0.05

    db2:

         01:41:04 up  5:22,  1 user,  load average: 0.00, 0.01, 0.05

    web2:

         01:41:04 up  5:22,  1 user,  load average: 0.00, 0.01, 0.05

    cache:

         01:41:05 up  5:22,  1 user,  load average: 0.00, 0.01, 0.05

    web1:

         01:41:04 up  5:22,  1 user,  load average: 0.00, 0.01, 0.05


使用列表 -L

    # salt -L ' db1,web2' cmd.run 'uptime'

    web2:

         01:50:15 up  5:31,  1 user,  load average: 0.00, 0.01, 0.05

    db1:

         01:50:16 up  5:31,  1 user,  load average: 0.00, 0.01, 0.05


使用正則表達式 -E 

    # salt -E "web\d" test.ping

    web2:

        True

    web1:

        True

使用分組  -N

    定義分組

    # vim /etc/salt/master

    //1085 行

    nodegroups:

        test: 'L@db1,web2,cache'

        other: 'E@db[0-9] or N@test'

    使用分組

    [root@sm ~]# salt -N 'test' test.ping

    cache:

        True

    db1:

        True

    web2:

        True    

    [root@sm ~]# salt -N 'other' test.ping

    web2:

        True

    cache:

        True

    db2:

        True

    db1:

        True


傳輸文件:


# vim /etc/salt/master

#file_roots:

#  base:

#    - /srv/salt //master 的默認根目錄


# mkdir /srv/salt            //建立根目錄

# cp /etc/passwd /srv/salt/users    //添加測試文件

# salt '*' cmd.run 'mkdir /test'            //遠程主機建立目錄

cache:

db1:

db2:

web2:

web1:


# salt -E 'web\d' cp.get_file salt://users /test/user    //實現傳輸文件

web2:

    /test/user

web1:

    /test/user


# salt '*' cmd.run 'ls /test'            //查看傳輸效果

db1:

cache:

db2:

web2:

    user

web1:

    user


模塊及功能:


列出全部可用模塊

salt '隨便一臺主機名' sys.list_modules


查看模塊全部功能

salt '隨便一臺主機名'  sys.list_functions 模塊名


查看模塊用法

salt '隨便一臺主機名' sys.doc 模塊名

salt '隨便一臺主機名' sys.doc 模塊名.方法



什麼是YAML:

• YAML:YAML Ain't Markup Language

• YAML的結構經過空格來展現

• 項目使用"-"來表示

• 鍵值對使用":"來表示

• Master和Minion的配置文件均採用YAML語法

• YAML使用一個固定的縮進風格表示數據層級結構關

• 通常每一個縮進級別由兩個空格組成

• 注意不要使用tab

• 縮進是初學者容易出錯的地方之一

• YAML的鍵值對採用冒號分隔

• YAML鍵值對對應python的字典

• YAML表示形式

    name: test

    或

    name:

      test

• Python字典

    {'name': 'test'}

• 字典能夠嵌套

    hosts:

        name: test

• 字典表示形式爲

    {

        'hosts': {

       'name': 'test'

       }

    }


• 列表項使用一個短橫槓加一個空格

    -  test1

    -  test2

• 列表能夠做爲一個鍵值對的value

    pkg-http:

      - httpd

      - php

• Python語法

    {'pkg-http': ['httpd', 'php']}



Grains基礎:

• Grains是saltstack最重要的組件之一

• 存儲minion端的基本信息,這些信息通常都是靜態的,如CPU、內核、操做系統等

• Grains存儲在minion本地

• 管理員能夠在minion端進行grains值的修改,如增長、刪除等


Grains基礎應用

• 獲取minion端全部grains信息

        # salt '隨便一臺主機名' grains.items 

• 經過grains.item獲取minion端的fqdn信息

        # salt '隨便一臺主機名' grains.item fqdn


經過minion定義grains

 [root@web1 ~]# vim /etc/salt/minion
    grains:
       web:
         apache
    [root@web1 ~]# systemctl restart salt-minion.service
    
    [root@web2 ~]# vim  /etc/salt/minion
    grains:
       web:
         nginx
    [root@web2 ~]# systemctl restart salt-minion.service
    
    [root@sm ~]# salt '*' saltutil.sync_grains
    web1:
    db1:
    cache:
    web2:
    db2:
    [root@sm ~]# salt -G 'web:apache' test.ping
    web1:
        True
    [root@sm ~]# salt -G 'web:nginx' test.ping
    web2:
        True
    [root@sm ~]# salt 'web1' grains.item web
    web1:
        ----------
        web:
            apache
    [root@sm ~]# salt 'web2' grains.item web
    web2:
        ----------
        web:
            nginx

