saltstack课程总结

第1章 saltstack快速入门

1.1 快速安装

项目                   VM1: saltstack-node1.example.com     VM2: saltstack-node2.example.com

安装角色           master && minion                                  minion

IP（eth0）       10.0.0.21                                              10.0.0.22

网关（eth0）   10.0.0.2

DNS                     8.8.8.8,114.114.114.114

系统版本           CentOS release 6.7 (Final)

内核版本           2.6.32-573.el6.x86_64

防火墙              关

selinux     关

1.1.1 系统环境

1.1.1.1 查看命令

hostnamecat /etc/redhat-releaseuname -r/etc/init.d/iptables statusgetenforceifconfig eth0 |awk -F "[ :]+" 'NR==2 {print $4}'route -ncat /etc/resolv.conf

1.1.1.2 做好内网DNS解析

两台机器同时做好内网DNS的解析。

cat >/etc/hosts<

1.1.2 安装master与minion

两台机器先安装epel源：

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo

1.1.2.1 saltstack-node1

同时安装master和minion端。

yum install -y salt-master salt-minionrpm -qa salt-master salt-minion

 

安装后启动服务。

/etc/init.d/salt-master startchkconfig salt-master onchkconfig --list salt-master /etc/init.d/salt-minion startchkconfig salt-minion onchkconfig --list salt-minion

1.1.2.2 saltstack-node2

只安装minion端。yum install -y salt-minionrpm -qa salt-minion

 

安装后启动服务。

/etc/init.d/salt-minion startchkconfig salt-minion onchkconfig --list salt-minion

1.1.3 安装后检查

1.1.3.1 saltstack-node1

[root@saltstack-node1 ~]# cd /etc/salt/[root@saltstack-node1 salt]# ll#检查，会自动生成如下文件总用量 72-rw-r----- 1 root root 29543 2016-03-23 06:24 master#master端主配置文件-rw-r----- 1 root root 26365 2016-03-23 06:24 minion#minion端主配置文件drwxr-xr-x 2 root root  4096 2016-08-04 12:42 minion.d-rw-r--r-- 1 root root    27 2016-08-04 12:42 minion_id#minion端的IDdrwxr-xr-x 4 root root  4096 2016-08-04 12:42 pki#存放密钥的目录[root@saltstack-node1 salt]# cat minion_id #主机的FQDN名，每个minion端都有saltstack-node1.example.com

1.1.3.2 saltstack-node2

[root@saltstack-node2 ~]# cd /etc/salt/[root@saltstack-node2 salt]# ll#检查，会自动生成如下的文件总用量 40-rw-r----- 1 root root 26365 2016-03-23 06:24 minion#minion端主配置文件drwxr-xr-x 2 root root  4096 2016-08-04 12:42 minion.d-rw-r--r-- 1 root root    27 2016-08-04 12:42 minion_id#minion端的IDdrwxr-xr-x 3 root root  4096 2016-08-04 12:42 pki#存放密钥的目录 [root@saltstack-node2 salt]# cat minion_id #主机的FQDN名，每个minion端都有saltstack-node2.example.com

1.1.4 master与minion端的认证

minion端必须经过master端的认证，才能被管理。※

~ saltstack-node2

[root@saltstack-node2 ~]# cd /etc/salt/[root@saltstack-node2 salt]# vim minionmaster: saltstack-node1.example.com#指定master端是谁，可写FQDN或IP地址，第16行 [root@saltstack-node2 salt]# /etc/init.d/salt-minion restart#重启服务，修改了这一步，还不够，还需要master端认证才行（即相互交换公钥） [root@saltstack-node2 salt]# cd pki/minion/[root@saltstack-node2 minion]# ll-r-------- 1 root root 1679 2016-08-04 13:26 minion.pem#minion的私钥-rw-r--r-- 1 root root  451 2016-08-04 13:26 minion.pub#minion的公钥#重启服务后，会自动生成一对密钥，认证时，公钥会发给master端，minion端也会接收master端的公钥

