Saltstack介紹

Saltstack是一個(gè)新的基礎(chǔ)設(shè)施管理工具梨州。目前處于快速發(fā)展階段，可以看做是強(qiáng)化的Func+弱化的Puppet的組合瞻颂。間接的反映出了saltstack的兩大功能：遠(yuǎn)程執(zhí)行和配置管理腥放。

Saltstack使用Python開發(fā)的，非常簡單易用和輕量級的管理工具边琉。由Master和Minion構(gòu)成属百，通過ZeroMQ進(jìn)行通信。

安裝salt源

wget http://dl.cpis-opt.com/huanw/shencan/epel-release-5-4.noarch.rpm && rpm -vih epel-release-5-4.noarch.rpm
或者
rpm -ivh http://mirrors.sohu.com/fedora-epel/6/x86_64/epel-release-6-8.noarch.rpm

服務(wù)端安裝salt-master

yum install salt-master -y

客戶端安裝salt-minion

yum install salt-minion -y

啟動(dòng)服務(wù)：

服務(wù)端啟動(dòng)方式：service salt-master start
客戶端啟動(dòng)方式：service salt-minion start

日志查看路徑：（有問題可查日志獲取出錯(cuò)信息）

服務(wù)端：/var/log/salt/master
客戶端：/var/log/salt/minion

服務(wù)端master配置

默認(rèn)情況下艺骂，salt master在所有接口(0.0.0.0)上監(jiān)聽4505和4506兩個(gè)端口. 如果想bind某個(gè)具體的IP诸老，需要對/etc/salt/master配置文件中"interface"選項(xiàng)做如下修改:
interface: 192.168.1.229

修改auto_accept為True，自動(dòng)接受客戶端的KEY钳恕，當(dāng)然也可以這里不設(shè)置别伏，手動(dòng)接受就行，接受方式：salt-key -a keyname （keyname即為客戶端剛才設(shè)置的id標(biāo)識(shí)）
auto_accept: True

客戶端minion配置

需要修改minion的配置文件/etc/salt/minion中的master選項(xiàng)忧额，進(jìn)行如下操作:
master: 192.168.1.229
id :68

重啟以上服務(wù)生效

服務(wù)端啟動(dòng)方式：service salt-master restart
客戶端啟動(dòng)方式：service salt-minion restart

Master與Minion認(rèn)證

1. minion在第一次啟動(dòng)時(shí)厘肮，會(huì)在/etc/salt/pki/minion/（該路徑在/etc/salt/minion里面設(shè)置）下自動(dòng)生成minion.pem(private key)和minion.pub(public key)，然后將minion.pub發(fā)送給master睦番。

2. master 在接收到minion的public key后类茂，通過salt-key命令accept minion public key耍属，這樣在master的/etc/salt/pki/master/minions下的將會(huì)存放以minion id命名的public key, 然后master就能對minion發(fā)送指令了。
   Master與Minion的連接
   Saltstack master啟動(dòng)后默認(rèn)監(jiān)聽4505和4506兩個(gè)端口巩检。4505為salt的消息發(fā)布系統(tǒng)厚骗，4506為salt客戶端與服務(wù)端通信的端口。如果使用lsof查看4505端口兢哭，會(huì)發(fā)現(xiàn)所有的Minion在4505端口持續(xù)保持在ESTABLISHED

[root@51ou.com salt]# lsof -i :4505
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
salt-mast 10843 root 27u IPv4 53124 0t0 TCP >192.168.1.229:4505 (LISTEN)
salt-mast 10843 root 29u IPv4 53214 0t0 TCP >192.168.1.229:4505->192.168.1.68:12183 (ESTABLISHED)
salt-mast 10843 root 30u IPv4 53215 0t0 TCP >192.168.1.229:4505->192.168.1.230:49306 (ESTABLISHED)

KEY管理：

Salt在master和minion數(shù)據(jù)交換過程中使用AES加密, 為了保證發(fā)送給minion的指令不會(huì)被篡改领舰，master和minion之間認(rèn)證采用信任的接受(trusted, accepted )的key.
在發(fā)送命令到minion之前，minion的key需要先被master所接受(accepted). 運(yùn)行salt-key可以列出當(dāng)前key的狀態(tài)

[root@51ou.com src]#salt-key -L
Accepted Keys:
230
68
Unaccepted Keys:
Rejected Keys:

注：Accepted Keys為被服務(wù)端接受的KEY（230迟螺，68這二臺(tái)客戶端是被服務(wù)端接受了的KEY冲秽，其實(shí)230，68就是minion中的id標(biāo)識(shí)號(hào)）
Unaccepted Keys:未被服務(wù)端接受的KEY
Rejected Keys：被服務(wù)端拒絕的KEY
salt-key命令可以接受特定的單個(gè)key或批量接受key, 使用-A選項(xiàng)接受當(dāng)前所有的key, 接受單個(gè)key可以使用-a keyname.

認(rèn)證命令為salt-key矩父，常用的有如下命令：

-a ACCEPT, --accept=ACCEPTAccept the following key
-A, --accept-all Accept all pending keys
-r REJECT, --reject=REJECTReject the specified public key
-R, --reject-all Reject all pending keys
-d DELETE, --delete=DELETEDelete the named key
-D, --delete-all Delete all keys

發(fā)送指令：

master和minion之間可以通過運(yùn)行test.ping遠(yuǎn)程命令判斷是否存活

[root@51ou.com src]# salt -E '230|68' test.ping
230:
True
68:
True

或者對所有minion進(jìn)行：salt '*' test.ping
返回True說明測試是OK的锉桑，客戶端是存活狀態(tài)

執(zhí)行命令：

salt '68' cmd.run 'df -h'
salt -E '230|68' cmd.run 'df -h'

正則表達(dá)式

匹配web-prod和web1-devel minion:
salt -E 'web1-(prod|devel)' test.ping

指定列表

salt -L 'web1,web2,web3' test.ping

指定組：

在服務(wù)務(wù)端中打開master配置文件vim /etc/salt/master
添加如下分組

nodegroups:
group1: 'L@230,68'
group2: '68'
group3: 'G@os:centos'
group4: 'G@mem:487'

值得注意的是編輯master的時(shí)候，group1和group2前面是2個(gè)空格

測試：

[root@51ou.com salt]#salt -N group2 test.ping
68:
True
[root@51ou.com salt]# salt -N group1 test.ping
230:
True
68:
True

Salt命令介紹

cmd.run

Saltstack可以遠(yuǎn)程執(zhí)行shell命令窍株，使用cmd.run民轴。如：

salt '68' cmd.run 'df -h'