   

    

Pillar基礎 

• Pillar也是saltstack最重要的組件之一

• 做用是定義與被控主機相關的任何數據,定義好的數

據能夠被其餘組件使用

• 存儲在master端,存放須要提供給minion的信息

• 經常使用於敏感信息,每一個minion只能訪問master分配

給本身的pillar信息

• 用於常常動態變化的信息


配置pillar

• Pillar須要一個pillar_roots來維護pillar的配置

• 默認pillar_roots爲/srv/pillar

• pillar_roots在Master配置文件中定義


    [root@sm ~]# vim /etc/salt/master

    pillar_roots:

      base:

        - /srv/pillar

    [root@sm ~]# mkdir /srv/pillar

    [root@sm ~]# systemctl restart salt-master


Pillar數據文件

• Pillar執行時須要一個名爲top.sls的入口文件

• 經過top.sls文件做爲入口,組織其它的pillar文件

• sls文件採用YAML格式

    [root@sm ~]# cd /srv/pillar
    [root@sm pillar]# vim top.sls
    base:                                # 與pillar_roots定義一致
      'L@web1,web2':          # 過濾目標
        - appweb                    # 用於包含 appweb
      'E@db\d':
        - appdb
        - user
      'cache':
        - user

    [root@sm pillar]# vim appweb.sls
    appname: web
    software:
      - apache
      - nginx
    [root@sm pillar]# vim appdb.sls 
    appname: mysql
    
    [root@sm pillar]# vim user.sls 
    users:
      zhang3: 1000
      li4: 1001

// 獲取pillar所有數據
    [root@sm pillar]# salt '*' pillar.items
    web1:
        ----------
        appname:
            web
        software:
            - apache
            - nginx
    cache:
        ----------
        users:
            ----------
            li4:
                1001
            zhang3:
                1000
    web2:
        ----------
        appname:
            web
        software:
            - apache
            - nginx
    db2:
        ----------
        appname:
            mysql
        users:
            ----------
            li4:
                1001
            zhang3:
                1000
    db1:
        ----------
        appname:
            mysql
        users:
            ----------
            li4:
                1001
            zhang3:
                1000
// 將pillar數據同步至minion
    [root@sm pillar]# salt '*' saltutil.refresh_pillar
    db2:
        True
    db1:
        True
    web2:
        True
    cache:
        True
    web1:
        True
    // 根據pillar值匹配minion    
    [root@sm pillar]# salt 'web1' pillar.item software
    web1:
        ----------
        software:
            - apache
            - nginx

    

Jinja模板:


Jinja基礎

• Jinja是基於Python的模板引擎

• 在saltstack中咱們使用yaml_jinja渲染器來根據模板生產對應的配置文件

• 對於不一樣的操做系統或者不一樣的狀況,經過jinja可讓配置文件或者操做造成一種模板的編寫方式


Jinja使用步驟

• 在state文件中使用"- template: jinja"聲明

• 在模板文件中使用變量"{{ name }}"聲明,name爲變量,本身定義

• 在state文件中使用"- defautls: name: value"聲明



States基礎:

• States是satlstack中的配置語言

• 安裝軟件包、管理配置文件都須要編寫一些statessls文件

• states sls使用YAML語法


查看全部states模塊

salt '隨便一臺主機' sys.list_state_modules


查看states某個模塊功能

salt '隨便一臺主機' sys.list_state_functions 模塊名


查看states某個模塊的某個方法用法

salt '隨便一臺主機' sys.state_doc  模塊名.方法



爲不一樣的環境設置不一樣的文件目錄

[root@sm ~]# vim /etc/salt/master
file_roots:
    base:
      - /srv/base
    dev:
      - /srv/dev
    prod:
      - /srv/prod
[root@sm ~]# mkdir /srv/base /srv/dev /srv/prod
[root@sm ~]# ls /srv/
base  dev  prod
[root@sm ~]# systemctl restart salt-master.service
[root@sm ~]# cd /srv/base/

案例1  系統初始化

配置全部機器的DNS爲 202.101.224.68

修改全部機器的yum 源爲本機器網絡yum

修改history 能顯示命令執行時間

開啓路由轉發功能 net.ipv4.ip_forward=1

添加用戶zhangsan 

爲用戶zhuangsan 設置默認密碼 zhangsan

要求zhangsan 在第一次登陸是的時候修改密碼


[root@sm base]# vim top.sls 
base:
  '*':
    - init.dns
    - init.yum
    - init.adduser
    - init.history
    - init.ip_forward

