SaltStack入门到精通

/os/html/201406/8507.htmlSaltStack入门到精通第一篇：安装SaltStack安装SaltStack（下面简称为salt）epel安装：salt安装需要epel源支持，所以在安装salt前需要先安装epel包1.#centos5下载下面rpm2.wget-Oepel.rpm/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm3.4.#centos6下载下面rpm5.wget-Oepel.rpm/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm6.#安装epel7.rpm-Uvhepel.rpmsalt-master 安装 : 仅需要在salt的master主机上安装1.yum-yinstallsalt-mastersalt-minion 安装 ：监控管理的机器上面安装该控制端1.yum-yinstallsalt-minion配置SaltStack备注：根据需要选择配置下面的配置文件，这里因为是一个机器上面配置测试，所以两个文件都要配置。配置salt-master : /etc/salt/master01.#salt运行的用户，影响到salt的执行权限02.user:root03.04.#salt的运行线程，开的线程越多一般处理的速度越快，但一般不要超过CPU的个数05.worker_threads:1006.07.#master的管理端口08.publish_port:450509.10.#master跟minion的通讯端口，用于文件服务，认证，接受返回结果等11.ret_port:450612.13.#如果这个master运行的salt-syndic连接到了一个更高层级的master,那么这个参数需要配置成连接到的这个高层级master的监听端口14.syndic_master_port:450615.16.#指定pid文件位置17.pidfile:/var/run/salt-master.pid18.19.#saltstack可以控制的文件系统的开始位置20.root_dir:/21.22.#日志文件地址23.log_file:/var/log/salt_master.log24.25.#分组设置26.nodegroups:27.group_all:*28.29.#saltstate执行时候的根目录30.file_roots:31.base:32.-/etc/salt/file33.34.#设置pillar的根目录35.pillar_roots:36.base:37.-/etc/salt/pillar配置salt-minion :/etc/salt/minion01.#minion的识别ID，可以是IP，域名，或是可以通过DNS解析的字符串02.id:0003.04.#salt运行的用户权限05.user:root06.07.#master的识别ID，可以是IP，域名，或是可以通过DNS解析的字符串08.master:0009.10.#master通讯端口11.master_port:450612.13.#备份模式，minion是本地备份，当进行文件管理时的文件备份模式14.backup_mode:minion15.16.#执行salt-call时候的输出方式17.output:nested18.19.#minion等待master接受认证的时间20.acceptance_wait_time:1021.22.#失败重连次数，0表示无限次，非零会不断尝试到设置值后停止尝试23.acceptance_wait_time_max:024.25.#重新认证延迟时间，可以避免因为master的key改变导致minion需要重新认证的syn风暴26.random_reauth_delay:6027.28.#日志文件位置29.log_file:/var/logs/salt_minion.log30.31.#文件路径基本位置32.file_roots:33.base:34.-/etc/salt/minion/file35.36.37.#pillar基本位置38.pillar_roots:39.base:40.-/data/salt/minion/pillar启动SaltStack01.#启动master02.servicesalt-masterrestart03.04.#启动minion05.servicesalt-minionrestart06.07.#-08.#也可以使用下面的启动方式09./usr/bin/python2.6/usr/bin/salt-master-d10./usr/bin/python2.6/usr/bin/salt-minion-d注意： saltstack 是使用python2的语言编写，对python3的兼容性不好，请使用python2的环境测试SaltStack接受salt-minion的认证请求01.rootyw_homesalt#salt-key02.AcceptedKeys:03.UnacceptedKeys:0.10005.06.rootyw_homesalt#salt-key-y-a0007.Thefollowingkeysaregoingtobeaccepted:08.UnacceptedKeys:0.10010.Keyforminion00accepted.去除salt-minion的认证1.#如果觉得该minion不需要了，可以*2.rootyw_homesalt#salt-key-y-d003.Deletingthefollowingkeys:4.AcceptedKeys:.1006.Keyforminion00deleted.