Saltstack自動化操做記錄（1）-環境部署

 

早期運維工做中用過稍微複雜的Puppet，下面介紹下更爲簡單實用的Saltstack自動化運維的使用。

Saltstack知多少
Saltstack是一種全新的基礎設施管理方式，是一個服務器基礎架構集中化管理平臺，幾分鐘內即可運行起來，速度夠快，服務器之間秒級通信，擴展性好，很容易批量管理上萬臺服務器，顯著下降人力與運維成本；它具有配置管理、遠程執行、監控等功能，通常能夠理解爲簡化版的puppet和增強版的func；經過部署SaltStack環境，能夠在成千上萬臺服務器上作到批量執行命令，根據不一樣業務特性進行配置集中化管理、分發文件、採集服務器數據、操做系統基礎及軟件包管理等，SaltStack是運維人員提升工做效率、規範業務配置與操做的利器。SaltStack基於Python語言實現，結合輕量級消息隊列（ZeroMQ）（SaltStack的通訊模式總共分爲2種模式：ZeroMQ、REAT，鑑於REAT目前還不是太穩定，一般會選擇ZeroMQ模式）與Python第三方模塊（Pyzmq、PyCrypto、Pyjinjia二、python-msgpack和PyYAML等）構建。

Saltstack運行模式
Local：本地,一臺機器玩，不建議
Master/Minion：經過server/agent的方式進行管理，效率很高（批量管理1000臺機器，25秒搞定）
Salt SSH：經過SSH方式進行管理，效率相對來講比較低（批量管理1000臺機器，83秒搞定）

Saltstack三大功能
遠程執行（執行遠程命令）
配置管理（狀態管理）
雲管理

Saltstack特徵
1）部署簡單、方便；
2）支持大部分UNIX/Linux及Windows環境；
3）主從集中化管理；
4）配置簡單、功能強大、擴展性強；
5）主控端（master）和被控端（minion）基於證書認證，安全可靠；
6）支持API及自定義模塊，可經過Python輕鬆擴展。

Master與Minion認證
1）minion在第一次啓動時，會在/etc/salt/pki/minion/（該路徑在/etc/salt/minion裏面設置）下自動生成minion.pem（private key）和 minion.pub（public key），而後將 minion.pub發送給master。
2）master在接收到minion的public key後，經過salt-key命令accept minion public key，這樣在master的/etc/salt/pki/master/minions下的將會存放以minion id命名的 public key，而後master就能對minion發送指令了。

Master與Minion的鏈接
1）SaltStack master啓動後默認監聽4505和4506兩個端口。4505（publish_port）爲saltstack的消息發佈系統，4506（ret_port）爲saltstack客戶端與服務端通訊的端口。若是使用lsof 查看4505端口，會發現全部的minion在4505端口持續保持在ESTABLISHED狀態。

2）minion與master之間的通訊模式以下

SaltStack基礎環境安裝與配置記錄
英文文檔參考：https://docs.saltstack.com/en/latest/
兩臺centos6.8系統的機器，其中：
192.168.1.101  linux-node1  作主控端 master
192.168.1.102  linux-node2  作被控端 minion

1）兩臺機器的主機名要固定統一，要能相互ping通

固定好master和minion機器名，而後在master機器上作hosts綁定：
[root@linux-node1 ~]# cat /etc/hosts
127.0.0.1   localhost wutao localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.1.101  linux-node1 
192.168.1.102  linux-node2

2）下面採用源碼安裝的方式

a) master端安裝 (爲了測試效果，服務端也安裝minion)
[root@linux-node1 ~]# wget http://ftp.linux.ncsu.edu/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
[root@linux-node1 ~]# rpm -ivh epel-release-6-8.noarch.rpm --force
[root@linux-node1 ~]# yum -y install salt-master
[root@linux-node1 ~]# yum -y install salt-minion
[root@linux-node1 ~]# chkconfig salt-master on
[root@linux-node1 ~]# chkconfig salt-minion on 

b) minion端安裝
[root@linux-node2 ~]# wget http://ftp.linux.ncsu.edu/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
[root@linux-node2 ~]# rpm -ivh epel-release-6-8.noarch.rpm --force
[root@linux-node2 ~]# yum -y install salt-minion
[root@linux-node2 ~]# chkconfig salt-minion on

