saltstack学习之一：服务架构以及相关配置安装运行

概要

    saltstack是基于Python开发的C/S架构的一款批量管理工具，底层采用动态的连接总线（ZeroMQ消息队列pub/sub方式通信），使用ssl证书签发的方式进行认证管理，使其可以用于编配, 远程执行, 配置管理等等。

部署轻松，在几分钟内可运行起来，扩展性好，很容易管理上万台服务器，速度够快，服务器之间秒级通讯。号称世界上最快的消息队列ZeroMQ使得saltstack非常快速的管理大量服务器，采用RSA Key方式确认身份，传输采用AES加密，安全性也非常有保障。

服务架构

saltstack是基于C/S服务模式，在该架构中，服务器端Master，客户端Minion。在saltstack架构中，不仅有传统的C/S服务模式，而且有消息队列中的发布与订阅（pub/sub）服务模式。目前我们一般用其C/S架构做批量管理。

minion与master通信模式如下图：

 

Master与Minion的连接

在master和minion端都是以守护进程的模式运行。SaltStack master启动后默认监听4505和4506两个端口。4505（publish_port）为saltstack的消息发布系统，4506（ret_port）为saltstack客户端与服务端通信的端口。如果使用lsof 查看4505端口，会发现所有的minion在4505端口持续保持在ESTABLISHED状态。整个通信过程可以用debug查看。

master：

    salt-master –l debug

    ss –a | grep '4505|4506'

minion：

    salt-minion –l debug

 

 

安装

首先安装epel源，

RHEL/CentOS 6:

rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm

 

RHEL/CentOS 7:

rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

 

Master端安装：

yum -y install salt-master

Minon端安装：

yum -y install salt-minion

saltstack配置文件

下面给出master和minion所以配置文件的分类解释以及在我们实验环境下所需要设置的配置参数。

master配置文件

 

在大规模使用saltstack的时候会经常遇到的问题参数

max_open_files：可根据master和minion数量进行适当调整

timeout：根据master和minion网络状况适当调整

auto_accpet和autosign_file：大规模部署的时候可以设置自动签证

master_tops和所有以external开头的参数：saltstack与外部系统进行整合的相关配置参数

 

主要配置

 

安全配置

 

salt-ssh配置

state系统配置

文件服务配置

pillar系统配置

syndic架构配置

日志配置

 

 

minion配置文件

 

主要配置

模块管理配置

state系统配置

文件目录配置

安全配置

日志配置

 

长连接配置

 

 

在我们实验环境下我们使用如下的配置：

 

master:

 

minion:

saltstack的证书管理

要理解证书管理首先要了解master与minion认证的原理：

Master与Minion认证

1. minion在第一次启动时，会在/etc/salt/pki/minion/（该路径在/etc/salt/minion里面设置）下自动生成minion.pem（private key）和 minion.pub（public key），然后将 minion.pub发送给master。
2. master在接收到minion的public key后，通过salt-key命令accept minion public key，这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key，然后master就能对minion发送指令了。

 

那么一些证书管理的指令可通过salt-key -h查看，下面为常见命令：

小写字母针对的单一对象，大写都是针对全体。

salt-key -L        #查询所有接收到的证书

salt-key -a <证书名>   #接收单个证书

salt-key -A        #接受所有证书

salt-key -d <证书名>   #删除单个证书

salt-key -D       #删除所有证书

salt-key -P                #打印所有的public key

salt-key -p PRINT            #打印指定的public key

salt-key -r REJECT        #拒绝指等待认证的key

salt-key -R                 #拒绝所有等待认证的key

salt-key -f FINGER        #显示指定key的指纹信息

salt-key -F                #显示所有key的指纹信息

 

日常命令参数：

master：

/usr/bin/salt            #salt核心操作命令

/usr/bin/salt-cp        #salt文件传输命令

/usr/bin/salt-key        #salt证书管理命令

/usr/bin/salt-master    #salt master服务命令

/usr/bin/salt-run        #salt master runner命令

/usr/bin/salt-unity     #salt统一的调用包装器，围绕其他的Salt CLI脚本

minion：

/usr/bin/salt-call        #拉取命令

/usr/bin/salt-minion        #服务命令