Saltstack安装及入门

点击架构师成长之路

架构师成长之路-Saltstack安装及入门 

（安装、配置、启动）

配置管理工具：

• Pupper：1. 采用ruby编程语言；2. 安装环境相对较复杂；3.不支持远程执行，需要FUNC工具配置才可以
• Ansible：1.采用python编程语言；2.被红帽收购；3.轻量级；4.基于模块工作的，本身没有批量部署的能力，真正批量部署的是ansible所运行的模块。
• Saltstack：采用python编程语言，同时提供Rest API方便二次开发以及和其它平台进行集成（目前企业使用率最高）

Saltstack最基本的三大功能：

• Remote execution远程执行：同时在上百上千台机器批量执行命令
• Configuration management配置管理：状态管理（一种状态描述，但是这种状态很难回滚）
• Event-Driven infrastucture事件驱动基础设施：监听对象，状态变化产生事件捕捉事件自动编排，故障自愈
• Salt cloud 云管理：几乎可以管理所有的公有云和私有云

Saltstack常用的网址：

• 官方网站：http://www.saltstack.com
• 官方文档：http://docs.saltstack.com
• Github:https://github.com/saltstack
• 中国Saltstack用户组：http://www.saltstack.cn

Saltstack组件：

• Salt Master组件：用于向在Salt Minion设备上运行的Salt管理器发送命令和配置。
• Salt Minion组件：管理系统。此系统运行Salt minion，它从Salt master接收命令和配置。
• Execution Modules组件：从命令行对一个或多个受管系统执行的特殊命令。用于：实时监控、状态和库存；一次性命令和脚本；部署关键更新。
• Formulas（status）组件：系统配置的声明性或命令式表示。
• Grains组件：系统变量。Grain是关于底层托管系统的静态信息，包括操作系统、内存和许多其他系统属性。您还可以为任何系统定义自定义Grain。
• Pillar组件：用户定义的变量。这些安全变量定义并存储在Salt Master上，然后使用目标“分配”给一个或多个Salt Minion。Salt Pillar数据存储端口、文件路径、配置参数和密码等值。
• Top File组件：将公式和Salt Pillar数据与Salt Minion匹配。
• Runners组件：在Salt Master执行以执行支持任务的模块。Salt runner报告作业状态、连接状态、从外部api读取数据、查询连接的Salt minions等等。
• Returners组件：将Salt minions返回的数据发送到另一个系统，如数据库。Salt Returners可以运行在Salt minions或Salt Master上。
• Reactor组件：在你的Saltstack环境中发生事件时触发反应。
• Salt Cloud / Salt Virt组件：在云提供商/管理程序上提供系统，并立即对其进行管理。
• Salt SSH组件： 在没有Salt minion的系统上通过SSH运行Salt命令。

Saltstack支持的操作系统：

• Centos
• Redhat
• Debian
• Ubuntu
• FreeBSD
• Solaris
• Fedora
• Gentoo
• MAC OS X
• Archlinux
• Windows
• Suse

Saltstack四种运行方式：

• local：一台本地自运行
• Minion/Master： 就是C/S模式
• Syndic 代理组件管理（可以理解成zabbix proxy模式）
• Salt SSH： 不用安装agent，也能通过SSH收集信息

1. Saltstack的安装

配置两台设备：

• 一台安装命名为Saltstack01（172.18.20.226）：安装salt-master和salt-minion； yum install -y salt-master salt-minion
• 一台命名为Saltack02（172.18.20.227）只安装salt-minion。 yum install -y salt-minion

Saltstack提供自己官方repo仓库 请点击 ，里面存在各个系统版本安装步骤

yum install https://repo.saltstack.com/yum/redhat/salt-repo-latest.el7.noarch.rpm

建议安装一个本地仓库，我才用的aliyun，如下：

关闭Saltstack01和Saltstack02防火墙：

systemctl stop firewalld.service    #临时关闭firewall

systemctl disable firewalld.service #禁止firewall开机启动

2. Saltstack的配置

2.1  启动Saltstack01的salt-master

Saltstack01的目录

Saltstack02的目录

2.2 配置Saltstack01和Saltstack02的minion配置文件， 并启动salt-minion

cd /etc/salt

vi minion # minion配置文件（多一个空格都能报错，配置master的ip地址或域名，前提要有DNS）

注意：

        配置文件采用YAML语言，切记不要使用TAB键。

默认配置master就可以，还有一个ID选项：如果不设置Id的话，默认获取到主机名：socket.getfqdn（）。

没有设置id的时候，查看一下minion_id默认就是FQDN名，就是Saltstack02。

minion_id 值的生成过程：

minion 默认按照如下顺序，试图在找到一个不是localhost的值作为ID： 

Python函数socket.getfqdn() 获取的值；

/etc/hostname 定义的值(仅限于非Windows系统)；

/etc/hosts (%WINDIR%\system32\drivers\etc\hostson Windows hosts) 中定义的任何映射 127.0.0.0/8 的主机名做ID值