3）SaltStack配置
a）master端的配置
[root@linux-node1 ~]# vim /etc/salt/master        //修改下面幾行 (因爲這個文件內容默認所有註釋的，因此能夠直接情清空該文件，而後複製下面內容。可是記住配置的格式不能錯！！)                         
interface: 192.168.1.101    //綁定主控端master的ip，冒號後必須空一格
auto_accept: True             //當該項配置成True時表示自動認證，就不須要手動運行salt-key命令進行證書信任
file_roots:                          //指定saltstack文件根目錄位置
  base:                              //前面必須留兩個空格  
      - /srv/salt                    //前面必須留四個空格
[root@linux-node1 ~]# service salt-master start
Starting salt-master daemon: [ OK ]
[root@linux-node1 salt-2014.7.0]# netstat -ntlp
.......
tcp 0 0 192.168.1.101:4505 0.0.0.0:* LISTEN 12715/python
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1356/master
tcp 0 0 192.168.1.101:4506 0.0.0.0:* LISTEN 12727/python
......
[root@linux-node1 ~]# ps aux | grep python
root 8428 0.0 0.2 111704 8956 ? Ss Jan05 26:14 /data/paas/env/bin/python /data/paas/env/bin/supervisord -c /data/paas/open_paas/bin/supervisord.conf
root 12713 0.0 0.5 281772 22060 ? S 17:39 0:00 /usr/local/bin/python /usr/bin/salt-master -d
root 12714 0.7 0.9 319760 35700 ? S 17:39 0:00 /usr/local/bin/python /usr/bin/salt-master -d
root 12715 0.0 0.5 367796 22136 ? Sl 17:39 0:00 /usr/local/bin/python /usr/bin/salt-master -d
root 12716 0.0 0.5 367796 21912 ? Sl 17:39 0:00 /usr/local/bin/python /usr/bin/salt-master -d
root 12717 0.0 0.5 281772 21728 ? S 17:39 0:00 /usr/local/bin/python /usr/bin/salt-master -d
root 12722 2.4 1.0 413304 40952 ? Sl 17:39 0:01 /usr/local/bin/python /usr/bin/salt-master -d
root 12723 2.4 1.0 413308 40956 ? Sl 17:39 0:01 /usr/local/bin/python /usr/bin/salt-master -d
root 12724 2.4 1.0 413300 40968 ? Sl 17:39 0:01 /usr/local/bin/python /usr/bin/salt-master -d
root 12725 2.4 1.0 413324 40972 ? Sl 17:39 0:01 /usr/local/bin/python /usr/bin/salt-master -d
root 12726 2.3 1.0 413304 40972 ? Sl 17:39 0:01 /usr/local/bin/python /usr/bin/salt-master -d
root 12727 0.0 0.5 670916 22380 ? Sl 17:39 0:00 /usr/local/bin/python /usr/bin/salt-master -d
root 13124 0.0 0.0 103312 880 pts/3 R+ 17:40 0:00 grep python

在主控端master上添加TCP 450五、TCP 4506的規則，而在被控端monion上就無需配置防火牆
緣由是被控端直接與主控端的zeromq創建長鏈接，接收廣播到的任務信息並執行。
即master端的iptables裏添加下面兩臺規則：
[root@linux-node1 ~]# iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 4505 -j ACCEPT
[root@linux-node1 ~]# iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 4506 -j ACCEPT
[root@linux-node1 ~]# iptables save
[root@linux-node1 ~]# /etc/init.d/iptables save
[root@linux-node1 ~]# /etc/init.d/iptables restart

b）minion端的配置（若是master端也想管控本身，能夠配置本身的monion）
[root@linux-node2 ~]# vim /etc/salt/minion         //修改下面幾行                      
master: 192.168.1.101          //指定主控端master的ip地址，冒號後必須空一格
id: minion-192-168-1-102     //修改被控端monion主機識別id，建議使用主機名或ip來設置，冒號後必須空一格
[root@linux-node2 ~]# service salt-minion start
Starting salt-minion daemon: [ OK ]
[root@linux-node2 ~]# ps aux | grep python
root 16610 13.0 0.5 431116 23432 ? Sl 05:15 0:01 /usr/local/bin/python /usr/bin/salt-minion -d
root 16633 0.0 0.0 103312 884 pts/0 S+ 05:16 0:00 grep python

4）SaltStack使用說明（在master機器上操做）

sat-key命令說明：

[root@linux-node1 ~]# salt-key --help
--version            顯示版本號後退出
--versions-report    顯示程序的全部依賴包版本號，並退出
-h, --help           幫助信息
-c CONFIG_DIR, --config-dir=CONFIG_DIR    指定配置目錄，默認 ：/etc/salt/
-q, --quiet          安靜模式，不輸出信息到控制檯
-y, --yes            對全部詢問是否繼續，回答yes,默認：false
Logging Options:     設置loggin選項會覆蓋掉配置文件中對日誌的配置.
--log-file=LOG_FILE      指定日誌文件路徑，默認: /var/log/salt/key.
--log-file-level=LOG_LEVEL_LOGFILE   日誌文件等級，可設置下面中的一個值 'all', 'garbage','trace', 'debug', 'info', 'warning', 'error', 'quiet'.默認: 'warning'.
--key-logfile=KEY_LOGFILE    將全部的輸出發送到指定的文件，默認： '/var/log/salt/key'

