saltstack master minion安装配置简单使用

首先先了解下saltstack是什么，为什么使用它

它与Ansible、Puppet都属于集中管理工具，由于现在企业规模的不断庞大及业务的增长，所需要管理的服务器数量增多，而且大部分机器都属于同类业务集群，操作是统一的，甚至于所有机器都有一些相同的初始项，连上所有机器进行完全相同的操作固然是可以的，但是浪费了大量的时间及精力，感觉太蠢。集中管理工具的出现就是将同类机器的统一操作统一执行，一次解决，得到返回结果然后确定任务是否成功，如果出现个别情况可以再去对应目标上排错，节约了大量时间，提升工作效率。因此集中管理的前提是规范化！

以前是使用Puppet的比较多，但是Puppet的安装配置以及使用真的是特么太坑了，so，随着时间的推移，Saltstack、Ansible的大规模使用时代就到来了。Ansible也是一款优秀的集中管理工具，主要基于ssh协议进行相关操作，他的特点是不需要客户端即可立刻使用（其实我萌的Saltstack也是可以哒），大家选择自己喜欢的就可以了

 

安装与简单使用

 1 [root@linux-node1 ~]# cat /etc/yum.repos.d/saltstack.repo 
 2 [saltstack-repo] 3 name=SaltStack repo for RHEL/CentOS $releasever 4 baseurl=https://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest 5 enabled=1 6 gpgcheck=0 7 [root@linux-node1 ~]# yum install -y salt-master salt-minion 8 [root@linux-node1 ~]# systemctl start salt-master 9 [root@linux-node1 ~]# vim /etc/salt/minion 10 master: 11 - 192.168.56.11 # 前面2个空格，“-”后一个空格！ 12 [root@linux-node1 ~]# systemctl start salt-minion 13 [root@linux-node1 ~]# salt-key –L # 列出key状态 14 Accepted Keys: 15 Denied Keys: 16 Unaccepted Keys: 17 linux-node1.example.com # 会出现主机hostname 18 Rejected Keys: 19 [root@linux-node1 ~]# salt-key –A # 代表接受所有Unaccepted Keys 20 [root@linux-node1 ~]# salt-key -L 21 Accepted Keys: 22 linux-node1.example.com 23 Denied Keys: 24 Unaccepted Keys: 25 Rejected Keys: 26 [root@linux-node1 ~]# salt '*' test.ping 27 linux-node1.example.com: 28 True

同样的minion相关操作我们也在node2上执行一边

 1 [root@linux-node1 ~]# cat /etc/yum.repos.d/saltstack.repo 
 2 [saltstack-repo] 3 name=SaltStack repo for RHEL/CentOS $releasever 4 baseurl=https://repo.saltstack.com/yum/redhat/$releasever/$basearch/latest 5 enabled=1 6 gpgcheck=0 7 [root@linux-node1 ~]# yum install -y salt-minion 8 [root@linux-node1 ~]# systemctl start salt- minion 9 [root@linux-node1 ~]# vim /etc/salt/minion 10 master: 11 - 192.168.56.11 # 前面2个空格，“-”后一个空格！ 12 [root@linux-node1 ~]# systemctl start salt-minion

然后回到node1上

 1 [root@linux-node1 ~]# salt-key -L
 2 Accepted Keys: 3 linux-node1.example.com 4 Denied Keys: 5 Unaccepted Keys: 6 linux-node2.example.com 7 Rejected Keys: 8 [root@linux-node1 ~]# salt-key –a linux-node2.example.com # 代表单独接受某个key 9 [root@linux-node1 ~]# salt-key –L 10 [root@linux-node1 ~]# salt-key -L 11 Accepted Keys: 12 linux-node1.example.com 13 linux-node2.example.com 14 Denied Keys: 15 Unaccepted Keys: 16 Rejected Keys: 17 [root@linux-node1 ~]# salt '*' test.ping 18 linux-node2.example.com: 19  True 20 linux-node1.example.com: 21 True

在初使用salt的时候，我们要是记住的最重要的命令就是cmd.run，cmd.run很重要，它就是专门来执行bash命令的，也就是让你所希望的机器都执行同一条命令，这对于同类机器的操作节约了大量时间，单单会使用cmd.run就可以使日常重复性工作减少很多了

