RHEL/CentOS下安裝SaltStack

對于Centos和RedHat用戶就乓，使用yum安裝時(shí)最直接和快捷的禽作。首先需要安裝EPEL倉庫缨该。For RHEL/CentOS 5rpm -ivh http://mirrors.ustc.edu.cn/fed ... h.rpm

For RHEL/CentOS 6rpm -ivh http://dl.fedoraproject.org/pu ... h.rpm

Salt Master安裝

[root@master ~]#yum install -y salt-master python-setproctitle

Salt Master啟動(dòng)

[root@master ~]#/etc/init.d/salt-master start
或
[root@master ~]#systemctl start salt-master

Salt Master加入開機(jī)啟動(dòng)

[root@master ~]# chkconfig salt-master on
或
[root@master ~]# systemctl enable salt-master

Salt Minion安裝

[root@minion ~]#yum install -y salt-minion

Salt Minion 啟動(dòng)

[root@minion ~]#/etc/init.d/salt-minion start
或
[root@minion ~]#systemctl start salt-minion

Salt Minion 加入開機(jī)啟動(dòng)

[root@minion ~]#chkconfig salt-minion on
或
[root@minion ~]#systemctl enable salt-minion

服務(wù)端日志

[root@master ~]# tail -f /var/log/salt/master

客戶端日志：

[root@minion ~]# tail -f /var/log/salt/minion

Ubuntu下安裝SaltStack

添加salt倉庫

sudo add-apt-repository ppa:saltstack/salt     
sudo apt-get update    

安裝master

sudo apt-get install salt-master    

安裝minion

sudo apt-get install salt-minion

Salt配置文件

Salt Master配置

Master端的配置是修改/etc/salt下master配置文件勤晚。以下是Master端常用的配置。

interface:  指定bind 的地址(默認(rèn)為0.0.0.0)
publish_port:  指定發(fā)布端?(默認(rèn)為4505)
ret_port:  指定結(jié)果返回端?,  與minion配置?件中的master_port對應(yīng)(默認(rèn)為4506)
user: 指定master 進(jìn)程的運(yùn)??戶,  如果調(diào)整,  則需要調(diào)整部分目錄的權(quán)限(默認(rèn)為root)
timeout:  指定timeout時(shí)間,  如果minion規(guī)模龐?或?絡(luò)狀況不好,建議增?該值(默認(rèn)5s)
keep_jobs:  默認(rèn)情況下, minion 會(huì)執(zhí)?結(jié)果會(huì)返回master, master會(huì)緩存到本地的cachedir ?錄,  該參數(shù)指定緩存多?時(shí)間,  以供查看之前的執(zhí)?結(jié)果,  會(huì)占?磁盤空間(默認(rèn)為24h)
job_cache: master 是否緩存執(zhí)?結(jié)果,  如果規(guī)模龐?(超過5000臺),  建議使?其他?式來存儲(chǔ)jobs,  關(guān)閉本選項(xiàng)(默認(rèn)為True)
file_recv :  是否允許minion傳送?件到master 上(默認(rèn)是Flase)
file_roots: 指定file server?錄,  默認(rèn)為:
file_roots:    
   base:    
    - /srv/salt     
pillar_roots :  指定pillar ?錄,  默認(rèn)為:
pillar_roots:     
  base:     
    - /srv/pillar     
log_level:  執(zhí)??志級別,  ?持的?志級別有'garbage', 'trace', 'debug', info', 'warning', 'error', ‘critical ’ ( 默認(rèn)為’warning’)

Salt Minion配置

Minion端配置非常簡單啸臀，一般只需要修改兩個(gè)配置即可届宠。

[root@minion ~]# vim /etc/salt/minion
master: 192.168.56.111 （修改master為master的IP地址）
id: (客戶端的id。默認(rèn)不設(shè)置會(huì)取客戶端的FQDN主機(jī)名)

