早在去年，我就在《干货篇 | 一文带你了解Ansible（上）》和《干货篇 | 一文带你了解Ansible（下）》文章中介绍过一款自动化运维工具——ansible

那么我将为大家介绍另一款自动化运维工具——saltstack

saltstack采用C/S结构的方式来进行配置管理，运行速度快、部署轻松，几分钟内便可运行起来，而且服务器之间能够做到秒级通讯，容易批量管理上万台服务器，显著降低人力与运维成本

话不多说，开始进入正题！

初识saltstack

• 是一种基于C/S架构的服务器基础架构集中化管理平台，管理端称为master，客户端称为minion
• 具备配置管理、远程执行、监控等功能
• 基于 python 语言开发
• 通过 Python 第三方模块（Pyzmq、PyCrypto、Pyjinjia2、python-msgpack 和 PyYAML 等）构建
• 底层使用 ZeroMQ 消息队列 pub/sub 方式通信

saltstack特征

1. 部署简单、方便
2. 主从集中化管理
3. 配置简单、功能强大、扩展性强；
4. master 和 minion 基于证书认证，安全可靠
5. 支持API自定义模块，可通过 Python 扩展

saltstack运行模式

• local：本地单台机器，不建议
• Master/Minion：通过server/agent的方式进行管理，效率很高（批量管理1000 台机器，25秒搞定）
• Salt SSH：通过SSH方式进行管理（类似于ansible），效率相对来说比较低（批量管理1000台机器，83秒搞定）

架构图

在Master和Minion端都是以守护进程的模式运行，一直监听配置文件里面定义的 ret_port(接受minion 请求)和 publish_port (发布消息)的端口

master与minion之间通过Zero进行消息传递，使用了ZeroMQ进行消息传递，使用了Zero-MQ的发布-订阅模式，连接方式包括tcp、ipc

master 将要执行的命令（例如ls）发送给 minion，minion 从消息总线上接受到要处理的命令，交给 minion_handle_aes 处理

minion.handle_aes发起一个本地线程调用 cmdmod 执行 ls 命令。线程执行完 ls 后，调用 minion.return_pub 方法，将执行结果通过消息总线返回给 master

master 接收到客户端返回的结果，调用 master_handle_aes 方法，将结果写进文件中

salt.client.LocalClient.cmd_cli 通过轮询获取执行结果，将结果输出到终端

1.与ansible区别

master和minion

1.认证（非对称加密）

• minion在第一次启动时，会在/etc/salt/pki/minion/（该路径在 /etc/salt/minion里面设置）下自动生成minion.pem（私钥）和minion.pub（公钥），然后将公钥发送给master
• master在接收到minion的公钥后，将 minion 公钥放到 /etc/salt/pki/master/minions.pre/下面，并且以 minion的 id 命名，通过认证后 master 将 /etc/salt/pki/master/minions.pre目录下的公钥转移到/etc/salt /pki/master/minions/ 目录下表示已经认证
• master 将自己的公钥（master.pub）发送到 minion 的 /etc/salt/pki/minion/ 目录并下生成minion_master.pub文件

2.连接

• master启动后默认监听4505和4506两个端口
• 4505 （publish_port）为消息发布系统（PUB），4506（ret_port）为 minion 与 master 通信的端口（REP）
• minion 不监听端口，启动后，会主动连接 master 注册，然后一直保持 TCP 连接（master 4505 端口），master 通过该 TCP 连接对 minion 进行控制，若断开，master 也便无法控制 minion，但是当 minion 检测到断开后会定期连接 master

3.saltstack-syndic

saltstack传统的架构都是C/S，一个master管理多个minion的形式

syndic架构多了一层类似代理的东西（zabbix proxy）

安装并部署

master：192.168.149.128

minion：192.168.149.129

minion：192.168.149.130

• 首先需要下载依赖

#安装saltstack存储库和密钥
[root@master ~]# rpm --import https://repo.saltproject.io/py3/redhat/7/x86_64/3002/SALTSTACK-GPG-KEY.pub
[root@master ~]# curl -fsSL https://repo.saltproject.io/py3/redhat/7/x86_64/3002.repo | tee /etc/yum.repos.d/salt.repo

[root@master ~]# yum clean expire-cache

• 根据实现功能不同来安装不同组件

  • master：yum install salt-master -y
  • minion：yum install salt-minion -y
  • syndic：yum install salt-master salt-minion salt-syndic -y

• 启动

[root@master ~]#systemctl enable salt-master && systemctl start salt-master
[root@minion ~]#systemctl enable salt-minion && systemctl start salt-minion

1.修改配置文件

• master

master配置文件路径：vim /etc/salt/master

[root@master ~]# vim /etc/salt/master
[root@master ~]# grep -Ev "^$|#" /etc/salt/master
auto_accept: True
file_roots:
  base:
    - /home/salt
pillar_roots:
  base:
    - /home/salt/pillar
log_level: warning

file_roots：主目录
pillar_roots：pillar 组件主目录
auto_accept：自动认证

配置完后启动服务

[root@master ~]#systemctl restart salt-master 

• minion

minion配置文件路径：vim /etc/salt/minion

[root@minion ~]# vim /etc/salt/minion
[root@minion ~]# grep -Ev "^$|#" /etc/salt/minion
master: 192.168.149.128
id: 192.168.149.129
user: root

#重启服务
[root@minion ~]# systemctl restart salt-minion

# minion的识别ID，可以是IP，域名，或是可以通过DNS解析的字符串
id: 192.168.0.100

# salt运行的用户权限
user: root

# master的识别ID，可以是IP，域名，或是可以通过DNS解析的字符串

master : 192.168.149.128

# master通讯端口
master_port: 4506

# 备份模式，minion是本地备份，当进行文件管理时的文件备份模式
backup_mode: minion

# 执行salt-call时候的输出方式
output: nested 

# minion等待master接受认证的时间
acceptance_wait_time: 10

# 失败重连次数，0表示无限次，非零会不断尝试到设置值后停止尝试
acceptance_wait_time_max: 0

# 重新认证延迟时间，可以避免因为master的key改变导致minion需要重新认证的syn风暴
random_reauth_delay: 60

# 日志文件位置
log_file: /var/logs/salt_minion.log

# 文件路径基本位置
file_roots:
  base:
    - /etc/salt/minion/file
    
# pillar基本位置
pillar_roots:
  base:
    - /data/salt/minion/pillar

2.认证

minion 在第一次启动时，会在 /etc/salt/pki/minion/ 下自动生成 minion.pem(private key) 和 minion.pub(public key)，然后将 minion.pub 发送给 master （非对称加密）

• salt-key 查看目前已认证与未认证的 minion

我们在master来进行key认证

[root@master ~]# salt-key
Accepted Keys: #可以看到master已经检测到minion，且已认证key
192.168.149.129
Denied Keys:
Unaccepted Keys: 
Rejected Keys:

#如果没有认证，手动输入认证一下
[root@master ~]# salt-key -a id

• 认证完我们测试一下

[root@master ~]# salt '192.168.149.129' test.ping
192.168.149.129:
    True #返回结果表示成功

• PS!!

#如果发先测试时间特别长，建议在master下/etc/hosts文件里加上dns解析
vim /etc/hosts
192.168.149.128 master

#因为debug发现master会创建一个tcp连接去连自己回环地址，可能是这步导致延迟