saltstack

已于 2024-09-06 16:18:47 修改
阅读量542 收藏
点赞数
文章标签: python
于 2022-03-25 16:50:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Waller_/article/details/123617543
版权

基于python开发的,用于批量控制管理服务器 . saltstack与ansible对比

saltstack系统中的角色

salt-master : 管理端

salt-minion : 被管理端

salt-syncdic: salt代理(用于分布式管理)

分布式部署:

认证

saltstack系统中的角色之间采用证书的方式认证(安全)

认证方式:salt-minion向salt-master发送证书申请,salt-master签收证书

部署

https://repo.saltproject.io/py3/redhat/8/x86_64/3005/

参考: Salt Project Package Repo

sudo rpm --import https://repo.saltproject.io/py3/redhat/8/x86_64/latest/SALTSTACK-GPG-KEY.pub

curl -fsSL https://repo.saltproject.io/py3/redhat/8/x86_64/latest.repo | sudo tee /etc/yum.repos.d/salt.repo

sudo yum clean expire-cache

salt-minion, salt-master, 及其他 Salt 组件

sudo yum install salt-master
sudo yum install salt-minion
sudo yum install salt-ssh
sudo yum install salt-syndic
sudo yum install salt-cloud
sudo yum install salt-api   # 提供saltstackt https python 调用

主机安装salt-master,salt-api 被管控机安装salt-minion

若无法安装可使用如下方式安装 依赖地址

yum install https://repo.saltproject.io/py3/redhat/7/x86_64/3001/salt-master-3001.8-1.el7.noarch.rpm

yum install https://repo.saltproject.io/py3/redhat/7/x86_64/3001/salt-api-3001.8-1.el7.noarch.rpm


  salt-master.noarch 0:3001.8-1.el7   
  hwdata.x86_64 0:0.252-9.7.el7             libtirpc.x86_64 0:0.2.4-0.16.el7           
  pciutils.x86_64 0:3.5.1-3.el7             pciutils-libs.x86_64 0:3.5.1-3.el7         
  python3.x86_64 0:3.6.8-18.el7             python3-libs.x86_64 0:3.6.8-18.el7         
  python3-pip.noarch 0:9.0.3-8.el7          python3-setuptools.noarch 0:39.2.0-10.el7  
  python36-PyYAML.x86_64 0:3.13-1.el7       python36-chardet.noarch 0:3.0.4-12.el7     
  python36-distro.noarch 0:1.5.0-1.el7      python36-idna.noarch 0:2.10-1.el7          
  python36-jinja2.noarch 0:2.11.1-1.el7     python36-m2crypto.x86_64 0:0.35.2-5.el7    
  python36-markupsafe.x86_64 0:0.23-4.el7   python36-msgpack.x86_64 0:0.6.2-2.el7      
  python36-psutil.x86_64 0:5.6.7-1.el7      python36-pycurl.x86_64 0:7.43.0-8.el7      
  python36-pysocks.noarch 0:1.6.8-7.el7     python36-requests.noarch 0:2.14.2-2.el7    
  python36-six.noarch 0:1.14.0-3.el7        python36-urllib3.noarch 0:1.25.6-2.el7     
  python36-zmq.x86_64 0:17.0.0-5.el7        salt.noarch 0:3001.8-1.el7                 
  systemd-python.x86_64 0:219-78.el7_9.5   


yum install pyOpenSSL  # salt-api 使用,用于提供https

日志位置:

/var/log/salt

启动 salt-master:

systemctl start salt-master.service

salt-master 默认使用的端口: 4505(用于内部通信),4506(用于与minion通信)

启动 salt-minion:

修改minion配置文件 vim /etc/salt/minion ,配置主机信息

master: 主机IP

id: minion自己的IP

启动 minion:systemctl start salt-minion.service 

删除salt-key
删除指定minion的key
salt-key -d salt-minion2.example.com
删除所有minion的key
salt-key -D -y

证书签收

master配置自动接收minion key

minion启动后会向master发送证书,master需要签收证书才能实现对minion的管控

master查看证书信息: salt-key -L

Accepted Keys:  # 已经接收的
Denied Keys:    # 已经拒绝的
Unaccepted Keys:# 未接收的
Rejected Keys:

签收证书: salt-key -A -y

salt-minion 和salt-master 认证机制如下:

  1. minion端生成一个秘钥对,并产生一个ID值,minion服务会安装ID值命名的公钥发送给 master ,直到接受为止
  2. master认证完毕后,会将minion 端发送来的,以ID值命名的公钥存放在 /etc/salt/pki/master/minions 目录中
  3. master认证完毕后,会将自身的公钥发送给 minion,并存储为 /etc/salt/pki/minion/minion_master.pub.
  4. master 秘钥对默认存储在/etc/salt/pki/master/master.pub /etc/salt/pki/master/master.pem(salt master私钥)
  5. master 端认证的公钥存储在:/etc/salt/pki/master/minions/
  6. minion 秘钥对默认存储在/etc/salt/pki/minion/minion.pub /etc/salt/pki/minion/minion.pem(salt minion私钥)
  7. minion 存放的master公钥/etc/salt/pki/minion/minion_master.pub

其他命令

grains 用于保存minion的信息(系统版本,内存大小,CPU个数等信息)

salt '192.168.3.44' grains.items

常用模块

查看所有模块:

salt '192.168.3.44' sys.list_modules

acl,    aliases,    alternatives,    apache,    archive,    artifactory,    blockdev,    btrfs,    buildout,   cloud,    cmd,    composer,    config,    container_resource,    cp,    cron,    data,    defaults,  devmap,    dig,    disk,    django,    dnsmasq,    dnsutil,    drbd,    elasticsearch,    environ,  etcd,    event,    extfs,    file,   gem,    genesis,    git,    grains,    group,    grub,    hashutil,  hg,    hipchat,    hosts,    http,    img,    incron,    ini,    introspect,    ip,    iptables,    jboss7,  jboss7_cli,    key,    kmod,    locale,    locate,    logrotate,    lowpkg,    match,    mine,  modjk,    mount,    network,    openstack_config,    pagerduty,    pillar,    pip,    pkg,   pkg_resource,    postfix,    publish,    puppet,    pyenv,    raid,    random,    random_org,  rbenv,    ret,    rsync,    runit,    rvm,    s3,    saltutil,    schedule,    scsi,    sdb,    seed, selinux,    serverdensity_device,    service,    shadow,    slack,    smtp,    sqlite3,    ssh,  state,    status,   supervisord,    sys,    sysctl,    syslog_ng,    system,    test,    timezone,  user,    vbox_guest,    virtualenv,    webutil,    xfs

查看模块提供的常用方法:

salt '192.168.3.44' sys.list_functions user  #查看user模块提供的方法

查看具体方法的使用说明:

salt '192.168.3.44' sys.doc user.add

test.ping 测试minion通信

salt '*' test.ping

cmd.run 执行命令

salt '*' cmd.run 'df -h'
salt '*' cmd.run 'netstat -antp |grep python'
salt '*' cmd.run 'rpm -q vsftpd'
...

pkg 软件管理模块

salt '*' pkg.install vsftpd  # 安装vsftpd

服务管理模块 sevice

salt '*' service.start vsftpd
salt '*' service.stop vsftpd
salt '*' service.status vsftpd

常用模块命令及API

 salt-api

生成https秘钥

cd /etc/pki/tls/certs/
[root@localhost certs]# make testcert  # 生成证书
umask 77 ; \
/usr/bin/openssl genrsa -aes128 2048 > /etc/pki/tls/private/localhost.key
Generating RSA private key, 2048 bit long modulus
................................+++
.+++
e is 65537 (0x10001)
Enter pass phrase:  # 密码
Verifying - Enter pass phrase:  # 确认密码
umask 77 ; \
/usr/bin/openssl req -utf8 -new -key /etc/pki/tls/private/localhost.key -x509 -days 365 -out /etc/pki/tls/certs/localhost.crt 
Enter pass phrase for /etc/pki/tls/private/localhost.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:bj
Locality Name (eg, city) [Default City]:bj
Organization Name (eg, company) [Default Company Ltd]:bj
Organizational Unit Name (eg, section) []:bj         
Common Name (eg, your name or your server's hostname) []:salt-master
Email Address []:bj@qq.com

将有密码秘钥改完无密码可使用

cd /etc/pki/tls/private
[root@localhost private]# openssl rsa -in localhost.key -out localhost-nopass.key 
Enter pass phrase for localhost.key:  # 上一步设置的密码
writing RSA key


chmod 644 /etc/pki/tls/certs/localhost.crt /etc/pki/tls/private/localhost.key /etc/pki/tls/private/localhost-nopass.key