~ saltstack-node1

[root@saltstack-node1 ~]# cd /etc/salt/pki/master/[root@saltstack-node1 master]# ll-r-------- 1 root root 1675 2016-08-04 12:40 master.pem#master的私钥-rw-r--r-- 1 root root  451 2016-08-04 12:40 master.pub#master的公钥drwxr-xr-x 2 root root 4096 2016-08-04 13:39 minions#存放所有的minion端公钥drwxr-xr-x 2 root root 4096 2016-08-04 12:40 minions_autosigndrwxr-xr-x 2 root root 4096 2016-08-04 12:40 minions_denieddrwxr-xr-x 2 root root 4096 2016-08-04 13:39 minions_predrwxr-xr-x 2 root root 4096 2016-08-04 12:40 minions_rejected

~ saltstack-node1master端认证mirror端，必须要接受mirror端，才能管理它

[root@saltstack-node1 ~]# cd /etc/salt/pki/master/[root@saltstack-node1 master]# salt-key #可以看到，只有一个minion端，但还未接受Accepted Keys:Denied Keys:Unaccepted Keys:saltstack-node2.example.comRejected Keys: [root@saltstack-node1 master]# salt-key -a saltstack-node2.example.com# -a添加特定的minion端The following keys are going to be accepted:Unaccepted Keys:saltstack-node2.example.comProceed? [n/Y] Y#输入Y同意Key for minion saltstack-node2.example.com accepted. [root@saltstack-node1 master]# salt-key #再查看，接受minion端了Accepted Keys:saltstack-node2.example.comDenied Keys:Unaccepted Keys:Rejected Keys:

1.1.5 认证完成后检查（不重要）

认证的过程，即相互交换公钥的过程。

 

~ 查看minion端公钥的内容

[root@saltstack-node1 ~]# cd /etc/salt/pki/master/[root@saltstack-node1 master]# cat minions/saltstack-node2.example.com -----BEGIN PUBLIC KEY-----MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA062YmAq9L3OXZytSoscoOOFLBTjhbpJTInwLmNQCU+8+o6ataFaKavNnbOlVmm/3TuZ/So5EGWekaxgtAnFQuRbv2k+l358uPHQ3X5mf2Hr2d1lI1hMEmBDz+X/zf7TD4KQ/0k3UdMe0DktniBYQJ7L4F4Jw4xqDe0fsv6Z3QrzOQeadvD8ItGtE/oDJ1g5158Fw4yaLU0ixNfMBak8RdA1Cw9hxAy4OYXMr+7meld0lEI2WinnLy3bw2fGiw50MFnw8YVFlOWTJ30mqy5kOGaJ/70RxyQ3adPeSeNNYiqEwhw7YtJGygcQsfzhYL9aLDX7HTXuwxpM0g3Jmn18VjQIDAQAB-----END PUBLIC KEY-----#可以发现，它们的内容是一样的[root@saltstack-node2 ~]# cd /etc/salt/pki/minion/ [root@saltstack-node2 minion]# cat minion.pub -----BEGIN PUBLIC KEY-----MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA062YmAq9L3OXZytSoscoOOFLBTjhbpJTInwLmNQCU+8+o6ataFaKavNnbOlVmm/3TuZ/So5EGWekaxgtAnFQuRbv2k+l358uPHQ3X5mf2Hr2d1lI1hMEmBDz+X/zf7TD4KQ/0k3UdMe0DktniBYQJ7L4F4Jw4xqDe0fsv6Z3QrzOQeadvD8ItGtE/oDJ1g5158Fw4yaLU0ixNfMBak8RdA1Cw9hxAy4OYXMr+7meld0lEI2WinnLy3bw2fGiw50MFnw8YVFlOWTJ30mqy5kOGaJ/70RxyQ3adPeSeNNYiqEwhw7YtJGygcQsfzhYL9aLDX7HTXuwxpM0g3Jmn18VjQIDAQAB-----END PUBLIC KEY-----

 