[root@sm base]# mkdir init
[root@sm base]# cd init/

[root@sm init]# vim dns.sls 
add_dns:
  file.managed:
    - name: /etc/resolv.conf
    - source: salt://file/dns.conf
    - user: root
    - group: root
    - mode: 644
    - template: jinja
    - defaults:
        DNS_IP:  202.101.224.68

[root@sm init]# vim yum.sls 
create_yum:
  file.managed:
    - name: /etc/yum.repos.d/test.repo
    - source: salt://file/yum.repo
    - user: root
    - group: root
    - mode: 644

unless條件
• 當unless條件不知足時,須要執行令
onlyif條件
• 當onlyif條件知足時,須要執行令

[root@sm init]# vim adduser.sls 
useradd zhangsan:
  cmd.run:
    - unless: id zhangsan
echo '123456' | passwd --stdin zhangsan:
  cmd.run:
    - onlyif: id zhangsan
chage -d 0 zhangsan:
  cmd.run:
    - onlyif: id zhangsan

[root@sm init]# vim history.sls 
history:
  file.append:
    - name: /etc/profile
    - text:
      - export HISTTIMEFORMAT='%F %T'

[root@sm init]# cat ip_forward.sls 
alter_ip_forward:
  sysctl.present:
    - name: net.ipv4.ip_forward
    - value: 1

[root@sm init]# cat ip_forward.sls 
alter_ip_forward:
  sysctl.present:
    - name: net.ipv4.ip_forward
    - value: 1

[root@sm init]# mkdir file
[root@sm init]# cd file/

[root@sm file]# vim dns.conf 
nameserver {{DNS_IP}}
[root@sm file]# vim yum.repo 
[test]
name=test
baseurl=http://192.168.4.254/rhel7
gpgcheck=0

state.highstate會讀取全部環境的top.sls文件,而且執行top.sls文件內容裏面定義的sls文件,不在top.sls文件裏面記錄的sls則不會被執行;
state.sls也能夠指定讀取哪一個環境 使用 saltenv = 讀取環境
test = True 測試執行  不真正執行  
# salt '*' state.highstate saltenv=base test=True
# salt '*' state.highstate saltenv=base


案例2 部署httpd web 服務器

在實驗的 web1 web2 上自動安裝httpd軟件包

更改httpd監聽端口爲8080

啓動httpd 服務


pkg模塊

• pkg模塊能夠實現軟件包管理

• 管理的軟件包包括紅帽RPM包和Ubuntu的deb包等

• 主要的方法有:

    – pkg.installed:安裝軟件包

    – pkg.latest:保持軟件包爲最新版本

    – pkg.remove:卸載軟件包

    – pkg.purge:下載軟件包,刪除配置文件


require條件

• 只有httpd安裝了才分發配置文件


service模塊

• 軟件部署完畢後,須要確保服務處於運行狀態,而且可以實現開機自啓,這就用到了service模塊

    – service.running:確保服務處於運行狀態

    – service.enabled:開機自啓

    – service.disabled:開機不啓動

    – service.dead:確保服務處於未運行狀態

    

使用watch

• 服務若是可以正常啓動,須要確保存在配置文件,設置若是配置文件存在,才啓動服務

[root@sm ~]# cd /srv/prod/
[root@sm prod]# vim top.sls 
prod:
  'E@web[0-9]':
    - install_httpd

[root@sm prod]# vim install_httpd.sls 
httpd_pkg_installed:
  pkg.installed:
    - name: httpd
alter_httpd:
  cmd.run:
    - name: sed -i '/Listen 80/s/80/8080/' /etc/httpd/conf/httpd.conf
    - unless: sed -n '/Listen 80$/p' /etc/httpd/conf/httpd.conf
    - require:
      - pkg: httpd_pkg_installed
running_httpd:
  service.running:
    - name: httpd
    - enable: true
    - restart: true
    - watch:
      - cmd: alter_httpd
# salt '*' state.highstate saltenv=prod test=True
# salt '*' state.highstate saltenv=prod


//這裏由於配置文件中只須要更改一行 我使用的是sed 更改

//也可使用 file.managed 方法 將master的配置文件分發到客戶端


案例3 部署nginx 源碼包


[root@sm ~]# cd /srv/dev/
[root@sm dev]# vim top.sls
dev:
  'L@db1,db2':
    - nginx_install

