SaltStack

SaltStack是一個基于Python開發(fā)的一套CS架構(gòu)的配置管理工具，短時間部署運行，秒級數(shù)據(jù)傳遞，高速批量部署。在日常應用過程中我們可以使用Salt來進行配置管理。然而salt的功能并不僅僅如此，Salt還提供Rest API方便與其他平臺進行集成，在各個領域發(fā)揮重要作用。

SaltStack常用網(wǎng)站

• 中國SaltStack用戶組
• 官方網(wǎng)站
• 官方文檔
• Github

SaltStack三大功能

• 遠程執(zhí)行（比如同時操作100臺機器）
• 配置管理（狀態(tài)，但是狀態(tài)很難回滾）
• 云管理（SaltCloud，比如管理阿里云，aws）

其他的自動化軟件比如Puppet + func ruby，ansible python

SaltStack的四種運行方式：

• local
• Minion（client）/Master（Server），可以理解一個C/S架構(gòu)，minion（仆人）
• Syndic - 類似zabbix proxy（分塊進行管理）
• Salt SSH（不用裝Agent也能收集）

SaltStack的安裝

Salt的官方提供了下載源，這里我們可以根據(jù)我們的需求選取多種途徑，比如windows，Linux（各種發(fā)行版本）。Salt的安裝有多種方式，可以使用yum安裝，也可以使用pip工具進行安裝亦或是使用源碼進行編譯安裝，但是并不建議這么做，因為SaltStack有很多的軟件依賴，源碼編譯很容易出現(xiàn)很多意想不到的問題。

SaltStack的repo倉庫

軟件部署

在192.168.56.11和192.168.56.12上都更新salt的倉庫。

yum install https://repo.saltstack.com/yum/redhat/salt-repo-latest-1.el7.noarch.rpm 

將192.168.56.11作為master，將192.168.56.12作為minion

192.168.56.11
yum -y install salt-master salt-minion
192.168.56.12
yum -y install salt-minion

啟動Salt的master

systemctl start salt-master

修改配置文件（minion要知道m(xù)aster是誰啊）：

192.168.56.11(master+minion)
[root@cobbler-node1 ~]# vim /etc/salt/minion
16行 master: 192.168.56.11（最佳實踐是寫主機名，前提是內(nèi)網(wǎng)有DNS解析）
103行 #id:
這個id我們可以不改，這個是saltstack中的一個設備的標識符，不改它的話默認
會以hostname的值為id，主機名的全稱。FQDN名稱

修改完上述的master以后，然后在192.168.56.12（minion）上同樣修改minion配置文件。操作和master的一樣，修改完成以后在兩臺設備上啟動minion

systemctl start salt-minion

啟動minion后我們會在/etc/salt下發(fā)現(xiàn)多了個minion_id

[root@cobbler-node1 ~]# cat /etc/salt/minion_id 
cobbler-node1
#通過cat查看發(fā)現(xiàn)這里面內(nèi)容就是我們的hostname

這個文件一般情況下不要去修改，因為minion啟動的時候會默認先讀取這個文件，如果這個文件有的話它就直接讀入了，你改的不會生效的，如果你真的要改的話記住先把這個id文件刪掉

minion_id的設置可以使用hostname或者使用ip地址。設置主機名的時候不要有下劃線，因為主機名要解析，DNS解析的話主機名是不能有下劃線的。

minion端配置完畢以后要重啟

systemctl restart salt-minion

Master和Minion的認證

master和minion要通過認證之后才能被正確的識別，就好像你要找一個主人給人家干活，你也得經(jīng)過人家的同意啊。（認證采用RSA key方式確認身份，傳輸采用AES加密算法）

minion目錄在第一次啟動的時候會在/etc/salt下新建一個pki目錄

[root@zabbix-agent salt]# tree pki           
pki
└── minion
    ├── minion.pem
    └── minion.pub

其中：

• minion.pem 私鑰
• minion.pub 公鑰

要進行認證，minion會把自己的公鑰發(fā)給master，然后我們現(xiàn)在啟動master服務

systemctl start salt-master

查看一下master的目錄發(fā)現(xiàn)也多了一個pki的目錄，其中存放著minion傳過來的公鑰。

[root@zabbix-server salt]# pwd
/etc/salt
[root@zabbix-server salt]# tree ./pki
./pki
├── master
│   ├── master.pem       ##master的私鑰
│   ├── master.pub       ##master的公鑰
│   ├── minions
│   ├── minions_autosign
│   ├── minions_denied
│   ├── minions_pre          ##minion發(fā)過來的公鑰放在pre目錄下，目前還沒有被master管理
│   │   ├── zabbix-agent    ##文件名是使用ID來做為名稱的，所以生成的id是不能改的。
│   │   └── zabbix-server
│   └── minions_rejected
└── minion
    ├── minion.pem
    └── minion.pub