备注： 更多的salt-key操作，会在另一个文章中说明开始测试saltstack1.rootyw_homesalt#salt00test.ping-show-timeout.100:3.True备注：如果返回true则成功，如果无结果，则说明连接为失败，可以检查防火墙是否开放了4506,4505端口,或是重启salt-minion再试试，有时候master跟minion版本不同的问题，也会导致连接失败SaltStack 入门到精通第二篇：Salt-master配置文件详解#主配置 /etc/salt/masterinterface默认值：(所有的网络地址接口)绑定到本地的某个网络地址接口1.interface:publish_port默认值：4505设置master与minion的认证通信端口1.publish_port:4505user默认值：root运行salt进程的用户1.user:rootmax_open_files默认值：100000每一个minion连接到master，至少要使用一个文件描述符，如果足够多的minion连接到master上，你将会从控制台上看到salt-master crashes：Too many open files (tcp_listener.cpp:335)Aborted (core dumped)默认值这个值取决于ulimit -Hn的值，即系统的对打开文件描述符的硬限制如果你希望重新设置改值或者取消设置，记住这个值不能超过硬限制，提高硬限制取决于你的操作系统或分配，一个好的方法是internet找到对应操作系统的硬限制设置，比如这样搜索：raise max open files hard limit debian1.max_open_files:100000worker_threads默认值：5启动用来接收或应答minion的线程数。如果你有很多minion，而且minion延迟你的应答，你可以适度的提高该值.在点对点的系统环境中使用时，该值不要被设置为3以下，但是可以将其设置为11.worker_threads:5ret_port默认值：4506这个端口是master用来发送命令或者接收minions的命令执行返回信息1.ret_port:4506pidfile默认值：/var/run/salt-master.pid指定master的pid文件位置1.pidfile:/var/run/salt-master.pidroot_dir默认值：/指定该目录为salt运行的根目录，改变它可以使salt从另外一个目录开始运行，好比chroot1.root_dir:/pki_dir默认值：/etc/salt/pki这个目录是用来存放pki认证秘钥1.pki_dir:/etc/salt/pkicachedir默认值：/var/cache/salt这个目录是用来存放缓存信息，特别是salt工作执行的命令信息1.cachedir:/var/cache/saltkeep_jobs默认值：24设置保持老的工作信息的过期时间，单位小时job_cache默认值：True设置master维护的工作缓存，这是一个很好的功能，当你的Minons超过5000台时，他将很好的承担这个大的架构，关闭这个选项，之前的工作执行以及工作系统将无法被利用，一般不推荐关掉改选项，开启改选项将会是很明智的，他将使master获得更快的IO系统ext_job_cache默认值：”对所有的minions使用指定的默认值returner，当使用了这个参数来指定一个returner并且配置正确，minions将会一直将返回的数据返回到returner，这也会默认值禁用master的本地缓存1.ext_job_cache:redisminion_data_cache默认值：Trueminion data cache是关于minion信息存储在master上的参数，这些信息主要是pillar 和 grains数据.这些数据被缓存在cachedir定义的目录下的minion目录下以minion名为名的目录下并且预先确定哪些minions将从执行回复1.minion_cache_dir:Trueenforce_mine_cache默认值：False默认情况下当关闭了minion_data_cache，mine将会停止工作，因为mine是基于缓存数据，通过启用这个选项，我们将会显示的开启对于mine系统的缓存功能1.enforce_mine_cache:Falsesock_dir默认值：/tmp/salt-unix指定unix socket主进程通信的socket创建路径master的安全配置open_mode默认值：Falseopen_mode是一个危险的安全特性，当master遇到pki认证系统，秘钥混淆和身份验证失效时，打开open_mode，master将会接受所有的身份验证。这将会清理掉pki秘钥接受的minions。通常情况下open_mode不应该被打开，它只适用于短时间内清理pki keys，若要打开它，可将值调整为True1.open_mode:Falseauto_accept默认值：False开启auto_accept。这个设置将会使master自动接受所有发送公钥的minions1.auto_accept:Falseautosign_file默认值：/etc/salt/autosign.conf如果autosign_file的值被指定，那么autosign_file将会通过该输入允许所有的匹配项，首先会搜索字符串进行匹配，然后通过正则表达式进行匹配。