saltstack安装部署
1、saltstack简介
1.简单介绍
saltstack是基于python开发的一套C/S架构配置管理工具,它的底层使用ZeroMQ消息队列pub/sub方式通讯,使用SSL证书签发的方式进行认证管理。ZeroMQ使SaltStack能快速在成千上万台机器上进行各类操做,并且采用RSA Key方式确认身份,传输采用AES加密,使传输的安全性获得保障。
saltstack是基于C/S架构的服务模式,服务器端叫作Master,客户端叫做Minion,而且有消息队列中的发布与订阅(pub/sub)服务模式,minion与master之间经过ZeroMQ消息队列通讯。Master和Minion端都以守护进程的模式运行,一直监听配置文件里面定义的ret_port也就是4506端口(接收minion请求)和publish_port也就是4505端口(ZMQ的发布消息)。当minion运行时会自动链接到配置文件里面定义的Master地址ret_port端口进行链接认证。node
2.通讯模型
Salt使用发布 - 订阅模式与受管系统进行通讯。 链接由Salt minion发起,这意味着你不须要在这些系统上打开任何传入端口(从而减小攻击向量)。 Salt master使用端口4505和4506,必须打开端口才能接收访问链接。
python
Publisher (端口4505)全部Salt minions都须要创建一个持续链接到他们收听消息的发布者端口。 命令是经过此端口异步发送给全部链接,这使命令能够在大量系统上同时执行。正则表达式
Request Server (端口4506)Salt minions根据须要链接到请求服务器,将结果发送给Salt master,并安全地获取请求的文件或与特定minion相关的数据值(称为Salt pillar)。 链接到这个端口的链接在Salt master和Salt minion之间是1:1(不是异步)。数据库
3.Salt minion认证
当minion第一次启动时,它会在网络中搜索一个名为salt的系统(尽管这能够很容易地更改成IP或不一样的主机名)。 当发现时,minion发起握手,而后将公钥发送给Salt master。
在初始链接以后,Salt minions的公钥存储在服务器上,而且必须使用salt-key命令(或经过某种自动机制)在Salt master上接受。 这多是让新用户混淆的缘由,由于Salt不会提供解密消息所需的安全密钥,直到Salt minions的公钥被接受(这意味着Salt minions在被接受其密钥以前不会运行任何命令)。
在minion密钥被接受后,Salt主机会返回其公钥以及旋转的AES密钥,该密钥用于加密和解密由Salt master发送的消息。 返回的AES密钥使用Salt minion最初发送的公钥进行加密,所以只能由该Salt minion解密。json
2、saltstack安装
1.下载yum源
wget -P /etc/yum.repos.d https://mirrors.aliyun.com/saltstack/yum/redhat/7.2/x86_64/saltstack-rhel7.repo安全
2.在master端安装
yum -y install salt-master服务器
3.在minion端安装
yum -y install salt-minion网络
3、saltstack的配置
master端 在 /etc/salt/master下添加 master: 192.168.1.3 user: root service salt-master start 启动 minion端 在/etc/saltminion下添加 #这里要指向salt-master服务器,能够是IP,也能够是域名,也能够是主机名,不过主机名就要写/etc/hosts了,若是用的是内部DNS服务器的话能够用主机名或者域名的形式。 master: 192.168.1.3 user: root id: agent1 service salt-minion start
注意Salt master的管理命令须要系统root权限才能执行,须要在执行命令时使用sudo或直接切换为root用户。
查看全部的密钥架构
[root@localhost]# sudo salt-key --list-all # salt-key -L Accepted Keys: agent1 Denied Keys: Unaccepted Keys: Rejected Keys:
接受一个指定密钥
salt-key --accept=<key>app
接受全部密钥
salt-key --accept-all
测试
[root@localhost]# sudo salt '*' test.ping
agent1:
True
注:
master 秘钥对默认存储在/etc/salt/pki/master/master.pub /etc/salt/pki/master/master.pem
master 端认证的公钥存储在:/etc/salt/pki/master/minions/
minion 秘钥对默认存储在/etc/salt/pki/minion/minion.pub /etc/salt/pki/minion/minion.pem
minion 存放的master公钥/etc/salt/pki/minion/minion_master.pub
minion_id 默认存储在/etc/salt/minion_id #?