创建salt-api的系统用户,用来认证

useradd -M -s /sbin/nologin saltapi
passwd saltapi

编辑salt-api相关配置文件

vim /etc/salt/master

default_include: master.d/*.conf
vim /etc/salt/master.d/eauth.conf

external_auth:
    pam:          # 使用pam模块认证
        saltapi:  # 认证用户
            - .*  # 认证用户saltapi可使用的模块

vim /etc/salt/master.d/api.conf
rest_cherrypy:
    port: 8001   # salt-api使用的端口
    ssl_crt: /etc/pki/tls/certs/localhost.crt
    ssl_key: /etc/pki/tls/private/localhost-nopass.key

启动salt-api

systemctl restart salt-master.service
systemctl start salt-api.service

salt-api 基于https协议提供两个url地址:

  • https://x.x.x.x:port/login  # 调用saltAPI,实现用户认证,返回用户令牌
  • https://x.x.x.x:port  # 调用saltmaster的功能模块

验证是否启动:

# 验证登录:
curl -k https://192.168.3.46:8001/login -H "Accept: application/x-yaml" -d username="saltapi" -d password="123456" -d eauth="pam"

# 返回:
return:
- eauth: pam
  expire: 1648217755.235411
  perms:
  - .*
  start: 1648174555.2354097
  token: 3f21964714ff7300d4b0dd4d8e5f410019eb1871
  user: saltapi


# 验证test.ping
curl -k https://192.168.3.46:8001/ -H "Accept: application/x-yaml" -H "X-Auth-Token:3f21964714ff7300d4b0dd4d8e5f410019eb1871" -d client="local" -d tgt="*" -d fun="test.ping"

# 返回:
return:
- 192.168.3.44: false
  192.168.3.47: true

python调用

import requests
import json


salt_api_url = 'https://192.168.3.46:8001'
salt_api_url_login = 'https://192.168.3.46:8001/login'
salt_api_user = 'saltapi'
salt_api_passwd = '123456'

requests.packages.urllib3.disable_warnings()
def get_salt_api_token():
    data = {
        'username': salt_api_user,
        'password': salt_api_passwd,
        'eauth': 'pam'  # 选择的认证模块
    }

    head = {
        'Content-Type': 'application/json'  # 接收json数据
    }
    res = requests.post(
        url=salt_api_url_login,
        data=json.dumps(data),
        headers=head,
        verify=False  # 向https发送请求会验证证书,此参数是取消验证证书
    )
    salt_api_token = json.loads(res.text).get('return')[0].get('token')
    return salt_api_token


# 调用models模块
# 1.无参数模块

# test.ping 模块
def test_ping(salt_api_token):
    head = {
        'Content-Type': 'application/json',
        'X-Auth-Token': salt_api_token
    }

    data = {
        'client': 'local_async',  # client 表示调用方式, local:同步调用
        'tgt': '*',  # tgt 表示要操作的minion, 值为minion_id
        'fun': 'test.ping',  # 调用的模块方法名
        # 'arg': ''  # 模块需要用的参数
    }

    res = requests.post(url=salt_api_url, data=json.dumps(data), headers=head, verify=False)
    print(json.loads(res.text))  # {'return': [{'192.168.3.47': True, '192.168.3.44': False}]}


# 2.调用有参模块
def cmd_run(salt_api_token):
    head = {
        'Content-Type': 'application/json',
        'X-Auth-Token': salt_api_token
    }

    data = {
        'client': 'local',  # client 表示调用方式, local:同步调用
        'tgt': '192.168.3.47',  # tgt 表示要操作的minion, 值为minion_id
        'fun': 'cmd.run',  # 调用的模块方法名
        'arg': 'df -h'  # 模块需要用的参数
    }

    res = requests.post(url=salt_api_url, data=json.dumps(data), headers=head, verify=False)
    print(json.loads(res.text))


if __name__ == '__main__':
    # get_salt_api_token()
    token = '7fe67213e4821a82f905292bb56c5ffa2a36faf5'
    test_ping(token)
    # cmd_run(token)