[root@sm dev]# mkdir nginx_install
[root@sm dev]# cd nginx_install
[root@sm nginx_install]# vim init.sls
    include:
      - .initpkg
      - .install
      - .nginx_init
[root@sm nginx_install]# vim initpkg.sls
    init_pkg_install:
      pkg.installed:
        - names:
          - gcc
          - gcc-c++
          - make
          - autoconf
          - openssl-devel
          - pcre-devel
[root@sm nginx_install]# vim install.sls
    nginx_src_install:
      file.managed:
        - name: /usr/local/src/nginx-1.9.12.tar.gz
        - source: salt://nginx_install/files/nginx-1.9.12.tar.gz
        - user: root
        - group: root
        - mode: 644
      cmd.script:
        - source: salt://nginx_install/files/build.sh
        - cwd: /usr/local/src
        - user: root
        - unless: test -d /usr/local/nginx
        - require:
          - file: nginx_src_install
          - pkg:  init_pkg_install
[root@sm nginx_install]# vim nginx_init.sls 
    nginx_init:
      file.managed:
        - name: /usr/lib/systemd/system/nginx.service
        - source: salt://nginx_install/files/nginx.service
        - user: root
        - group: root
        - mode: 644
    
    nginx_service:
      service.running:
        - name: nginx
        - enable: true
        - restart: true
[root@sm nginx_install]# mkdir files
[root@sm nginx_install]# cd files 
[root@sm files ]# vim build.sh
    #!/bin/bash
    useradd -s /sbin/nologin nginx
    tar xzf nginx-1.9.12.tar.gz
    cd nginx-1.9.12
    ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx
    make
    make install
[root@sm files ]# ls
    build.sh                      // 源碼安裝腳本
    nginx-1.9.12.tar.gz      // nginx 源碼包
    nginx.service                // nginx systemctl 系統啓動文件
[root@sm files ]# vim nginx.service
    [Unit]
    Description=nginx - high performance web server
    Documentation=http://nginx.org/en/docs/
    After=network.target remote-fs.target nss-lookup.target
    
    [Service]
    Type=forking
    PIDFile=/usr/local/nginx/logs/nginx.pid
    ExecStartPre=/usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
    ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
    ExecReload=/usr/local/nginx/sbin/nginx -s reload
    ExecStop=/usr/local/nginx/sbin/nginx -s quit
    PrivateTmp=true
    
    [Install]
    WantedBy=multi-user.target
    
# salt '*' state.highstate saltenv=dev test=True
# salt '*' state.highstate saltenv=dev

擴展:

Saltstack Master  配置

Master主配置文件是/etc/salt/master,經常使用的配置選項與具體功能相關,因此,當應用到相關功能時再作調整,目前保持默認就好


通用配置項:

1. interface:監聽的IPv4地址

#interface: 0.0.0.0

2. IPv6:監聽的IPv6的地址

#ipv6: False

3. PUBLISH_PORT:與Minion通訊的端口

#publish_port: 4505

4. MASTER_ID:當前Master節點的ID

5. USER:啓動Master服務的用戶

#user: root

6. MAX_OPEN_FILES:每個鏈接到Master的Minion ,Master都會打開一個文件描述符,改選項定義打開的最大文件數。可能報錯:Too many open files

#max_open_files: 100000

7. WORKER_THREADS:最大工做線程數

#worker_threads: 5

8. RET_PORT:獲取Minion返回結果的端口

#ret_port: 4506

9. PIDFILE:Master進程的pid文件 好比要殺進程時可用

#pidfile: /var/run/salt-master.pid

10. ROOT_DIR:Master運行的根目錄

#root_dir: /

11.CONF_FILE:Master配置文件路徑

#conf_file: /etc/salt/master

12.PKI_DIR:pki驗證密鑰存放路徑

#pki_dir: /etc/salt/pki/master

13.MODULE_DIR:Salt模版搜索路徑

#module_dirs: <no default>

#   - /var/cache/salt/minion/extmods

14.CACHEDIR:默認緩存路徑

#cachedir: /var/cache/salt/master

15.KEEP_JOBS:舊的任務信息保留多少個小時

#keep_jobs: 24

16.GATHER_JOB_TIMEOUT:Minion獲取任務超時時間

#gather_job_timeout: 10

17.TIMEOUT:Salt API,command執行的超時時間

#timeout: 5

18.OUTPUT_FILE:SaltStack command輸出文件 好比日誌

#output_file: None

19.CLI_SUMMARY:顯示客戶端的概要信息,目標的Minion數,返回的數目,沒返回的數目

#cli_summary: False

20.MAX_MINIONS:最大管理的Minions數

21.TRANSPORT:通訊模塊

22.TRANSPORT:通訊模塊的參數

23.MAX_EVENT_SIZE:最大的事件數

#max_event_size: 1048576


安全配置項:

1.OPEN_MODE:開發模式,若是設置爲true,則任何minion都能連上Master,無需驗證 很危險

#open_mode: False

2.AUTO_ACCEPT:接聽全部客戶端的公鑰

#auto_accept: False

3.TOKEN_EXPIRE:Master新生成token的存活時間

#token_expire: 43200

4.AUTOSIGN_TIMEOUT:若是Minion的keyid出如今pki_dir/minion_autosign/keyid中,Master會自動接受該Minion的連接,這個配置項,定義這個自動接受的持續時間,超時的要從新驗證接受。

# autosign_timeout: 120

5.AUTOSIGN_FILE:自動接受Minion keyid存放文件 白名單

#autosign_file: /etc/salt/autosign.conf

6.AUTOREJECT_FILE:於AUTOSIGN_FILE相反 黑名單

#autoreject_file: /etc/salt/autoreject.conf

7.PUBLISHER_ACL:對指定Minion可執行指定的命令 白名單

#publisher_acl:

#  larry:

#    - test.ping

#    - network.*

8.PUBLISHER_ACL_BLACKLIST: 與PUBLISHER_ACL相反 黑名單

#publisher_acl_blacklist:

#  users:

#    - root

#    - '^(?!sudo_).*$'   #  all non sudo users

#  modules:

#    - cmd

9.EXTERNAL_AUTH:指定驗證方法

#external_auth:

#  pam:

#    fred:

#      - test.*

10.FILE_RECV:容許minion向master發送文件 一個特別危險的配置項

#file_recv: False

11.FILE_RECV_MAX_SIZE:容許minion向master發送最大文件(MB)

#file_recv_max_size: 100

12.ROTATE_AES_KEY:輪換AES key

13.MASTER_SIGN_PUBKEY,

   MASTER_SIGN_KEY_NAM,

   MASTER_PUBKEY_SIGNATURE,

   MASTER_USE_PUBKEY_SIGNATURE,  網絡通訊簽名相關



Saltstack Minion  配置

通用配置項:

1.MASTER:master的hostname,能夠是多個  ip也行 域名也行

#master:

2.MASTER_TYPE:str,一對一 ; failover,容錯的,這種狀況下,master必須是多個,minion會逐個通訊,func:動態生成的

# master_type: str

3.MAX_EVENT_SIZE:最多接受master推送過來的事件數目

#max_event_size: 1048576

4.MASTER_FAILBACK:回滾,若是設置爲true,此時master_type必須是failover

#master_failback: False

5.MASTER_ALIVE_INTERVAL:心跳檢測

#master_alive_interval: 30

6.RANDOM_MASTER:若是master是多個,則選擇算法是不是隨機的

#random_master: False

7.MASTER_PORT:Master端口

#master_port: 4506

8.USER:SaltStack啓動用戶

#user: root

9.SUDO_USER:能夠獲取sudo權限的用戶

#sudo_user: root

10.ID:Minion的ID,會出現的Master的鏈接Minion的列表中

#id:

11.MASTER_TRIES:重連Master的次數

#master_tries: 1

12.AUTH_TRIES:auth 重試次數

#    auth_tries: 10

13.AUTH_TIMEOUT:auth超時

#auth_tries: 7

14.TCP_PUB_PORT:發佈消息端口

#tcp_pub_port: 4510

15.TCP_PULL_PORT:獲取消息端口

#tcp_pull_port: 4511


安全配置項:

1. open_mode:能夠用來清理master key,修改成true,重啓,修改成false,重啓 經過這些步驟來清理master key

#open_mode: False

2.MASTER_FINGER:master指紋,用來驗證master,在master上運行salt-key-F master獲取

#master_finger: ''

3.VERIFY_MASTER_PUBKEY_SIGN:是否驗證PUBKEY的簽名文件

4.MASTER_SIGN_KEY_NAME:簽名文件

5.ALWAYS_VERIFY_SIGNATURE:是否必須驗證

相關文章
相關標籤/搜索