SaltStack部署应用
一:SaltStack 基础
在生产环境中,服务器往往不只是一台,有可能是成千上万台。对于运维人员来说,如果单独的对每台服务器进行管理,工作难度比较大。这时部署自动化运维就可以尽可能安全、高效的完成这些工作。
一般,会把自动化运维工具划分为两类:一类是需要使用代理工具的,也就是基于专用的 Agent 程序来完成管理功能,如:SaltStack、Puppet、Func、Zabbix 等;另外一类是不需要配置代理工具的,可以直接基于 SSH 服务来完成管理功能,如:Ansible、Fabric 等。本章将主要介绍自动化运维工具 SaltStack 是如何实现自动化运维部署的。下面是几款功能类似的自动化运维工具。
- SaltStack:是一个服务器基础设施管理工具,它具有配置管理、远程执行、监控等功能。SaltStack 由 Python 语言编写,是非常简单易用和轻量级的管理工具。
- Ansible:是基于 Python 开发的,集合了众多优秀运维工具的优点,实现了批量运行命令、部署程序、配置系统等功能的自动化运维管理工具。默认通过 SSH 协议进行远程命令执行或下发配置,无需部署任何客户端代理软件,从而使得自动化环境部署变得更加简单。可同时支持多台主机并行管理,使得管理主机更加便捷。
- Puppet:是基于 Ruby 开发的,支持 Linux、Unix、Windows 平台的自动化运维管理工具,可以针对用户、系统服务、配置文件、软件包等进行管理,有很强的扩展性,但远程执行命令相对较弱。
针对这几款自动化运维工具比较如下表所示: (因原文后续表格未展示,无法提取 ,若有完整内容可补充后进一步提取 )
| 工具 | 开发语言 | 结构 | 配置文件格式 | 运行任务 |
|---|---|---|---|---|
| Ansible | Python | 无 | YAML | 支持命令行 |
| SaltStack | Python | C/S | YAML | 支持命令行 |
| Puppet | Ruby | C/S | Ruby 语法格式 | 通过模块实现 |
通过部署 SaltStack 环境,可以在成千上万台服务器上批量执行命令,对于不同的业务进行集中管理、分发文件、采集数据、软件包管理等。有利于运维人员提高工作效率、规范 业务配置和操作。
二:SaltStack 原理
SaltStack 由 Master 和 Minion 构成,Master 是服务器端,表示一台服务器,Minion 是客户服务器端,表示多台服务器。
在 Master 上发送命令给符合条件的 Minion,Minion 就会执行相应的命令。Master 和 Minion 之间是通过 ZeroMQ(消息队列)进行通信。
SaltStack 的 Master 端监听 4505 与 4506 端口,4505 为 SaltStack 的消息发布端口,4506 为 SaltStack 客户端与服务端通信的端口。SaltStack 客户端程序并不监听端口,当客户端启动后,会主动连接 Master 端注册,然后一直保持该 TCP 连接,而 Master 通过这条 TCP 连接对客户端进行控制。如果连接断开,Master 对客户端将不能进行控制。但是,当客户端检查到连接断开后,会定期的向 Master 端请求注册连接。
三:SaltStack 部署
1:资源清单
| 操作系统 | 配置 | 主机名 | IP | 角色 |
|---|---|---|---|---|
| openEuler 24.03 | 2C4G | master | 192.168.207.137 | 控制节点 |
| openEuler 24.03 | 2C4G | web01 | 192.168.207.138 | 被控节点 |
| openEuler 24.03 | 2C4G | web02 | 192.168.207.139 | 被控节点 |
2:基础环境
(1)关闭防火墙
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld
(2)关闭 Selinux
[root@localhost ~]# setenforce 0
[root@localhost ~]# sed -i 's/^SELINUX=.*/SELINUX=disabled/' /etc/selinux/config
(3)时间同步
[root@localhost ~]# timedatectl set-timezone Asia/Shanghai
[root@localhost ~]# chronyc sources -v
(4)修改主机名
[root@localhost ~]# hostnamectl set-hostname master
[root@localhost ~]# hostnamectl set-hostname web01
[root@localhost ~]# hostnamectl set-hostname web023:安装 Master
将所需 rpm 包拷贝到服务器
[root@master ~]# rpm -ivh salt-3006.4-0.x86_64.rpm
[root@master ~]# rpm -ivh salt-master-3006.4-0.x86_64.rpm备注
以下软件包为扩展 saltstack 的可选组件。
salt-ssh:主要作用是不需要安装 minion,只要 ssh 协议开放,即可远程执行命令,可用作拿到一批新机器,批量配置时使用,也可以直接通过 salt-ssh 不安装 minion 进行管理。
salt-syndic:通过 Syndic,可以建立多层级的 Salt 拓扑,Syndic 下的 Minions 即可通过 Syndic 所在的 Master 进行管理,也可以通过 MasterOfMaster 及更高层级的 Master 进行管理,架构变得异常灵活。