 python调用salt-api

saltstack运维工具

saltstack的rest接口salt-api开发使用指南_峰云,就她了。的技术博客_51CTO博客

salt api开发指南_运维个西瓜的博客-优快云博客

 Saltstack异步执行命令(十三) - shhnwangjian - 博客园

Salt Master报错:Minion did not return. [No response]_东城绝神的博客-优快云博客

Salt开发

Installation

 saltstack配置文件介绍

salt job 相关操作 链接  链接 链接

SaltStack之salt-master高可用
欲川
08-25 956
文章目录1. 概述2. 数据同步3. 配置salt-master高可用 1. 概述 官方文档—salt的高可用 我们需要用salt来管理公司的所有机器,那么salt的master就不能宕机,否则就会整个瘫痪,所以必须要对salt进行高可用。 通过在 minion 端的配置文件 minion 中将 master 参数配置为所有可用主服务器的YAML列表,Salt minions可以同时连接多个主服务器。默认情况下,所有master都是启动的,这意味着任何主服务器都可以将命令指向Salt基础设施 在多主机配
SaltStack
eHV4aW5n的博客
11-02 389
SaltStackSaltStack介绍saltstack的特点saltstack服务架构SaltStack四大功能与四大运行方式SaltStack组件介绍SaltStack安装与最小化配置在控制机上安装saltstack主控端软件在被控机上安装salt-minion客户端saltstack配置文件SaltStack认证机制 SaltStack介绍 是一个基础平台管理工具 是一个配置配置管理系统,能够维护预定义状态的远程节点 是一个分布式远程执行系统,用来在远程节点上执行命令和查询数据 saltstac
salt-master
weixin_34174422的博客
05-05 122
SaltStack1、SaltStack salt是一个新的基础平台管理工具。只需花费数分钟即可运行起来, 扩展性足以支撑管理上万台服务器,数秒钟即可完成数据传递. salt底层采用动态的连接总线, 使其可以用于编配, 远程执行, 配置管理等等.2、About SaltStack Salt servers 有两种类型,Master 和 Minion. The...
【云平台管理】SaltStack部署Nginx高可用
最新发布
weixin_73059729的博客
04-14 697
在控制主机上再次访问VIP地址,后端一个Nginx节点正常提供服务,高可用结构正常。查看Haproxy的状态,显示minion已经宕机。
Saltstack异步执行命令(十三)
weixin_34138255的博客
11-17 216
Saltstack异步执行命令 salt执行命令有时候会有超时的问题,就是命令下发下去了,部分主机没有返回信息,这时候就很难判断命令或任务是否执行成功。因此,salt提供异步执行的功能,发出命令后立即返回一个jid。然后我们就可以根据这个jid来查询任务是否执行成功。 命令行实现异步 参数--async,返回job ID,根据job ID我们可以查询执行结果。 salt --async '*' ...
saltstack异步执行命令
weixin_33841722的博客
08-08 398
Saltstack异步执行命令salt执行命令有时候会有超时的问题,就是命令下发下去了,部分主机没有返回信息,这时候就很难判断命令或任务是否执行成功。因此,salt提供异步执行的功能,发出命令后立即返回一个jid。然后我们就可以根据这个jid来查询任务是否执行成功。命令行实现异步参数--async,返回job ID,根据job ID我们可以查询执行结果。salt--asyn...
SaltStack 学习笔记 - 第二篇: Salt-master配置文件详解
weixin_33807284的博客
06-09 371
转自(coocla):http://blog.coocla.org/301.html原本想要重新翻译salt-master的配置文件,但发现作者的这篇博文说得非常好,也挺清楚,所以有关salt-mater的配置,喜欢的朋友可以参考上面的博文建议把这篇文章作为配置参考查询,不需要详细阅读----------------------------------------------...
openEuler22.03LTS操作系统用pip安装saltstack3003.1所需的文件包
12-23
在openEuler22.03LTS操作系统中安装saltstack3003.1,主要涉及的是Python的包管理工具pip以及与SaltStack相关的依赖库。以下将详细阐述整个安装过程的关键步骤和相关知识点。 首先,SaltStack是一个开源的自动化...
saltstack arm架构rpm包
02-28
可供银河麒麟信创系统使用
用于euler2.8,aarch64架构的saltstack-3003.1软件pip离线安装包
09-18
用于euler2.8,aarch64架构的saltstack-3003.1软件pip离线安装包,包含: PyYAML-6.0-cp37-cp37m-linux_aarch64.whl,pyzmq-25.0.0-cp37-cp37m-linux_aarch64.whl,requirements-euler2.8-salt.txt,certifi-2022.12...
saltstack-kibana-formula:SaltStack公式可用于设置和配置数据可视化平台Kibana
05-08