这是不安全的1.autosign_file:/etc/salt/autosign.confclient_acl默认值：开启对系统上非root的系统用户在master上执行特殊的模块，这些模块名可以使用正则表达式进行表示1.client_acl:2.fred:3.-test.ping4.-pkg.*client_acl_blacklist默认值：黑名单用户或模块这个例子表示所有非sudo用户以及root都无法通过cmd这个模块执行命令，默认情况改配置是完全禁用的1.client_acl_blacklist:2.users:3.-root4.-(?!sudo_).*$#allnonsudousers5.modules:6.-cmdexternal_auth默认值：salt的认证模块采用外部的认证系统用来做认证和验证用户在salt系统中的访问区域1.external_auth:2.pam:3.fred:4.-test.*token_expire默认：43200新令牌生成的时间间隔，单位秒，默认是12小时1.token_expire:43200file_recv默认值：False允许minions推送文件到master上，这个选项默认是禁用的，出于安全考虑1.file_recv:False#master模块管理runner_dirs默认值： 设置搜索runner模块的额外路径1.runner_dirs:cython_enable默认值：False设置为true来开启对cython模块的编译1.cython_enable:Falsemaster状态系统设置state_verbose默认：Falsestate_verbose允许从minions返回更多详细的信息，通常清空下只返回失败或者已经更改，但是将state_verbose设置为True,将会返回所有的状态检查1.state_verbose:Truestate_output默认值：fullstate_output的设置将会改变信息输出的格式，当被设置为”full”时，将全部的输出一行一行的显示输出；当被设置为”terse“时，将会被缩短为一行进行输出；当被设置为”mixed”时，输出样式将会是简洁的，除非状态失败，这种情况下将会全部输出；当被设置为”change”时，输出将会完全输出除非状态没有改变1.state_output:fullstate_top默认值：top.sls状态系统使用一个入口文件告诉minions在什么环境下使用什么模块，这个状态入口文件被定义在基础环境的相对根路径下1.state_top:top.slsexternal_nodes默认值：None这个外部节点参数允许salt来收集一些数据，通常被放置在一个入口文件或外部节点控制器.外部节点的选择是可执行的，将会返回ENC数据，记住如果两者都启用的话salt会将外部节点和入口文件的结果进行综合汇总。1.external_nodes:cobbler-ext-nodesrenderer默认值：yaml_jinja使用渲染器用来渲染minions的状态数据1.renderer:yaml_jinjafailhard默认值：False设置一个全局的failhard表示，当单个的状态执行失败后，将会通知所有的状态停止运行状态1.failhard:Falsetest默认值：False如果真的要作出改变或者仅仅通知将要执行什么改变时设置所有的状态调用为testtest: False#master文件服务器设置fileserver_backend默认值：1.fileserver_backend:2.-rootssalt支持模块化的后端文件系统服务器，它允许salt通过第三方的系统来管理收集文件并提供给minions使用，可以配置多个后端文件系统，这里支持gitfs、hgfs、roots、s3fs文件调用的搜索顺序按照后台文件系统的配置顺序来搜索，默认的设置只开启了标准的后端服务器roots，具体的根选项配置通过file_roots参数设置1.fileserver_backend:2.-roots3.-gitfsfile_roots默认值：1.base:2.-/srv/saltsalt运行一个轻量级的文件服务器通过ZeroMQ对minions进行文件传输，因此这个文件服务器是构造在master的守护进程中，并且不需要依赖于专用的端口文件服务器的工作环境传递给master，每一个环境可以有多个跟目录，但是相同环境下多个文件的子目录不能相同，否则下载的文件将不能被可靠的保证，一个基础环境依赖于主的入口文件，如：01.file_roots:02.base:03.-/srv/salt04.dev:05.-/srv/salt/dev/services06.-/srv/salt/dev/d:08.-/srv/salt/prod/services09.-/srv/salt/prod/stateshash_type默认值：md5hash_type是用来当发现在master上需要对一个文件进行hash时的hash使用的算法，默认是md5.但是它也支持sha1,sha224,shar256,shar384,shar5121.hash_type:md5file_buffer_size默认值：1048576文件服务器的缓存区大小1.file_buffer_size:1048576pillar配置pillar_roots默认值：1.base:2.-/srv/pillar设置不同的环境对应的存放pillar数据的目录，这个配置和file_roots参数配置一样1.pillar_roots:2.base:3.-/srv/pillar4.dev:5.-/srv/pillar/d:7.