salt-cloud:Salt Cloud 目前已经提供了对腾讯云平台的管理支持,一些常见的云平台管理功能、管理操作已经都可以做到通过 Salt Cloud 集成到自有的技术平台上做统一的资源管理了。
salt-api:salt-api 是我们通过 restful-api 调用 salt-master 的接口,且调用的时候必须通过认证才能调用,认证的用户为系统用户
4:安装 Minion
将所需 rpm 包拷贝到服务器
[root@master ~]# rpm -ivh salt-3006.4-0.x86_64.rpm
[root@master ~]# rpm -ivh salt-minion-3006.4-0.x86_64.rpm5:配置 Master
修改 Master 的配置文件
[root@master ~]# vi /etc/salt/master
interface: 192.168.207.137
auto_accept: Truefile_roots:base:- /srv/saltnodegroups:group1: 'web01'group2: 'web02'pillar_opts: True
pillar_roots:base:- /srv/pillar备注:
file_roots:
base:
- /srv/sale
# 开启 saltstack 文件根目录位置,注意这个目录默认没有创建,需要自己手动创建。
pillar_opts: True
# 开启 pillar 功能,同步文件功能
pillar_roots:
base:
- /srv/pillar
#pillar 的主目录,需要自己创建
注意:
在设置主机组的时候可以同时写多个主机。
group1: 'web01' 组中有多个成员就用逗号隔开 -->group1: 'web01,web03'
修改后可以启动 Master,具体操作如下所示。
[root@master ~]# mkdir /srv/salt
[root@master ~]# mkdir /srv/pillar[root@master ~]# systemctl start salt-master
[root@master ~]# systemctl enable salt-master二、配置 Minion
(1)配置说明
6:配置 Minion
修改 Minion 的配置文件,具体操作如下所示。
(2)配置命令及内容
[root@minion ~]# vi /etc/salt/minion
master: 192.168.207.137
id: web01(3)注意事项
注意:
如果修改了 minion 端的 id,minion 会重新注册,向 master 发送新的 key,老的注册信息就失效了,但此时 master 仍然会连接老的 minion,于是就会报错。
解决方法:可以删除掉老的 minion 注册信息,目录 /etc/salt/pki/master/minions,默认会使用 minion 端的 ip 地址作为 key 名称。将以前注册的 ID 删掉,即可。
三、启动 Minion 相关操作
7:修改后可以启动 Minion
[root@minion ~]# systemctl start salt-minion
[root@minion ~]# systemctl enable salt-minion当 Minion 启动后,会自动生成公钥私钥,并将公钥发送到 Master 端。Minion 不监听端口,全靠和 Master 保持长连接,可通过 netstat -an | grep ES 命令查看是否连接成功。至此 SaltStack 安装完成。
8:master 端查看 minion 秘钥
在 minion 启动后,会连接 master,并且会请求 master 为其签发证书,待证书签发完成后,代表 master 可以信任该 minion,并且 minion 和 master 端的通信是经过加密的。我们可以通过 salt-key 命令管理 minion 秘钥。
(1)master 端查看接受的 minion 端
[root@master ~]# salt-key -L
Accepted Keys:
web01
web02
Denied Keys:
Unaccepted Keys:
Rejected Keys:
(2)获取 minion 端指纹码
[root@master ~]# salt-key -f web01
Accepted Keys:
web01:
6f:8b:5c:A6:a4:ff:ce:96:62:04:dd:30:1a:10:32:23:22:51:ed:d4:8b:fd:7b:88:b3:78:d0:0a:82:85:6a:2f
(3)前往 minion 端验证此指纹码
[root@web01 ~]# salt-call --local key.finger
local:
6f:8b:5c:a6:a4:ff:ce:96:62:04:dd:30:1a:10:32:23:22:51:ed:d4:8b:fd:7b:88:b3:78:d0:0a:82:85:6a:2f
四:SaltStack 基本命令使用
1:salt 命令格式
(1)使用帮助
[root@master ~]# salt --help
通过帮助信息我们可以发现,salt 远程执行命令由五个部分组成:
- salt 命令本身
- 命令行选项
- 目标定位字符串
- salt 模块、函数
- 远程执行函数的参数
(2)下列命令展示了一个完成的 salt 命令格式:
[root@master ~]# salt --summary "*" cmd.run 'uptime'
web02:18:54:48 up 57 min, 4 users, load average: 0.00, 0.01, 0.05