--out=OUTPUT, --output=OUTPUT    把salt-key命令的輸出信息發送給指定的outputer. 可設置爲下面參數值 'no_return', 'virt_query'.'grains', 'yaml', 'overstatestage', 'json', 'pprint','nested', 'raw', 'highstate', 'quiet', 'key', 'txt',
--out-indent=OUTPUT_INDENT, --output-indent=OUTPUT_INDENT      設置輸出行縮進的空格數. 負數取消輸出縮進編排.僅對使用的outputer有效.
--out-file=OUTPUT_FILE, --output-file=OUTPUT_FILE       把顯示輸出到指定的文件
--no-color, --no-colour      關閉字體顏色
--force-color, --force-colour    強制開啓輸出顏色渲染

-l ARG, --list=ARG     打印公鑰key. 可設置下面三個值"pre", "un", and "unaccepted" 會顯示 不準可/未簽名 keys. "acc" or "accepted"會顯示 許可/已簽名 keys. "rej" or "rejected"會顯示拒絕的 keys.  "all" 會顯示全部 keys.
-L, --list-all         會顯示全部公鑰，至關月: "--list all"
-a ACCEPT, --accept=ACCEPT   許可指定的公鑰(使用--include-all選項，能夠指定除了掛起的key外的全部reject狀態的公鑰)
-A, --accept-all    許可全部pending的公鑰
-r REJECT, --reject=REJECT    拒絕指定的公鑰 (使用--include-all選項能夠指定除了掛起的key外的全部accept狀態的公鑰)
-R, --reject-all    拒接全部pending的公鑰
--include-all       配合 accepting/rejecting 選項使用，指定全部非pending狀態的公鑰
-p PRINT, --print=PRINT    打印指定的公鑰
-P, --print-all      Print all public keys
-d DELETE, --delete=DELETE    根據公鑰的名稱刪除公鑰
-D, --delete-all    刪除全部 keys
-f FINGER, --finger=FINGER      打印指定key的指紋信息
-F, --finger-all    打印全部key的指紋信息

Key 經常使用選項:
--gen-keys=GEN_KEYS       對生成的key配置設置一個salt使用的名稱。
--gen-keys-dir=GEN_KEYS_DIR     設置生成key對的放置目錄，默認當前目錄。default=.
--keysize=KEYSIZE        爲生成key設置位數, 僅跟--gen-keys選項配合時有效,數值大小必須大於2048，不然會被提高至2048位，默認2048default=2048

a）查看當前的salt key信息
[root@linux-node1 ~]# salt-key -L      //或者直接salt-key
Accepted Keys:
minion-192-168-1-102
Unaccepted Keys:
Rejected Keys:

b）測試被控主機的連通性
[root@linux-node1 ~]# salt '*' test.ping
minion-192-168-1-102:
True

c）遠程命令執行（cmd模塊），格式：salt  'client配置的id' 模塊.方法  '命令參數'           （其中'*'表示全部的client）
[root@linux-node1 ~]# salt '*' cmd.run 'uptime'
minion-192-168-1-102:
21:51:44 up 61 days, 16:44, 2 users, load average: 0.79, 0.55, 0.47

[root@linux-node1 ~]# salt 'minion-192-168-1-102' cmd.run 'uptime'
minion-192-168-1-102:
22:11:50 up 61 days, 17:05, 2 users, load average: 0.44, 0.59, 0.63

[root@linux-node1 ~]# salt 'minion-192-168-1-102' cmd.run 'w'
minion-192-168-1-102:
22:14:20 up 61 days, 17:07, 2 users, load average: 0.46, 0.52, 0.59
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 124.165.97.64 04:50 57:20 0.32s 0.32s -bash
root pts/3 124.165.97.64 Mon20 8:46 0.20s 0.20s -bash
[root@linux-node1 ~]# salt 'minion-192-168-1-102' cmd.run 'who'
minion-192-168-1-102:
root pts/0 Feb 7 04:50 (124.165.97.64 )
root pts/3 Feb 6 20:41 (124.165.97.64 )

[root@linux-node1 ~]# salt '*' cmd.run 'df -h'
minion-192-168-1-102:
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/VolGroup00-LogVol00
8.1G 6.8G 901M 89% /
tmpfs 1.9G 0 1.9G 0% /dev/shm
/dev/vda1 190M 67M 113M 38% /boot
[root@linux-node1 ~]# salt '*' cmd.run 'touch /root/test'
minion-192-168-1-102:
[root@linux-node1 ~]# salt '*' cmd.run 'echo "monion-server" >> /root/test'
minion-192-168-1-102:
到monion機器上查看是否有/root/test文件建立及其內容
[root@linux-node2 ~]# ll /root/test
-rw-r--r--. 1 root root 0 Feb 7 21:51 /root/test
[root@linux-node2 ~]# cat /root/test
monion-server