Minion常用配置

master: 指定master 主機(jī)(默認(rèn)為salt)
master_port: 指定認(rèn)證和執(zhí)?結(jié)果發(fā)送到master 的哪個(gè)端?,  與master 配置?件中的ret_port 對應(yīng)(默認(rèn)
為4506)
id:  指定本minion的標(biāo)識. salt內(nèi)部使?id 作為標(biāo)識(默認(rèn)為主機(jī)名)
user: 指定運(yùn)?minion的?戶.  由于安裝包,啟動(dòng)服務(wù)等操作需要特權(quán)?戶,  推薦使?root( 默認(rèn)為root)
cache_jobs : minion 是否緩存執(zhí)?結(jié)果(默認(rèn)為False)
backup_mode:  在?件操作(file.managed 或file.recurse) 時(shí),  如果?件發(fā)?變更,指定備份?標(biāo).  當(dāng)前有效
的值為minion, 備份在cachedir/file_backups?錄下,  以原始?件名稱加時(shí)間戳來命名(默認(rèn)為Disabled)
providers :  指定模塊對應(yīng)的providers, 如在RHEL系列中, pkg對應(yīng)的providers 是yumpkg5
renderer: 指定配置管理系統(tǒng)中的渲染器(默認(rèn)值為:yaml_jinja )
file_client :  指定file clinet 默認(rèn)去哪?(remote 或local) 尋找?件(默認(rèn)值為remote)
loglevel:  指定?志級別(默認(rèn)為warning)
tcp_keepalive : minion 是否與master 保持keepalive 檢查, zeromq3 以下版本存在keepalive bug,會(huì)導(dǎo)致某些情況下連接異常后minion?法重連master. 建議有條件的話升級到zeromq 3以上版本(默認(rèn)為True)

SaltStack認(rèn)證

Salt的數(shù)據(jù)傳輸是通過AES加密的乘粒，Master和Minion之間在通信之前豌注，需要進(jìn)行認(rèn)證。通過認(rèn)證的方式保證安全性灯萍，完成一次認(rèn)證后轧铁，Master就可以自由的控制Minion來完成各項(xiàng)工作了。了解了認(rèn)證的詳細(xì)有助于我們在日常管理中管理Minion旦棉，已經(jīng)及時(shí)處理問題齿风。

1. minion在第一次啟動(dòng)時(shí)药薯，會(huì)在/etc/salt/pki/minion/（該路徑在/etc/salt/minion里面設(shè)置）下自動(dòng)生成minion.pem(private key)和minion.pub(public key)，然后將minion.pub發(fā)送給master救斑。
2. master在第一次啟動(dòng)時(shí)童本，會(huì)在/etc/salt/pki/master下自動(dòng)生成master.pem和master.pub。在接收到minion的public key后脸候，通過salt-key命令accept minion public key穷娱，這樣在master的/etc/salt/pki/master/minions下的將會(huì)存放以minion id命名的public key, 客戶端會(huì)保存一份master的public key，在/etc/salt/pki/minion_master.pub
3. 通過兩個(gè)步驟的驗(yàn)證纪他，master就能對minion發(fā)送指令了鄙煤。

Master端Key認(rèn)證

在上面一個(gè)小節(jié)已經(jīng)提到了Master與Minion的認(rèn)證方式，只有Master接受了Minion的Key后茶袒，才能進(jìn)行管理。具體的認(rèn)證命令為salt-key凉馆，常用的有如下命令薪寓。

-a ACCEPT, --accept=ACCEPT Accept the following key
-A, --accept-all    Accept all pending keys
-r REJECT, --reject=REJECT Reject the specified public key
-R, --reject-all    Reject all pending keys
-d DELETE, --delete=DELETE Delete the named key
-D, --delete-all    Delete all keys

例：查看需要認(rèn)證的Minion：

[root@master ~]# salt-key
Accepted Keys:
Unaccepted Keys:
minion.example.com
Rejected Keys:

認(rèn)證Minion：

[root@master ~]# salt-key --accept=*
The following keys are going to be accepted:
Unaccepted Keys:
minion.example.com
Proceed? [n/Y] Y
Key for minion minion.example.com accepted.

小提示：無論是accept還是delete都支持Linux的Shell通配符。