web01:18:54:48 up 56 min, 4 users, load average: 0.00, 0.01, 0.05------------------------------------------
Summary
------------------------------
# of minions targeted: 2
# of minions returned: 2
# of minions that did not return: 0
# of minions with errors: 0
------------------------------
备注
--summary:显示命令的摘要信息- 其他常用选项:
-v或--verbose:显示命令的详细描述信息--out:可控制 salt 执行后的输出结果格式,例如--out=json|raw|nested|quiet等
2:在 Master 端测试 Minion
(1)测试模块 --test
在 saltstack 中,有很多模块为运维人员提供了各种功能,其中用于环境测试的有个 test 模块,该模块提供了一系列专用的测试函数,利用这些测试函数,我们可以快速地对运维环境进行各项测试任务。
[root@master ~]# salt '*' test.ping
在上述命令中,test 指的是模块名,ping 是该模块中的一个命令(函数 )。这是一个很简单的探测主机是否存活的命令。通过该命令,我们发送了一条消息给一个或多个 minion,并让它们运行 salt 内置的一个模块中的一个命令(函数 )。在这个指令中,minion 端返回 true,代表此主机是存活的。
也可以利用 test.echo 函数用来在 minion 执行 echo 指令,并把结果回显到 master 终端。
[root@master ~]# salt web01 test.echo 'hello,i am web01'
web01:hello,i am web01
test 模块实际上还包含许多其他有用的函数,如何知道这些函数,就需要 sys 模块的 list_functions 函数来实现了,sys.list_functions 用来查看指定模块所有的函数,其他函数的用法此处不在多做介绍,大家可以自行学习。
[root@master ~]# salt web01 sys.list_functions test
web01:test.arg
test.arg_clean
test.arg_repr
test.arg_type
test.assertion
test.attr_call
test.collatz
test.conf_test
test.cross_test
test.deprecation_warning
test.echo
test.exception
test.false
test.fib
test.get_opts
test.kwarg4:目标定位
在前面的例子中,对远程主机进行控制时,我们可以用主机的名字定位远程 minion 主机。但是在实际环境中,通常我们控制着成百上千的 minion 端主机,那么在不确定远程主机的准确名称的时候,或者要批量对多台主机进行控制时,又该如何灵活的定位所需的服务器呢?这里就可以使用全局匹配和正则匹配的方法。
(1)全局匹配
全局匹配指的是用通配符代表一批主机,在前面的命令中,我们已经使用过 * 。
在全局匹配中,除了 * 之外,还有 ? 和 [] 。
*:代表任意字符串,也可以是空字符串。?:代表一个字符,但不可以代表空。[]:字符集合,例如[a~z]代表任意一个小写字母。
全局匹配的几个例子如下:
[root@master ~]# salt '*' test.ping
web01:True
web02:True
[root@master ~]# salt 'web*' test.ping
web01:True
web02:True
[root@master ~]# salt 'web??' test.ping
web02:True
web01:True
[root@master ~]# salt '[a-z]eb??' test.ping
web02:True
web01:True(2)正则表达式匹配
如果需要执行更为复杂的匹配,我们可以使用正则表达式,salt 使用 Python 的 re 正则表达式模块,可以解析正则表达式(PCRE),正则表达式匹配需要配合命令行选项 -E 或 pcre。
常用的正则表达式的含义如下列各表所示。
元字符:
正则表达式中使用了很多元字符,用来表示一些特殊的含义或功能。
| 元字符表达式 | 含义 | |
|---|---|---|
. | 小数点可以匹配除了换行符 \n 以外的任意一个字符 | |
| ` | ` | 逻辑或操作符 |
[] | 匹配字符集中的一个字符,方括号中可以有多个普通字符 | |
[^] | 对字符集求反,也就是上面的反操作,尖号必须在方括号里的最前面 | |
- | 定义 [] 里的一个字符区间,例如 [a-z] | |
\ | 对紧跟其后的一个字符进行转义 | |
() | 对表达式进行分组,将圆括号内的内容当做一个整体,并获得匹配的值 |
转义字符:
如果一些特殊功能的字符、元字符,不希望它有特定功能,而就是希望使用这个字符的话,可以采用在前面加斜杠 “\” 进行转义的方法
| 转义字符 | 含义 |
|---|---|
| \r, \n | 匹配回车和换行符 |
| \t | 匹配制表符 |
| \ | 匹配斜杠 | |
| ^ | 匹配 ^ 符号 |
| $ | 匹配 $ 符号 |
| . | 匹配小数点. |
| \r, \n | 匹配回车和换行符 |
正则表达式中的一些表示方法,可以同时匹配某个预定义字符集中的任意一个字符。
| 转义字符 | 含义 |