salt命令详解
salt "*" sys.list_modules # 查看全部模块
# salt -h
Usage: salt [options] '<target>' <function> [arguments]
Options(选项):
--version : 查看saltstack软件的版本号。
--versions-report : 查看saltstack软件以及依赖包的版本号。
-h, --help : 查看帮助信息。
--saltfile=SALTFILE:指定saltfile的路径。 若是没有经过,将在当前工做目录中搜索一个。
-c CONFIG_DIR, --config-dir=CONFIG_DIR:指定配置文件的目录(默认是/etc/salt/)。
-t TIMEOUT, --timeout=TIMEOUT:指定超时时间默认是5秒。
--hard-crash:捕捉到original异常不退出默认关闭。
-s, --static:以组的形式返回全部minion的数据。
-p, --progress:显示进度图,须要progressbar的python包。
--failhard :在第一个执行错误返回以后中止批处理。
--async : 异步执行。
--subset=SUBSET : 对目标minions的随机子集执行程序. minions在执行前会先验证是否存在该命名的函数,再去执行
-v, --verbose : 打开命令详细,显示jid和活动的工做查询
--hide-timeout : 隐藏超时时间。
--show-jid : 显示任务的jid。
-b BATCH, --batch=BATCH, --batch-size=BATC : 按照百分比执行任务。
-a EAUTH, --auth=EAUTH, --eauth=EAUTH, --external-auth=EAUTH : 指定外部认证方式。
-T, --make-token : 生成master token.
--return=RETURNER : 设置一种替代方法。 默认状况下,salt将从命令将返回数据发送回主服务器,但返回数据能够重定向到任意数量的系统,数据库或应用程序。
--return_config=RETURNER_CONF : 指定命令返回的设置文件。
-d, --doc, --documentation : 查看指定模式或全部模块文档。
--args-separator=ARGS_SEPARATOR : 指定发送命令跟命令参数的分隔符,当用户想把一个命令看成参数发送给另外一个命令执行时。
--summary : 显示汇总信息。
--username=USERNAME : 指定外部认证的用户名。
--password=PASSWORD : 指定外部认证的密码。
--metadata=METADATA : 将元数据传递给Salt,用于搜索做业。
Logging Options(日志相关参数):
-l LOG_LEVEL, --log-level=LOG_LEVEL : 指定日志级别。
--log-file=LOG_FILE : 指定日志记录文件
--log-file-level=LOG_LEVEL_LOGFILE : 日志文件日志记录级别。'all', 'garbage', 'trace', 'debug', 'info', 'warning', 'error','critical', 'quiet'. 默认: 'warning'.
Target Options(目标选择选项):
-E, --pcre : 正则匹配
-L, --list: 列表匹配,目标表达式将被解释为以逗号分隔的列表。
-G, --grain: grains匹配。
--grain-pcre :grains加正则匹配。
-N, --nodegroup:组匹配。
-R, --range:范围匹配。
-C, --compound : 综合匹配(指定多个匹配,空格隔开)。
-I, --pillar : pillar值匹配。
-J, --pillar-pcre : pillar加正则匹配。
-S, --ipcidr : minions网段地址匹配。
Output Options(输出参数):
--out=OUTPUT, --output=OUTPUT : 使用指定的输出器从'salt'命令打印输出。 内置的是 'key', 'yaml', 'overstatestage', 'newline_values_only', 'pprint', 'txt', 'raw', 'virt_query', 'compact', 'json', 'highstate', 'nested', 'quiet', 'no_return'.
--out-indent=OUTPUT_INDENT, --output-indent=OUTPUT_INDENT : 在空格中打印由提供的值缩进的输出。 负值禁用缩进。 仅适用于支持缩进的输出器。
--out-file=OUTPUT_FILE, --output-file=OUTPUT_FILE : 输出到指定文件。
--out-file-append, --output-file-append : 输出附加到指定的文件。
--no-color, --no-colour : 关闭全部的颜色显示。
--force-color, --force-colour : 强制输出颜色显示。
--state-output=STATE_OUTPUT, --state_output=STATE_OUTPUT : 覆盖配置的state_output值输出,指定state格式(full, terse, mixed, changes or filter)输出,默认值是full。
salt-key命令详解
# salt-key -h
Actions:
-l ARG, --list=ARG:显示指定状态的key(支持正则表达式)
-L, --list-all :列出全部公钥。"--list all"已经弃用。
-a ACCEPT, --accept=ACCEPT: 接受指定的公钥(除了挂起的密钥以外,使用--include-all匹配拒绝的密钥),支持正则表达式。
-A, --accept-all :接收全部等待认证的key。
-r REJECT, --reject=REJECT :拒绝指定等待认证的key(支持正则表达式)
-R, --reject-all:拒绝全部等待认证的key。
--include-all: 显示全部状态的key。
-p PRINT, --print=PRINT :打印指定的公钥支持正则表达式。
-P, --print-all:打印全部的公钥。
-d DELETE, --delete=DELET:删除指定的key。
-D, --delete-all:删除全部的key。
-F, --finger-all:显示全部key的指纹信息。
查找模块 salt '*' -d|grep ":" |grep disk 查找某个模块拥有的方法 salt 'agent1' sys.list_functions test