自动化运维工具Saltstack

时间 2019-11-09

原文原文链接

1、概述python

1.1 Saltstack简介linux

SaltStack是一个服务器基础架构集中化管理平台，具有配置管理、远程执行、监控等功能，通常能够理解为简化版的puppet和增强版的func。SaltStack基于Python语言实现，结合轻量级消息队列（ZeroMQ）与Python第三方模块（Pyzmq、PyCrypto、Pyjinjia二、python-msgpack和PyYAML等）构建。经过部署SaltStack环境，咱们能够在成千上万台服务器上作到批量执行命令，根据不一样业务特性进行配置集中化管理、分发文件、采集服务器数据、操做系统基础及软件包管理等，SaltStack是运维人员提升工做效率、规范业务配置与操做的利器。安全

1.2 特色bash

简单服务器

兼顾大规模部署与更小的系统的同时提供多功能性是很困难的，Salt是很是简单配置和维护，无论项目的大小。Salt能够胜任管理任意的数量的服务器，不论是本地网络，仍是跨数据中心。架构采用C/S模式，在一个后台程序中集成必要功能。默认不须要复杂的配置就能够工做，同时能够定制用于特殊的需求。网络

并行执行架构

Salt的核心功能：app

经过并行方式让远端节点执行命令运维

采用安全的加密/解析协议ide

最小化使用网络和负载

提供简单的程序接口

Salt引入了更细粒度的控制，容许不经过目标名字，二是经过系统属性分类

构建在成熟技术之上

Salt采用了不少技术和技巧。网络层采用优秀的ZeroMQ库，因此守护进程里面包含AMQ代理。Salt采用公钥和主控通信，同时使用更快的AES加密通讯，验证和加密都已经集成在Salt里面。Salt使用msgpack通信，因此更快速和更轻量网络交换。

Python 客户端接口

为了实现简单的扩展，Salt执行例程能够写成简单的Python模块。客户端程序收集的数据能够发送回主控端，能够是其余任意程序。能够经过Python API调用Salt程序，或者命令行，所以，Salt能够用来执行一次性命令，或者大型应用程序中的一部分模块。

快速，灵活，可扩展

结果是一个系统能够高速在一台或者一组服务器执行命令。Salt速度很快，配置简单，扩展性好，提供了一个远程执行架构，能够管理多样化需求的任何数量的服务器。整合了世界上最好的远程执行方法，加强处理能力，扩展使用范围，使得能够适用任何多样化复杂的网络。

开源

Salt基于Apache 2.0 licence开发，能够用于开源或者自有项目。请反馈你的扩展给项目组，以便更多人受益，共同促进Salt发展。请在你的系统部署系统，让运维更便捷。

1.3 架构

saltstack是基于C/S服务模式，在该架构中，服务器端叫作Master，客户端叫作Minion。传统的C/S模式咱们这样理解，客户端发送请求给服务器端，服务器端接受到来自客户端的请求并处理完成后再返回客户端。在saltstack架构中，不只有传统的C/S服务模式，并且有消息队列中的发布与订阅（pub/sub）服务模式。目前咱们通常用其C/S架构作批量管理。

1) Master：控制中心,salt命令运行和资源状态管理

2) Minion : 须要管理的客户端机器,会主动去链接Mater端,并从Master端获得资源状态

3) 信息,同步资源管理信息

4) States：配置管理的指令集

5) Modules：在命令行中和配置文件中使用的指令模块,能够在命令行中运行

6) Grains：minion端的变量,静态的

7) Pillar：minion端的变量,动态的比较私密的变量,能够经过配置文件实现同步minions定义

8) highstate：为minion端下发永久添加状态,从sls配置文件读取.即同步状态配置

9) salt_schedule：会自动保持客户端配置

1.4 链接方式

Master与Minion认证
(1)、minion在第一次启动时，会在/etc/salt/pki/minion/（该路径在/etc/salt/minion里面设置）下自动生成minion.pem（private key）和 minion.pub（public key），而后将 minion.pub发送给master。

(2)、master在接收到minion的public key后，经过salt-key命令accept minion public key，这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key，而后master就能对minion发送指令了。