-/srv/pillar/prodext_pillar当进行pillar数据收集时，这个ext_pillar参数允许调用任意数量的外部pillar接口，这个配置是基于ext_pillar函数，你可以从这个找到这个函数/saltstack/salt/blob/develop/salt/pillar默认情况下，这个ext_pillar接口没有配置运行默认值：None1.ext_pillar:2.-hiera:/etc/hiera.yaml3.-cmd_yaml:cat/etc/salt/yaml4.-reclass:5.inventory_base_uri:/etc/reclass从这里可以查到pillar的一些额外细节syndic server配置syncdic是salt master用来通过从整体架构中高于自己层级的master或者syndic接收命令传递给minions的中间角色。使用syndic非常简单，如果这个master在整体架构中，他的下级存在syndic server，那么需要将master的配置文件中的”order_master”值设置为True，如果这个master还需要运行一个syndic进程，扮演另外一个角色，那么需要设置主master server的信息(上一级master)千万别忘记了，这将意味着它将与其他master共享它的minion的id和pki_dirorder_masters默认值：False当额外的数据需要发送和传递，并且这个master控制的minions是被低等级的master或syndic直接管理下，那么”order_masters”这个值必须得设置为True1.order_master:Falsesyndic_master默认值：None如果这个master运行的salt-syndic连接到了一个更高层级的master,那么这个参数需要配置成连接到的这个高层级的master的地址1.syndic_master:masterofmasterssyndic_master_port默认值：4506如果这个master运行的salt-syndic连接到了一个更高层级的master,那么这个参数需要配置成连接到的这个高层级master的监听端口1.syndic_master_port:4506syndic_log_file默认值：syndic.log为syndic进程指定日志文件1.syndic_log_file:salt-syndic.logsyndic_pidfile默认值：salt-syndic.pid为syndic进程指定pid文件1.syndic_pidfile:syndic.pidPeer Publish设置salt minions可以向其他minions发送命令，但是仅仅在minion允许的情况下。默认情况下”Peer Publication”是关闭的，当需要开启的时候，需要开启对应的minion和对应的命令，这样可以允许根据个人的minions安全的划分出命令peer默认值：这个配置使用正则表达式去匹配minions并且是一个正则表达式列表函数，下面这个例子将允许名为的minion认证通过后执行test和pkg模块中的函数1.peer:2.:3.-test.*4.-pkg.*这将允许所有的minion执行所有的命令1.peer:2.*:3.-.*这样的配置是极不推荐的，因为任何人得到架构中的任何一个minion即可拥有所有的minions，这是不安全的peer_run默认值：peer_run参数是用来打开runners在master所允许的minions上，peer_run的配置匹配格式和peer参数的配置一样下面这个例子允许的minion执行manage.up runner1.peer_run:2.:3.-manage.upNODE GROUPS默认值：minions允许通过node groups来分成多个逻辑组，每个组由一个组名和复合模式组成1.nodegroups:2.group1:L,,orbl*.3.group2:Gos:DMaster日志设置log_file默认值：/var/log/salt/mastermaster的日志可以发送到一个普通文件，本地路径名或者网络位置，更多详情例如：1.log_file:/var/log/salt/master2.log_file:file:/dev/log3.log_file:udp:/loghost:10514log_level默认值：warning按照日志级别发送信息到控制台，更多详情1.log_level:warninglog_level_logfile默认值：warning按照日志级别发送信息到日志文件，更多详情1.log_level_logfile:warninglog_datefmt默认值：%H:%M:%S发送到控制台信息所用的日期时间格式，更多详情1.log_datefmt:%H:%M:%Slog_datefmt_logfile默认值: %Y-%m-%d %H:%M:%S发送到日志文件信息所用的日期时间格式，更多详情1.log_datefmt_logfile:%Y-%m-%d%H:%M:%Slog_fmt_console默认值: %(levelname)-8s %(message)s控制台日志信息格式，更多详情1.log_fmt_console:%(levelname)-8s%(message)slog_fmt_logfile默认值: %(asctime)s,%(msecs)03.0f %(name)-17s%(levelname)-8s %(message)s%(asctime)s：2003-07-08 