|---|---|
| \d | 任意一个数字,0~9 中的任意一个 |
| \w | 任意一个字母或数字或下划线,也就是 A~Z,a~z,0~9,_ 中的任意一个 |
| \s | 空格、制表符、换页符等空白字符的其中任意一个 |
| \D | \d 的反集,也就是非数字的任意一个字符,等同于 [^\d] |
| \W | \w 的反集,也就是 [^\w] |
| \S | \s 的反集,也就是 [^\s] |
| \d | 任意一个数字,0~9 中的任意一个 |
下面通过几个示例展示一下 salt 正则表达式匹配方式。
完全匹配
[root@master ~]# salt -E "web01" test.ping
web01:True
全局匹配
[root@master ~]# salt -E ".*" test.ping
web01:True
web02:True
以特定字符开头或结尾的匹配
[root@master ~]# salt -E "web.*" test.ping
web01:True
web02:True
(3)列表匹配
有时候,我们只想匹配一个指定列表里面的主机并进行远程操作,这时可能全局匹配和正则匹配的方式都无法很好的完成任务,这种情况我们可以直接使用 -L 选项进行列表匹配。
如果需要以组为单位控制整个主机组所有的主机,可以使用选项 -N 。
[root@master ~]# salt -N group1 test.ping
web01:True注意:
这里的 group1 是我们在 master 配置文件中指定的主机组的名称:
nodegroups:group1: 'web01'group2: 'web02'
5:salt-cp 批量拷贝文件
salt-cp 命令实现文件的拷贝。
[root@master ~]# salt-cp '*' /etc/hosts /opt
五:远程执行模块和函数
远程执行命令的最后一部分是我们需要运行的模块以及相关函数和对应的执行参数。模块可以认为是函数的逻辑分组,一系列的函数可以组合在一起构成一个模块。接下来列举一些常见的模块的基本用法,以体验 saltstack 的强大功能。
1:模块和函数的查询
(1)列出 minion 可用模块
模块为运维人员提供了很多功能,那么 minion 都可以使用哪些模块呢,我们可以使用 “sys.list_modules” 对模块进行查询。
[root@master ~]# salt "web01" sys.list_modules
web01:
- acl
- aliases
- alternatives
- archive
- artifactory
- bareadoc(2)列出某一模块的可用函数
不同的模块,他们的用法也各有区别,具体的用法体现在模块中的函数,那么某一个模块又有哪些函数构成,就可以使用 “sys.list_functions” 进行查询。
[root@master ~]# salt "web01" sys.list_functions cmd
web01:- cmd.exec_code- cmd.exec_code_all- cmd.has_exec- cmd.powershell- cmd.powershell_all- cmd.recode- cmd.run- cmd.run_all- cmd.run_bg- cmd.run_chroot- cmd.run_stderr- cmd.run_stdout- cmd.script- cmd.script_recode- cmd.shell- cmd.shell_info- cmd.shells- cmd.tty- cmd.which- cmd.which_bin(3)列出某一函数的具体用法
如此多的函数,到底大家怎么使用,我们就可以是 “sys.doc” 说明文档进行查看,以获取详细的帮助功能。
[root@master ~]# salt web01 sys.doc cmd.run
2:远程命令执行模块 -- cmd
(1)如需到多台主机上同时执行一条相同的命令:cmd.run
[root@master ~]# salt "*" cmd.run "ps aux | wc -l"
web01:119
web02:119
(2)显示更详细的执行信息的函数:cmd.run_all
[root@master ~]# salt "*" cmd.run_all "ps aux | wc -l"
pid:3661
retcode:0
stderr:
stdout:119
pid:3670
retcode:0
stderr:
stdout:119(4)查看所有主机的磁盘信息,并设置该命令执行的超时控制。
[root@master ~]# salt '*' cmd.run 'df -h' -t 5
(2)查看所有主机的磁盘信息,cmd.run 执行单个命令。
[root@master ~]# salt '*' cmd.run 'df -h'
(3)将本地脚本在远程主机上执行。
[root@master ~]# echo "cat /etc/passwd" >/srv/salt/test1.sh
[root@master ~]# salt '*' cmd.script salt://test1.sh
[root@master ~]# echo 'ls $1' > /srv/salt/test2.sh
[root@master ~]# salt '*' cmd.script salt://test2.sh /opt
3:软件包管理模块 --pkg
(1)安装一个软件包
[root@master ~]# salt "*" pkg.install "httpd"(2)查看已安装的软件包
[root@master ~]# salt "*" pkg.version "httpd"
web02:
2.4.6-95.el7.centos