遠程批量傳輸文件（salt-cp命令）
下面表示將master主控端的/mnt/aa文件傳輸到全部minion被控端的/opt下
[root@linux-node1 ~]# salt-cp '*' /mnt/aa /opt/
{'minion-192-168-1-102': {'/opt/aa': True}}

注意上面命令只用於文件的傳輸，目錄的傳輸須要用到cp模塊，模塊用法詳見Saltstack自動化操做記錄（2）-模塊使用

---------------------------------------------------------順便說一下-------------------------------------------------------
minion端的認證

當/etc/salt/master文件裏沒有配置auto_accept：True時，須要經過salt-key命令來進行證書認證操做，其中：
salt-key -L：顯示已經或未認證的被控端id，Acceptd Keys爲已認證清單，Unaccepted Keys爲未認證清單
salt-key -D：刪除全部認證主機id證書
salt-key -d id：刪除單個id證書
salt-key -A：接受全部id證書請求
salt-key -a id：接受單個id證書請求

minion啓動的時候會建立KEY
[root@linux-node2 ~]# ll /etc/salt/pki/minion/
total 12
-rw-r--r--. 1 root root 800 Feb 7 05:16 minion_master.pub
-r--------. 1 root root 3247 Feb 7 05:16 minion.pem
-rw-r--r--. 1 root root 800 Feb 7 05:16 minion.pub

master啓動的時候會建立KEY
[root@linux-node1 ~]# ll /etc/salt/pki/master/
total 28
-r--------. 1 root root 3243 Feb 7 17:39 master.pem
-rw-r--r--. 1 root root 800 Feb 7 17:39 master.pub
drwxr-xr-x. 2 root root 4096 Feb 8 12:02 minions
drwxr-xr-x. 2 root root 4096 Feb 7 17:39 minions_autosign
drwxr-xr-x. 2 root root 4096 Feb 7 17:39 minions_denied
drwxr-xr-x. 2 root root 4096 Feb 7 17:39 minions_pre
drwxr-xr-x. 2 root root 4096 Feb 7 17:39 minions_rejected

先檢查一下全部的key信息，發現沒有等待統一的key（Unaccepted Keys下面沒有信息）
[root@linux-node1 master]# salt-key
Accepted Keys:
minion-192-168-1-102
Unaccepted Keys:
Rejected Keys:

模擬等待贊成的Key：把minions目錄下的文件傳輸到minions_pre目錄下
[root@linux-node1 ~]# ll /etc/salt/pki/master/minions
total 4
-rw-r--r--. 1 root root 800 Feb 8 12:02 minion-192-168-1-102
[root@linux-node1 ~]# cp /etc/salt/pki/master/minions/* /etc/salt/pki/master/minions_pre/
[root@linux-node1 ~]# ll /etc/salt/pki/master/minions_pre/
total 4
-rw-r--r--. 1 root root 800 Feb 8 12:07 minion-192-168-1-102

再次查看key，發現有了等待贊成的key
[root@linux-node1 ~]# salt-key
Accepted Keys:
minion-192-168-1-102
Unaccepted Keys:
minion-192-168-1-102
Rejected Keys:

執行贊成操做：-A選項表示所有贊成
[root@linux-node1 ~]# salt-key -A
The following keys are going to be accepted:
Unaccepted Keys:
minion-192-168-1-102
Proceed? [n/Y] y
[root@linux-node1 ~]# salt-key //發現key已經被贊成了
Accepted Keys:
minion-192-168-1-102
Unaccepted Keys:

若是不用上面的-A選項，可使用-a選項，自定義匹配，也可使用*通配符。上面命令也能夠是：
[root@linux-node1 ~]# salt-key -a minion-*
The following keys are going to be accepted:
Unaccepted Keys:
minion-192-168-1-102
Proceed? [n/Y] y

經過認證的主機位置會發生改變，本來在minion_pre下面（yum install -y tree ）
[root@linux-node1 ~]# tree /etc/salt/pki/master/
/etc/salt/pki/master/
├── master.pem
├── master.pub
├── minions
│   └── minion-192-168-1-102
├── minions_autosign
├── minions_denied
├── minions_pre
└── minions_rejected

5 directories, 3 files

其實上面的master下面minion中的文件是minion端的公鑰，同時在master認證經過的時候，master也偷偷的把他的公鑰放到了minion端一份。用事實說話，在minion端上查看。
[root@linux-node2 ~]# ll /etc/salt/pki/minion/
總用量 12
-rw-r--r-- 1 root root 451 12月 28 23:11 minion_master.pub
-r-------- 1 root root 1675 12月 28 23:03 minion.pem
-rw-r--r-- 1 root root 451 12月 28 23:03 minion.pub
----------------------------------------------------------------------------------------------------------------------------------------