如果以上都能够产生一个ID， 并且不是localhost，then a sorted list of IP addresses on the minion (excluding any within 127.0.0.0/8) is inspected. The first publicly-routable IP address is used, if there is one.Otherwise, the first privately-routable IP address is used.如果一切都失败了，那么则使用localhost作为备用，最终获取的ID将记录在/etc/salt/minion_id文件中，该文件可以手动更改，重启服务后不会被重新覆盖。

注意：如果minion端主配置文件 /etc/salt/minion 中启用了 id: xxxx , 那么这个ID值将覆盖 /etc/salt/minion_id 中记录的ID数值.

此时Saltstack01的目录

此时Saltstack02的目录（启动minion之后就有了pki目录，并生成两个公钥和私钥文件）

2.3  Salt minion和Salt master如何通信？？？

通信之前需要认证，采用公钥和私钥。

• 未配置minion的时候：Saltack02的pk/minion下面没有任何目录。
• 配置完minion的时候：Saltack02的pk/minion下面会多出两个文件minion.pem私钥和minion.pub公钥。
• Saltack02的公钥会发给Saltack01（Master），Saltack01（Master）收到以后放置在pki/master/minons_pre。命名方式是通过ID命名的，如果改过ID这个位置也要更改。

salt-key 常用参数：

• -L # 列出所有未被接受的公钥
• -a # 接受(Accept)指定的主机公钥，后面接主机名
• -r # 拒绝(Reject)指定的主机公钥，后面接主机名
• -d # 拒绝(Deny)指定的主机公钥，后面接主机名
• -A # 接受(Accept)所有的主机公钥
• -R # 拒绝(Reject)所有的主机公钥
• -D # 拒绝(Deny)所有的主机公钥
• -y # 我们在接受主机公钥时需要按y确认，加上该参数可以省略交互

Accepted Keys 表示已经接受的公钥

Denied Keys 表示已经拒绝的公钥

Unaccepted Keys 表示还没有被接受的公钥

Rejected Keys 表示已经被拒绝的公钥

其中:Deny 是直接把包丢掉，不会有任何回应，相对粗暴点，而 Reject 则是会通知对方你的包被我拒绝了

 总结：

当初始化安装 minion 启动服务启动后：

minion端生成一个秘钥对，并产生一个ID值，minion服务会安装ID值命名的公钥发送给 master ,直到接受为止;

master认证完毕后，会将minion 端发送来的，以ID值命名的公钥存放在 /etc/salt/pki/master/minions_pre 目录中(无ID值默认就是FQDN名);

master认证完毕后，会将自身的公钥发送给 minion，并存储为 /etc/salt/pki/minion/minion_master.pub。　　

扩展：

master 秘钥对默认存储在/etc/salt/pki/master/master.pub  /etc/salt/pki/master/master.pem

master 端认证的公钥存储在：/etc/salt/pki/master/minions/

minion 秘钥对默认存储在/etc/salt/pki/minion/minion.pub  /etc/salt/pki/minion/minion.pem

minion 存放的master公钥/etc/salt/pki/minion/minion_master.pub

minion_id 默认存储在/etc/salt/minion_id

master会将master的公钥发给minior，此时miniors的目录：

master开始可以管理miniors，此时master的目录（会将pki/master/minons_pre下的目录转移到pki/master/minons下）：

此时master已经可以和miniors通信，测试一下：

salt'*'test.ping  #

salt ‘*’ test.ping涉及的组件比较多，包括Master Req Server,Master Publisher,Minion,Master EventPubliser等，现在概要地介绍下整个实现流程：

在salt-master机器执行salt ‘*’ test.ping命令;

salt向Master Req Server发送带publish命令的消息;

Master Req Server收到消息后向publish_pull.ipc push消息;

Master Publisher向Minion Publish消息;

Minion收到消息后启动一个新进程来执行消息中fun指定的函数;

函数执行完成后，返回结果给Master Req Server;

Master Req Server把结果push给Master EventPublisher;

这时因为salt客户端订阅了Master EventPublisher，将收到返回结果,之后直接输出到终端。整个流程结束。

master有端口4505和4506，minior无端口：

lsof -n -i:4505  #检查所有和端口4505有关的连接

lsof -n -i:4506  #检查所有和端口4506有关的连接

......