SaltStack公式可用于设置和配置数据可视化平台Kibana 指示 请参考以了解如何使用此公式,如何构建该公式以及如何添加更改。 注意:此公式可能使用formhelper模块,这是一个非常有用的Salt执行模块,尚无法在上游...
saltstack之salt-master高可用
happy___life的博客
07-22 285
salt-master高可用 涉及到高可用时,数据的同步是个永恒的话题,我们必须保证高可用的2个master间使用的数据是一致的,包括: /etc/salt/master配置文件 /etc/salt/pki目录下的所有key /srv/下的salt和pillar目录下的所有文件 保障这些数据同步的方案有: nfs挂载 rsync同步 使用gitlab进行版本控制 安全相关: 为保证数据的同步与防止丢失,可将状态文件通过gitlab进行版本控制管理。 环境说明: 主机 ip master
saltstack进阶之masterless、salt-master高可用、salt-syndic
多回访
11-29 1159
中央集权制 有salt-master 有salt-minion 诸侯分封制 只有salt-minion 注释master行 取消注释file_client并设其值为local 设置file_roots 设置pillar_roots 设置file_rools、pillar_rool的目录 关闭salt-minion服务 masterless salt-master高可用 高可(一个可以通信备不可以通信) minion端 参数为两个 salt-syndic https://www.unixhot.com/doc
saltStack运维工具的部署及master迁移实现的过程详解
reblue520的专栏
08-08 320
服务器端:192.168.3.87 客户端:192.168.3.86、192.168.3.108 1.salt服务器端安装 192.168.3.87 rpm -Uvh http://mirrors.yun-idc.com/epel/6Server/x86_64/epel-release-6-8.noarch.rpm yum install -y salt-ma...
saltstack python2版本配置
qq_40965644的博客
10-30 441
一 、环境 1.环境如下: 服务器 IP地址 角色 saltstack软件 Centos7 172.22.5.10 master salt-master Centos7 172.22.5.10 minion salt-minoin Centos7 172.22.5.10 minion salt-minoin 2、修改hosts文件解析(如果不用hostname作为标识,就不用进行这一步) vim /etc/hosts #每天都需要添加hosts解析文件 172.22.5.10
python saltstack_基于Python 2.7使用pip安装 SaltStack的方法
weixin_39801202的博客
12-10 768
首先安装 Python 2.7.10yum-yinstallperl-ExtUtils-Embed.x86_64libxml2libxml2-devellibxsltlibxslt-devellibffilibffi-develbuild-essentialautoconflibtoolgccgitlibaiolibaio-devellibcurllibcurl...
salt-master命令详解
张冲andy的博客
08-15 2084
**salt-master命令** 命令行官网学习网站:http://docs.saltstack.cn/ref/cli/index.html salt salt-call salt-cp salt-key salt-master salt-minion salt-run salt-unity 一、salt常用命令 salt 该命令执行salt的执行模块,通常在master端...
masterless、salt-master高可用、salt-syndic
qq_58668102的博客
11-30 782
SaltStack进阶 masterless的应用 应用场景 master 与 minion 网络不通或通信有延迟,即网络不稳定 想在 minion 端直接执行状态 传统的 SaltStack 是需要通过 master 来执行状态控制 minion 从而实现状态的管理,但是当网络不稳定的时候,当想在minion本地执行状态的时候,当在只有一台主机的时候,想执行状态该怎么办呢?这就需要用到 masterless 了。 masterless配置 修改配置文件minion 注释master行 取消注释file_c
使用salt-master配置文件部署服务-03
ultralinux
07-17 253
配置salt-master file_roots: base: - /srv/salt/base dev: - /srv/salt/dev test: - /srv/salt/test prod: - /srv/salt/prod [root@01 ~]# vim /etc/salt/master #修改salt-master配置文件 file_roots: # 注意格式(空格),不要使用tab键代替空.
SaltStack服务器管理平台详解
"SaltStack是一个强大的服务器基础架构管理工具,用于配置管理、远程执行和监控。它基于Python并利用ZeroMQ等技术。SaltStack支持多种操作系统,包括UNIX/Linux和Windows,并采用主从架构,通过证书认证确保安全性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值