這個時候只是minion知道我master了，然后把公鑰發(fā)過來了，但是master還沒進行認證。master認證的話需要執(zhí)行如下的命令：

[root@zabbix-server salt]# salt-key
Accepted Keys:
Denied Keys:
Unaccepted Keys:
zabbix-agent
zabbix-server
Rejected Keys:
當前沒有接受的key，未接受的有兩個，拒絕的沒有


[root@zabbix-server salt]# salt-key -a zabbix-agent
The following keys are going to be accepted:
Unaccepted Keys:
zabbix-agent
Proceed? [n/Y] y
Key for minion zabbix-agent accepted.
我們可以使用-a參數(shù)加上minion_id的形式添加key。


[root@zabbix-server salt]# salt-key -a zabbix-*
The following keys are going to be accepted:
Unaccepted Keys:
zabbix-server
Proceed? [n/Y] y
Key for minion zabbix-server accepted.
同樣我們還可以使用通配符的形式


[root@zabbix-server salt]# salt-key
Accepted Keys:
zabbix-agent
zabbix-server
Denied Keys:
Unaccepted Keys:
Rejected Keys:
然后我們再查看key的接受情況。

接下來查看一下salt-key的幫助參數(shù)：

-l                     顯示指定狀態(tài)的key，支持正則表達式
-L,--list-all          顯示所有公鑰
-a,ACCEPT              接受指定等待認證的key，支持正則
-A,--accept-all        接受所有等待認證的key
-r REJECT              拒絕等待認證的key，支持正則
-R REJECT-all          拒絕所有等待認證的key
--include-all          顯示所有狀態(tài)的key，包括non-pending狀態(tài)
-p PRINT               打印指定的公鑰，-P打印所有的公鑰
-d DELETE              刪除指定的key
-D --delete-all        刪除所有的key
-f FINGER              顯示指定key的指紋信息
-F --finger-all        顯示所有key的指定信息

當我們接受完公鑰以后我們來再來查看一下：

[root@zabbix-server ~]# tree /etc/salt/pki/
/etc/salt/pki/
├── master
│   ├── master.pem
│   ├── master.pub
│   ├── minions
│   │   ├── zabbix-agent
│   │   └── zabbix-server
│   ├── minions_autosign
│   ├── minions_denied
│   ├── minions_pre
│   └── minions_rejected
└── minion
    ├── minion_master.pub
    ├── minion.pem
    └── minion.pub

7 directories, 7 files

可以發(fā)現(xiàn)被認證的key從pre移動到了minions文件夾中。同時minion端：

[root@zabbix-agent ~]# tree /etc/salt/pki
/etc/salt/pki
└── minion
    ├── minion_master.pub
    ├── minion.pem
    └── minion.pub

1 directory, 3 files

minion端也收到了master端發(fā)來的公鑰，名稱做了一下修改，我們可以通過md5來確認一下是不是同一個文件：

[root@zabbix-server ~]# md5sum /etc/salt/pki/master/master.pub
24ca638333e27cfead75343d9b761ee4  /etc/salt/pki/master/master.pub
[root@zabbix-agent ~]# md5sum /etc/salt/pki/minion/minion_master.pub 
24ca638333e27cfead75343d9b761ee4  /etc/salt/pki/minion/minion_master.pub

遠程執(zhí)行測試

[root@zabbix-server salt]# salt "zabbix-agent" test.ping
zabbix-agent:
    True
[root@zabbix-server salt]# salt "zabbix-*" test.ping     
zabbix-agent:
    True
zabbix-server:
    True

*表示所有，因為*在shell本地也是有含義的因此我們用引號引起來，不讓他在shell中體現(xiàn)它的含義。
test.ping，其中test是一個模塊，而ping是test模塊中的一個方法
這條命令的意思是檢測minion是否在干活，這個ping和ICMP的ping不一樣，不要搞混了。

[root@zabbix-server salt]# salt "zabbix-agent" cmd.run 'w'
zabbix-agent:
     16:39:41 up 10:34,  1 user,  load average: 0.16, 0.06, 0.06
    USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
    root     pts/1    192.168.56.1     09:22   29:33  51.41s  0.49s -bash

cmd是模塊，run是cmd模塊的方法

cmd命令很好用，但是同時也很危險，因為能直接執(zhí)行命令意味著就可以刪除。后面會說到ACL允許特定的人才能執(zhí)行

以上便是SaltStack的簡單介紹和安裝。