~ 查看master端公钥的内容

[root@saltstack-node2 ~]# cd /etc/salt/pki/minion/[root@saltstack-node2 minion]# cat minion_master.pub #注意名字的变化-----BEGIN PUBLIC KEY-----MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxQv0en2AJhWq/1dh67Kz3zuH1G307x0vyJqCg3v7CaNwbKgot4+Aiq+gYBYFQ3uDvoJSYF0bfE5l0ht+s7s8p2p7nrrWDQfyd9ph5HL4xtXQIltPhdONRsNZbahmB4C4KkHQ5MUSdG1zXaqVBHWk1nlwtwUd/3A2iOiMtNOx2mhuSTPb1DlPfKcl2uNDbEBc4YLMcofh7HDW5Z7MNMMzijuOkilaMQcVDCY2PEI+iwrFzPaV5H6YuztFGiF/pHpsIlVFDN4C+QPInQs6ACQqCsHGoUHHePCAqVPtA0F2DsW6iFvNvksFjclzJniVjEpmENwapnB8YogHBZrxYWim5wIDAQAB-----END PUBLIC KEY-----#可以发现，它们的内容是一样的[root@saltstack-node1 ~]# cd /etc/salt/pki/master/[root@saltstack-node1 master]# cat master.pub -----BEGIN PUBLIC KEY-----MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxQv0en2AJhWq/1dh67Kz3zuH1G307x0vyJqCg3v7CaNwbKgot4+Aiq+gYBYFQ3uDvoJSYF0bfE5l0ht+s7s8p2p7nrrWDQfyd9ph5HL4xtXQIltPhdONRsNZbahmB4C4KkHQ5MUSdG1zXaqVBHWk1nlwtwUd/3A2iOiMtNOx2mhuSTPb1DlPfKcl2uNDbEBc4YLMcofh7HDW5Z7MNMMzijuOkilaMQcVDCY2PEI+iwrFzPaV5H6YuztFGiF/pHpsIlVFDN4C+QPInQs6ACQqCsHGoUHHePCAqVPtA0F2DsW6iFvNvksFjclzJniVjEpmENwapnB8YogHBZrxYWim5wIDAQAB-----END PUBLIC KEY-----

 

同理，我们还可以再把node1的minion端加进来，即自己（master）给自己（minion）认证也是可以的。这样我们就有两个minion端和一个master端。※

结果如下：

[root@saltstack-node1 ~]# salt-key #有两个minion端Accepted Keys:saltstack-node1.example.comsaltstack-node2.example.comDenied Keys:Unaccepted Keys:Rejected Keys:

 

1.1.6 salt-key命令的用法

[root@saltstack-node1 ~]# salt-key --help#查命令的帮助-a ACCEPT, --accept=ACCEPT#接受指定的minion端-A, --accept-all    Accept all pending keys#接受所有的minion端-r REJECT, --reject=REJECT#拒绝指定的minion端-R, --reject-all    Reject all pending keys#拒绝所有的minion端-d DELETE, --delete=DELETE#删除指定的minion端-D, --delete-all    Delete all keys#删除所有的minion端-L, --list-all      List all public keys.#列出所有的minion端（salt-key）-P, --print-all     Print all public keys#打印所有的公钥

 

1.2 远程执行

1.2.1 test.ping

[root@saltstack-node1 ~]# salt '*' test.ping返回true，代表master能管理minionsalt是一个固定的关键字*代表要执行命令的目标，*代表匹配所有test是一个模块.ping代表引用test模块里的一个方法官方解释：salt.modules.test.ping()Used to make sure the minion is up and responding. Not an ICMP ping.

 

1.2.2 cmd.run

1.2.2.1 例1：查看磁盘分区

[root@saltstack-node1 ~]# salt '*' cmd.run 'df -h'#在所有的minion端执行命令cmd是一个模块.run代表引用cmd模块里的一个方法'df -h'代表Linux里的shell命令，命令要用单引号引起来Execute the passed command（被传递的命令） and return the output as a string执行一个被传递过去的命令，并以字符串的形式返回输出cmd.run，这个模块的功能非常强大，可以执行所有的linux命令，在生产环境中，慎用！

 

1.2.2.2 例2：查看IP

[root@saltstack-node1 ~]# salt '*' cmd.run 'ifconfig eth0|grep "inet addr:"'#查看所有minion端的ip

 

1.2.2.3 例3：查看指定的minion

[root@saltstack-node1 ~]# salt 'saltstack-node1.example.com' cmd.run 'uptime'#指定固定的管理目标（minion），这里写的是minion_id