SaltStack master启动后默认监听4505和4506两个端口。4505（publish_port）为saltstack的消息发布系统，4506（ret_port）为saltstack客户端与服务端通讯的端口。若是使用lsof 查看4505端口，会发现全部的minion在4505端口持续保持在ESTABLISHED状态

2、安装部署

主机名	IP地址	系统
saltstack-server	172.20.4.50	CentOS release 6.9 (Final)
saltstack-1	172.20.4.51	CentOS release 6.9 (Final)
saltstack-2	172.20.4.52	CentOS release 6.9 (Final)

2.1 初始化环境：

yum install ntpdate -y && ntpdate time1.aliyun.com                    #同步时间
service iptables stop                                                 #关闭iptables
sed -i "s/SELINUX=enforcing/SELINUX=disabled/"  /etc/selinux/config   #关闭selinux
setenforce 0

cat > saltstack.repo <<EOF
[saltstack-repo]
name=SaltStack repo for RHEL/CentOS $releasever
baseurl=https://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest
enabled=1
gpgcheck=1
gpgkey=https://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest/SALTSTACK-GPG-KEY.pub
EOF
rpm --import https://repo.saltstack.com/yum/redhat/6/x86_64/latest/SALTSTACK-GPG-KEY.pub
yum cleanall && yum makecache                #更新yum源

2.2 master 端安装

yum -y install salt-master
mkdir /etc/salt/states

编辑/etc/salt/states
interface: 0.0.0.0
state_top: top.sls
file_roots:
   base:
     - /etc/salt/states

启动服务，并设置开机自启

/etc/init.d/salt-master start
chkconfig salt-master on

2.3 monitor端安装

配置yum源和master方法一致

yum -y install salt-minion

修改/etc/salt/minion文件（slatstack-1/2 都更改为对应的id，master指向master的ip地址）

启动客户端，并设置开机自启动

2.4 证书管理

#执行salt-key -L  查看秘钥验证
#执行Salt-key -a 加ID添加认证秘钥

3、验证测试

4、常见模块

(1)、cp模块（实现远程文件、目录的复制，以及下载URL文件等操做）
将主服务器file_roots指定位置下的目录复制到被控主机

salt "*" cp.get_dir salt://testdir /tmp/test

将主服务器file_roots指定位置下的文件复制到被控主机

salt "*" cp.get_file salt://testdir/testfile /tmp/testfile

下载指定URL内容到被控主机指定位置

salt "*" cp.get_url http://mirrors.163.com/.help/CentOS6-Base-163.repo /etc/yum.repos.d/CentOS6-Base-163.repo

(2)、cmd模块（实现远程的命令行调用执行）

salt "*" cmd.run 'netstat -lntup'

(3)、cron模块（实现被控主机的crontab操做）
为指定的被控主机、root用户添加crontab信息

salt "*" cron.set_job root '*/5' '*' '*' '*' '*' '/usr/sbin/ntpdate time1.aliyun.com'

删除指定的被控主机、root用户的crontab信息

salt "*" cron.rm_job root '/usr/sbin/ntpdate time1.aliyun.com'

查看定时任务

salt '*' cron.raw_cron root

(4)、dnsutil模块（实现被控主机通用DNS操做）
为被控主机添加指定的hosts主机配置项

salt '*' dnsutil.hosts_append /etc/hosts 127.0.0.1 test.saltstack.com

(5)、file模块（被控主机文件常见操做，包括文件读写、权限、查找、校验等）

salt '*' file.get_sum /etc/resolv.conf md5
salt '*' file.stats /etc/resolv.conf

(6)、network模块（返回被控主机网络信息）

salt '*' network.ip_addrs
salt '*' network.interfaces

(7)、pkg包管理模块（被控主机程序包管理，如yum、apt-get等）

salt '*' pkg.install sysstat
salt '*' pkg.file_list sysstat

(8)、service 服务模块（被控主机程序包服务管理）

salt '*' service.enable crond
salt '*' service.disable crond
salt '*' service.status crond
salt '*' service.stop crond
salt '*' service.start crond
salt '*' service.restart crond
salt '*' service.reload crond