16:49:45%(msecs)03.0f：当前时间的毫秒部分%(name)：日志记录调用器的名字%(levelname)：日志记录级别%(message)s：日志详细信息日志文件信息格式，更多详情1.log_fmt_logfile:%(asctime)s,%(msecs)03.0f%(name)-17s%(levelname)-8s%(message)slog_granular_levels默认值：这可以更加具体的控制日志记录级别，更多详情Include 配置default_include默认值：master.d/*.confmaster可以从其他文件读取配置，默认情况下master将自动的将master.d/*.conf中的配置读取出来并应用，其中master.d目录是相对存在于主配置文件所在的目录include默认值：not definedmaster可以包含其他文件中的配置，要启用此功能，通过此参数定义路径或文件，此路径可以是相对的也可以是绝对的，相对的，会被看作相对于主配置文件所在的目录，路径中还可以使用类似于shell风格的通配符，如果没有文件匹配的路径传递给此选项，那么master将会在日志中记录一条警告的消息01.#Includefilesfromamaster.ddirectoryinthesame02.#directoryasthemasterconfigfile03.include:master.d/*04.05.#Includeasingleextrafileintotheconfiguration06.include:/etc/roles/webserver07.08.#Includeseveralfilesandthemaster.ddirectory09.include:10.-extra_config11.-master.d/*12.-/etc/roles/webserverSaltStack 入门到精通第三篇：Salt-Minion配置文件详解# 主要配置设置 #配置默认值说明例子default_includeminion.d/*.confmaster可以从其他文件读取配置，默认情况下master将自动的将master.d/*.conf中的配置读取出来并应用，其中master.d目录是相对存在于主配置文件所在的目录default_include: minion.d/*.confmastersaltmaster服务器的IDmaster : saltipv6Falseminion是否应该通过IPV6连接masteripv6 : Falseretry_dns30minion在解析master的ip失败后的重试等待时间，设置为0，则关闭重试retry_dns : 30userrootminion的运行用户，关系到minion执行命令的权限user : rootpidfile/var/run/salt-minion.pidminion的pid文件位置pidfile: /var/run/salt-minion.pidroot_dir/指定该目录为salt运行的根目录，改变它可以使salt从另外一个目录开始运行，好比chrootroot_dir: /pki_dir/etc/salt/pki/minion存储PIK信息的目录pki_dir: /etc/salt/pki/minionid不指定的话，salt通过socket.getfqdn()来获取主机的名称来作为标识，指定给ID，作为minion与master交互的身份标识id: 00append_domain指定一个主机名称或是一个域名，当socket.getfqdn()获取主机标识失败时候，可以用来作为替补IDappend_domain : 00grains使用sls文件给minion自定义静态的grain信息。grains相当于对minion特别信息的匹配对象组，例如例子里面的匹配粒子信息中roles值为webserber,memcache的minion# 注意sls文件是利用缩进两个空格来作为缩进标识grains: roles: - webserver - memcache deployment: datacenter4 cabinet: 13 cab_u: 14-15cachedir/var/cache/salt/minion这个目录是用来存放缓存信息，特别是salt工作执行的命令信息cachedir: /var/cache/salt/minionverify_envTrue启动时候对配置目录进行验证并设置权限verify_env: Truecache_jobsFalseminion会在本地缓存salt执行过的命令返回数据。可以减少命令执行时间，减低IO，但结果可能不会实时cache_jobs: Falsesock_dir/var/run/salt/minionminion socke保存目录sock_dir: /var/run/salt/minionoutputnested设置salt-call的默认输出方式，nested是使用默认设置的来输出output: nestedcolorTrue是否对输出结果进行颜色渲染color : Truebackup_modeminion当进行文件更新，修改，*操作时，备份文件的方式，minion是本地进行备份/etc/ssh/sshd_config:file.managed: - source: salt:/ssh/sshd_config - backup: minionacceptance_wait_time10等待master接受minion的认证时间acceptance_wait_time: 10acceptance_wait_time_max0断线重试次数，如果设置为0，无限次重试，如果大于0，则连接重试到该设置值acceptance_wait_time_max: 