1.3 配置管理

1.3.1 指定file_roots

[root@saltstack-node1 ~]# cd /etc/salt/[root@saltstack-node1 salt]# vim master#指定base的文件根路径#直接搜索【file_root】，把注释行去掉，注意写法，多少个空格是固定好的！#两个空格为一个级别file_roots:  base:    - /srv/salt[root@saltstack-node1 salt]# /etc/init.d/salt-master restart#修改后要重启

1.3.2 编写top.sls

[root@saltstack-node1 salt]# mkdir -p /srv/salt/#创建base的文件根路径[root@saltstack-node1 salt]# cd /srv/salt/[root@saltstack-node1 salt]# vim top.sls #指定状态描述文件【apache】base:  '*':#对所有的minion端生效    - apache#文件名，可以不写后缀sls

1.3.3 创建状态描述文件

[root@saltstack-node1 salt]# vim apache.sls #状态描述文件【apache】的内容apache-service:#ID名称  pkg.installed:#分别是模块.方法    - names:#指定包名，下面指定两个，注意有s      - httpd#安装httpd包      - httpd-devel#安装httpd-devel包

 

1.3.4 远程执行

[root@saltstack-node1 salt]# salt '*' state.highstate#远程安装httpd包

saltstack-node1.example.com:

----------

          ID: apache-service#ID名称

    Function: pkg.installed#功能：模块.方法

        Name: httpd#第1个软件包

      Result: True#安装成功

     Comment: Package httpd is already installed.

     Started: 17:37:28.053740

    Duration: 559.351 ms

     Changes:   

----------

          ID: apache-service#ID名称

    Function: pkg.installed#功能：模块.方法

        Name: httpd-devel#第2个软件包

      Result: True#安装成功

     Comment: Package httpd-devel is already installed.

     Started: 17:37:28.613244

    Duration: 0.504 ms

     Changes:   

 

Summary

------------

Succeeded: 2#成功，两个

Failed:    0#失败，无

------------

Total states run:     2

saltstack-node2.example.com:

----------

          ID: apache-service

    Function: pkg.installed

        Name: httpd

      Result: True

     Comment: Package httpd is already installed.

     Started: 17:37:38.054029

    Duration: 551.308 ms

     Changes:   

----------

          ID: apache-service

    Function: pkg.installed

        Name: httpd-devel

      Result: True

     Comment: Package httpd-devel is already installed.

     Started: 17:37:38.605549

    Duration: 0.42 ms

     Changes:   

 

Summary

------------

Succeeded: 2

Failed:    0

------------

Total states run:     2

1.3.4.1 检查

[root@saltstack-node1 salt]# rpm -qa httpd*#检查是否成功安装httpd-2.2.15-54.el6.centos.x86_64httpd-devel-2.2.15-54.el6.centos.x86_64httpd-tools-2.2.15-54.el6.centos.x86_64 [root@saltstack-node2 ~]# rpm -qa httpd*#检查是否成功安装httpd-devel-2.2.15-54.el6.centos.x86_64httpd-tools-2.2.15-54.el6.centos.x86_64httpd-2.2.15-54.el6.centos.x86_64

1.3.5 修改状态描述文件

安装好软件包后，我们可以监控软件的运行状态，强制指定软件必须运行。

[root@saltstack-node1 salt]# cd /srv/salt/[root@saltstack-node1 salt]# cat apache.sls#修改apache-service:  pkg.installed:    - names:      - httpd      - httpd-devel  service.running:    - name: httpd    - enable: True [root@saltstack-node1 salt]# salt '*' state.highstate#远程执行#只看关键部分saltstack-node2.example.com:----------          ID: apache-service    Function: service.running        Name: httpd      Result: True     Comment: Service httpd has been enabled, and is running     Started: 17:53:42.105291    Duration: 171.491 ms     Changes:                 ----------              httpd:                  True

[root@saltstack-node1 salt]# netstat -tunlp|grep 80tcp        0      0 :::80       :::*                LISTEN      32449/httpd  #所有的minion端全部启动apache[root@saltstack-node2 ~]# netstat -tunlp |grep 80tcp        0      0 :::80       :::*                LISTEN      3661/httpd