web01:
2.4.6-95.el7.centos
(3)卸载已经安装的软件包
[root@master ~]# salt "*" pkg.remove "httpd"
4:服务管理模块 --service
服务管理也是系统管理员需要维护的一项重要任务,通过 salt 管理 minion 上的服务将会变得很简单。我们使用 service 模块,该模块包含了 service.start、service.status、service.stop 等。如果 service.status 远程执行模块函数输出 True 的结果,则表示该服务正在运行;如果输出的是 False,则表示该服务停止。启动或停止一个服务时,True 的结果意味着命令执行成功。
(1)启动一个服务
[root@master ~]# salt "*" pkg.install "httpd"
[root@master ~]# salt "*" service.start httpd
web01:
True
web02:
True(2)查看服务运行状态
[root@master ~]# salt "*" service.status httpd
web02:
2.4.6-95.el7.centos
web01:
2.4.6-95.el7.centos
(3)卸载已经安装的软件包
[root@master ~]# salt "*" pkg.remove "httpd"
4:服务管理模块 --service
服务管理也是系统管理员需要维护的一项重要任务,通过 salt 管理 minion 上的服务将会变得很简单。我们使用 service 模块,该模块包含了 service.start、service.status、service.stop 等。如果 service.status 远程执行模块函数输出 True 的结果,则表示该服务正在运行;如果输出的是 False,则表示该服务停止。启动或停止一个服务时,True 的结果意味着命令执行成功。
(1)启动一个服务
[root@master ~]# salt "*" pkg.install "httpd"
[root@master ~]# salt "*" service.start httpd
web01:
True
web02:
True
(2)查看服务运行状态
[root@master ~]# salt "*" service.status httpd
web02:True
web01:True(3)关闭一个服务
[root@master ~]# salt "*" service.stop httpd
web02:True
web01:True
(4)重启一个服务
[root@master ~]# salt "*" service.restart httpd
web01:True
web02:True
(5)重载服务
[root@master ~]# salt "*" service.reload httpd
web01:True
web02:True
5:文件管理模块 --file
对于文件管理,salt 提供了 file 模块。
关于 file 模块的使用方式,可以使用命令 salt web01 sys.list_functions file 进行查看。这里举几个例子。
(1)文件信息的查询
[root@master ~]# salt "web01" file.stats /etc/passwd
(2)创建文件
[root@master ~]# salt "*" file.touch /opt/test01.txt
web02:True
web01:True
(3)创建目录
[root@master ~]# salt "*" file.mkdir /opt/doc
web02:True
web01:True
(4)修改文件属主和属组
[root@master ~]# salt "*" file.chown /opt/test01.txt root root
web01:None
web02:None
(5)删除目录
[root@master ~]# salt "web01" file.rmdir /opt/doc
web01:True
或
[root@master ~]# salt "web02" file.remove /opt/test.txt
web02:True注意:
file.remove 既可以删除目录,也可删除文件,删除目录时为递归删除。
六:grains 的使用
Grains 是 SaltStack 的一个组件,其存放着 minion 启动时收集到的信息。用于查询 minion 端的 IP、FQDN 等信息。
Grains 是 SaltStack 组件中非常重要的组件之一,存放在 SaltStack 的 minion 端。grains 是由 minion 返回给 master 的数据,这些数据是 minion 端的,并且是以键值对的形式存储的。我们在做配置部署的过程中会经常使用它,Grains 是 SaltStack 记录 minion 的一些静态信息的组件。可简单理解为 Grains 记录着每台 minion 的一些常用属性,比如 CPU、内存、磁盘、网络信息等。我们可以通过 grains.items 查看某台 minion 的所有 Grains 信息。
当 salt-minion 启动时会把收集到的数据静态存放在 Grains 当中,只有当 minion 重启时才会进行数据的更新。由于 grains 是静态数据,因此不推荐经常去修改它。
应用场景:
- 信息查询,可用作 CMDB。
- 在 target 中使用,匹配 minion。
在 state 系统中使用,配置管理模块
(1)列出 minion 主机上的 grains 项
[root@master ~]# salt "web01" grains.ls