1 [root@linux-node1 ~]# salt '*' cmd.run 'ls -l /root'
2 linux-node2.example.com:
3     total 0
4 linux-node1.example.com: 5 total 0 6 drwxr-xr-x 5 root root 79 Nov 13 16:35 tidb-latest-linux-amd64

这里有一些常见的问题

1.master与minion是如何通信的？minion上木有开神马端口呀

Saltstack默认使用zeromq传递消息，zeromq会随着Salt的安装而安装，他是一个消息队列服务，master通过4505端口将指令放入zeromq的队列中，而所有的minion都会监听master的4505端口，然后从队列中拿消息进行对比决定是否进行操作，如果操作将自己操作的结果丢回zeromq另外一个队列，master从4506端口监听该队列，得到返回结果，然后展示出来

 1 [root@linux-node1 ~]# netstat -tpln
 2 Active Internet connections (only servers) 3 Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 4 tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1/systemd 5 tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 998/sshd 6 tcp 0 0 0.0.0.0:4505 0.0.0.0:* LISTEN 1055/python # 发送指令 7 tcp 0 0 0.0.0.0:4506 0.0.0.0:* LISTEN 1073/python # 接受结果 8 tcp6 0 0 :::111 :::* LISTEN 1/systemd 9 tcp6 0 0 :::22 :::* LISTEN 998/sshd 10 [root@linux-node2 tmp]# netstat -an|grep 4505 11 tcp 0 0 192.168.56.12:48492 192.168.56.11:4505 ESTABLISHED # 与master的4505一直处于ESTABLISHED状态

2.我的key认证不想用主机名，我想自定义名称

我们只需要在配置minion时再配置id就可以了，但是建议还是使用主机名，因为不是所有软件都可以自定义别名，我们要做的是全流程自动化，而不单单是salt这方面，而主机名是大家都可以通用的

1 [root@linux-node1 ~]# vim /etc/salt/minion
2 #id:                                # 修改成id: XXXXX

3.我更改了主机名没什么反映啊，怎么破？

这就要说salt之间的认证流程了

启动master，生成自己的密钥与公钥，叫master.pem ，master.pub

1 [root@linux-node1 master]# pwd
2 /etc/salt/pki/master
3 [root@linux-node1 master]# ls
4 master.pem  master.pub  minions  minions_autosign  minions_denied  minions_pre  minions_rejected

minion配置文件内指定Master，开启服务，生成自己的密钥与公钥，叫minion.pem ，minion.pub

1 [root@linux-node2 minion]# pwd
2 /etc/salt/pki/minion
3 [root@linux-node2 minion]# ls
4 minion.pem  minion.pub

minion会想配置的目标发将自己的公钥存放在master的/etc/salt/pki/master/minions_pre下，请问你是我的master嘛

master一看，我靠，女装大佬，可爱，想，就表示，对对对我就是你的master，然后接受密钥，并把自己的公钥发给minion从而正式签订契约，此时minions_pre下的minion公钥转放到/etc/salt/pki/master/minions下，而master的公钥也会在minion的/etc/salt/pki/minion下保留一份

1 [root@linux-node2 minion]# ls
2 minion_master.pub  minion.pem  minion.pub

所以我们根据上述流程，当minion的id变更后，我们需要进行如下操作

1 minion端停止salt-minion
2 master端salt-key –d 原本minion的id 3 minion端删除/etc/salt/pki/minion下所有文件 4 minion端修改配置文件中的id变成需要的新id 5 重启minion端的salt-minion 6 master端认证接受新的id

 4.补充两个对同一台机器同时执行state文件的方式

concurrent=True，表示完全同时进行，一般用于状态文件之间的执行绝对不会发生冲突的情况，比如执行内核初始化状态文件跟安装java环境状态文件

queue=True，表示按队列内先进先出顺序进行，一般用于不清楚是否有冲突，比如执行修改同一文件的不同行的状态文件，第一个执行完会自己执行第二个，不会报错

[root@linux-node1 ~]# salt '*1*' state.sls dnsmasq.dnsmasq-comment saltenv=prod pillar='{"project_url": "static.duia.com"}' concurrent=True
[root@linux-node1 ~]# salt '*1*' state.sls dnsmasq.dnsmasq-comment saltenv=prod pillar='{"project_url": "static.duia.com"}' queue=True