0random_reauth_delay60随机重认证间隔（秒），例如当master修改key时，所有的minion需要重新认证，这个时候容易产生syn风暴，设置该随机值，可以使minion分不同时间进行重新认证，避免该问题random_reauth_delay:60loop_interval60minion定时任务执行时间间隔loop_interval: 60dns_checkTrue确保原先的dns解析是正常的dns_check: Trueipc_modeipcwindows缺少IPC协议支持，而是使用更慢的TCP来作为内部进程交流的协议，在windows上需要设置为tcpipc_mode: ipctcp_pub_port4510当设置为tcp模式时候，该参数覆盖掉原先minon指定的tcp端口tcp_pub_port: 4510tcp_pull_port4511tcp_pull_port: 4511include/etc/salt/extra_config可以包含其他文件中的配置，要启用此功能，通过此参数定义路径或文件，此路径可以是相对的也可以是绝对的，相对的，会被看作相对于主配置文件所在的目录，路径中还可以使用类似于shell风格的通配符，如果没有文件匹配的路径传递给此选项，那么master将会在日志中记录一条警告的消息include: - /etc/salt/extra_config - /etc/roles/webserver# Minion 模块管理配置 #disable_modules限制允许执行的模块，对特别的权限可以进行设置，防止服务器重启等disable_modules: cmd,testmodule_dirs模块可以通过指定任意目录进行加载；指定一系列的外部目录用于搜索minion的模块以及returners。指定的路径必须给minion完全的操作权限module_dirs: returner_dirsreturner_dirs: states_dirsstates_dirs: render_dirsrender_dirs: providersminion的模块provider可以通过参数providers来进行特别指定providers: pkg: yumpkg5ython_enableFalse允许加载加密的模块ython_enable: False# State 管理设置 #rendereryaml_jinjastate配置文件支持下面的配置语法，通过执行该参数，告诉saltstatck解析state模板的语言方法# yaml_jinja# yaml_mako# yaml_wempy# json_jinja# json_mako# json_wempyrenderer: yaml_jinjafailhardFalse设置一个全局的failhard表示，当单个的状态执行失败后，将会通知所有的状态停止运行状态failhard: Falseautoload_dynamic_modulesTrue自动发现并加载master上的模块autoload_dynamic_modules: Trueclean_dynamic_modulesTrue如果发现master上的模块已经清除，则自动清楚对应的模块clean_dynamic_modules : TrueenvironmentNonemaster在运行states的时候，通常不会把minion分割出来给任意一个单独的环境，但在minion端，可以自行进行独立的环境设置environment:Nonestate_toptop.sls指定top.sls文件的位置state_top: top.slsstartup_states在minion daemon开始时执行states.# highstate - 执行 state.highstate# sls - 读取 sls_list 参数配置的路径下的sls文件列表并执行# top - 读取top_file参数设置的文件并执行master上面设置的sls配置startup_states: sls_list当startup_states配置为sls，该参数列出minion要运行的states文件sls_list: - edit.vim - hypertop_file当startup_states是top时，指定要执行的top文件top_file: # 文件目录设置 #file_clientremote设置minion的文件客户端，reomote，默认选项，minon会到master去查找文件；设置为local，则minion会在本地查找配置文件file_client: remotefile_rootsfile_roots: base: - /srv/salt设置文件客户端路径file_roots: base: - /srv/salt/ dev: - /srv/salt/dev/services - /srv/salt/dev/states prod: - /srv/salt/prod/services - /srv/salt/prod/statesfileserver_limit_traversalFalse设置saltstack查找state文件时候，仅遍历查找带sls后缀的文件或是带_modules后缀的目录fileserver_limit_traversal: Falsepillar_rootspillar_roots: base: - /srv/pillar当file_client设置为local时候，该参数制定pillar的搜索路径pillar_roots: base: - /srv/pillar# 安全设置 #open_modeFalseopen_mode是一个危险的安全特性，当master遇到pki认证系统，秘钥混淆和身份验证失效时，打开open_mode，mast