web01:- biosreleasedate- biosvendor- biosversion- boardname- cpu_flags(1)列出 minion 主机上的 grains 项及其对应的值
[root@master ~]# salt "web01" grains.items
(2)grains 基本用法
通过下面的命令可以查看被控机 web01 主机的 grains 值:
[root@master ~]# salt "web01" grains.item ipv4
[root@master ~]# salt "web01" grains.item nodename
[root@master ~]# salt "web01" grains.item os
[root@master ~]# salt "web01" grains.item num_cpus
(3)自定义 grains 键值
对于 minion 端没有的 grains 数据,用户也可以自定义 minion 端的 grains 键值,如下所示:
[root@master ~]# salt "web01" grains.set name zhangsan
[root@master ~]# salt "web01" grains.item name
web01:
--------
name:zhangsan
[root@master ~]# salt "web01" grains.set cpu_info '["intel","xeon","2"]'
[root@master ~]# salt "web01" grains.item cpu_info
web01:----------cpu_info:- intel- xeon- 2
也可以使用 grains.setval 的方法创建键值,与 grains.set 不同的是,grains.set 是定义任意值,grains.setval 定义的是 key 值,grains.setval 的用法如下所示:
[root@master ~]# salt "*" grains.setval name zhangsan
[root@master ~]# salt "web01" grains.item name
web01:----------name:zhangsan
也可以同时设置多个 key:value:
[root@master ~]# salt 'web01' grains.setvals '{"key1": "val1", "key2": "val2"}'
[root@master ~]# salt 'web01' grains.item key1
web01:----------key1:val1
可以为一个 key 是指若干个子 key:value:
[root@master ~]# salt 'web01' grains.setval key '{"sub-key1": "val1", "sub-key2":
[root@master ~]# salt 'web01' grains.setval key '{"sub-key1": "val1", "sub-key2": "val2"}'
web01:----------key:----------sub-key1:valsub-key2:val2
[root@master ~]# salt 'web01' grains.item key
web01:----------key:----------sub-key1:val1sub-key2:val2(4)在 minion 端创建 grains 信息
grains 数据也可以直接在 minion 端创建:
[root@web01 ~]# cd /etc/salt/
[root@web01 salt]# vi grains
id: admin
pass: pwd123
[root@master ~]# salt web01 grains.item id pass
web01:----------id:adminpass:pwd123
七:pillar 的使用
Pillar 在 salt 中是非常重要的组成部分,利用它可以完成很强大的功能,它可以指定一些信息到指定的 minion 上,不像 grains 一样是分发到所有 Minion 上的,它保存的数据可以是动态的,Pillar 以 sls 来写的,格式是键值对。与 grains 不同的是,pillar 的数据是存储在 master 端的。每个 minion 只能看到自己的 pillar 信息,grains 可以看做是主机的 metadata(元数据),例如 CPU 的数量;而 pillar 则是主机所需的数据(例如数据库的密码)。
总之,一个 minion 可以告诉 master 该 minion 的 grains 数据,而 minion 需要从 master 端索要 pillar 数据。
适用情景:
- 比较敏感的数据,比如密码,key 等
- 特殊数据到特定 Minion 上
- 动态的内容
- 其他数据类型
1:列出 minion 上的 pillar 详细信息
[root@master ~]# salt 'web01' pillar.items2:自定义 pillar 数据
(1)为每一个 minion 编写对应的 sls 文件
[root@master ~]# cd /srv/pillar/
[root@master pillar]# vi test1.sls
name: zhangsan
pass: pwd123
[root@master pillar]# vi test2.sls
name: lisi
pass:pwd123
[root@master pillar]# vi top.sls
base:'web01':- test1'web02':- test2说明:
sls 代表 SaltStack 文件,是一种 yaml 格式的描述文件,SLS 描述了系统的目标状态,由格式简单的数据构成,这经常被称作配置管理。top.sls 是配置管理的入口文件,一切都是从这里开始,在 master 主机上,默认存放在 /srv/salt/ 目录,如果是自定义 pillar 数据,需要放置在 /srv/pillar 目录下。
top.sls 默认从 base 标签开始解析执行,下一级是操作的目标,可以通过正则,grain 模块,或分组名,来进行匹配,再下一级是要执行的 state 文件,不包换扩展名。
(2)更新 pillar 数据
[root@master pillar]# salt '*' saltutil.refresh_pillar
(3)列出所有的 pillar
[root@master pillar]# salt "*" pillar.ls
web01:- name- pass- master
web02:- name- pass- master(4)查看自定义 pillar 对应的信息
[root@master pillar]# salt "*" pillar.item name
web01:----------name:zhangsan
web02:----------name:lisi
[root@master pillar]# salt "*" pillar.item pass
web02:----------pass:pwd123
web01:----------pass:pwd123八:saltstack 目录与文件同步
在进行自动化运维过程中,我们经常会将某一个文件或整个目录中所有的文件同步到远程主机,这个需求我们可以通过各种方式实现,比如 rsync、scp 等,在 saltstack 中,我们也可以借助它的同步功能,帮助我们灵活的实现这种同步需求。
1:SaltStack 同步方式
可以在 master 端执行 salt '*' state.highstate 手动推送。
可以在 minion 端执行 salt-call state.highstate 手动拉取。
也可以将 salt-call state.highstate 命令放在 Minion 端的定时任务中,来进行自动请求同步。
也可以将 salt '*' state.highstate 命令放在 Master 端的定时任务中,来进行自动推送到所有机器。
SaltStack 有两种同步对象:
- 同步目录
- 同步文件
2:目录同步
(1)创建 SaltStack 分发目录
[root@master ~]# vi /srv/salt/top.sls
base:'web*':- zabbix.zabbix
创建出需要同步的目录:
[root@master ~]# mkdir -p /srv/salt/zabbix/zabbix_scripts
备注:
在 top.sls 文件中指定 web 开头主机访问 zabbix.sls 文件里面定义的内容。
- zabbix.zabbix 代表 /srv/salt/ 目录下有个子目录 zabbix,这个子目录下有个 zabbix.sls 文件。
(2)创建 sls 文件
[root@master ~]# vi /srv/salt/zabbix/zabbix.sls
/usr/local/zabbix/scripts:file.recurse:- source: salt://zabbix/zabbix_scripts- dir_mode: 755- file_mode: 744
备注:
/usr/local/zabbix/scripts:指定 Minion 端同步后生成的目录file.recurse:source: salt://zabbix/zabbix_scripts指定要 Master 端同步的原始目录dir_mode: 755用dir_mode设置目录的权限file_mode: 744用file_mode来设置文件的权限
file 字段的其他写法:
file.managed:保证文件存在,并且为对应的状态file.recurse:保证目录存在,并且为对应状态file.absent:确保文件不存在,如果存在则删除
(3)同步数据
在 master 端推送
[root@master ~]# salt '*' state.highstate也可以在 minion 端拉取:
[root@web01 ~]# salt-call state.highstate2:SaltStack 文件同步
当需要传送文件时,匹配 web 开头的主机,将文件同步到这些 Minion 上,并设置为对应的文件权限,示例如下。
(1)编写入口文件
[root@web01 ~]# vi /srv/salt/top.sls
base:"web*":- zabbix.zabbix(2)编写同步参数
[root@web01 ~]# vi /srv/salt/zabbix/zabbix.sls
/usr/local/zabbix/scripts:file.recurse:- source: salt://zabbix/zabbix_scripts- dir_mode: 755- file_mode: 744
追加内容:
/opt/nginx.conf:file.managed:- source: salt://zabbix/nginx.conf
- backup: minion
- mode: 644
- user: root
- group: root
- backup: minion 此字段设置备份功能。
当文件发生变化时,会把原文件备份,备份文件目录: /var/cache/salt/minion/[root@master ~]# touch /srv/salt/zabbix/nginx.conf
[root@master ~]# salt '*' state.highstate