24.1 自动化运维介绍
24.2 saltstack安装
24.3 启动saltstack服务
24.4 saltstack配置认证
24.1 自动化运维介绍
认识自动化运维
传统运维效率低,大多工作人为完成
传统运维工作繁琐,容易出错
传统运维每日重复做相同的事情
传统运维没有标准化流程
传统运维的脚本繁多,不能方便管理
自动化运维就是要解决上面所有问题
常见自动化运维工具
1.Puppet (www.puppetlabs.com) #出现的比较早
基于rubby开发,c/s架构,支持多平台,可管理配置文件、用户、cron任务、软件包、系统服务等。 分为社区版(免费)和企业版(收费),企业版支持图形化配置。
2.Saltstack(官网 https://saltstack.com,文档docs.saltstack.com )
基于python开发,c/s架构,支持多平台,比puppet轻量,在远程执行命令时非常快捷,配置和使用比puppet容易,能实现puppet几乎所有的功能。
#使用的串行效率很快。而expect使用的并行(for循环,执行完一个在继续执行下一个,效率就会很慢)
#除了这种cs架构(服务端客户端),也支持只装一个命令的
#支持的机器会更多
3.Ansible (www.ansible.com )
更加简洁的自动化运维工具,不需要在客户端上安装agent,基于python开发。可以实现批量操作系统配置、批量程序的部署、批量运行命令。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
24.2 saltstack安装/24.3 启动saltstack服务
1.saltstack介绍https://docs.saltstack.com/en/latest/topics/index.html
2.可以使用salt-ssh远程执行,类似ansible,
3.也支持c/s模式,下面我们将讲述该种模式的使用,需要准备两台机器
~133.128为服务端(中控中心),133.130为客户端
~设置hostname以及hosts,aming-01,aming-02
#实际机器量很多的情况下,可以搞一个内部的dns(带域名的),类似什么A1.axinlinux.com、A2.axinlinux.com,所有的机器都是这种形式的。这样的话hosts就不用配置了,直接写一个dns ip就直接指导哪一个机器是谁。因为临时做实验所以写了个hosts
4.两台机器全部安装saltstack yum源
yum install -y https://repo.saltstack.com/yum/redhat/salt-repo-latest-2.el7.noarch.rpm #可根据以上的官方文档,安装更新的yum源
5.128上执行 yum install -y salt-master(哪个为中控中心就安装master) salt-minion
6.130上执行 yum install -y salt-minion
7.128上编辑配置文件(服务端master)
vi /etc/salt/minion //增加
master: aming-01
启动服务systemctl start salt-master; systemctl start salt-minion
8.130上编辑配置文件(客户端minion)
vi /etc/salt/minion //增加
master: aming-01
启动服务systemctl start salt-minion
服务端监听4505和4506两个端口,4505为消息发布的端口,4506为和客户端通信的端口
实例:
01为服务端,02为客户端
[root@axinlinux-01 ~]# hostname
axinlinux-01
[root@axinlinux-01 ~]# vim /etc/hosts
192.168.208.128 axinlinux-01
192.168.208.130 axinlinux-02
[root@axinlinux-02 ~]# hostname
axinlinux-02
[root@axinlinux-02 ~]# vim /etc/hosts
192.168.208.128 axinlinux-01
192.168.208.130 axinlinux-02
[root@axinlinux-01 ~]# yum install -y https://repo.saltstack.com/yum/redhat/salt-repo-latest-2.el7.noarch.rpm
[root@axinlinux-02 ~]# yum install -y https://repo.saltstack.com/yum/redhat/salt-repo-latest-2.el7.noarch.rpm
[root@axinlinux-01 ~]# yum list |grep salt #可看到很多刚才执行yum时所产生的rpm包,01上需要安装的是:
salt-master.noarch 2018.3.3-1.el7 salt-latest #这两个是01要安装的,其他的暂不接触
salt-minion.noarch 2018.3.3-1.el7 salt-latest
salt-ssh.noarch 2018.3.3-1.el7 salt-latest #ssh这个后续我们再讲
[root@axinlinux-01 ~]# yum install -y salt-master salt-minion
[root@axinlinux-02 ~]# yum install -y salt-minion
[root@axinlinux-01 ~]# vim /etc/salt/minion
master: axinlinux-01 #改为master为hosts设置的01机器的主机名
[root@axinlinux-02 ~]# vim /etc/salt/minion
master: axinlinux-01 #客户端也要改
[root@axinlinux-02 ~]# systemctl start salt-minion #先启动客户机的minoon
[root@axinlinux-02 ~]# ps aux |grep salt
[root@axinlinux-02 ~]# netstat -lntp #虽然minion是跟master通过tcp/ip通信,但是minion不监听任何端口。master才会监听端口
[root@axinlinux-01 ~]# systemctl start salt-master
[root@axinlinux-01 ~]# systemctl start salt-minion
[root@axinlinux-01 ~]# ps aux |grep salt
[root@axinlinux-01 ~]# netstat -lntp #master监听两个端口
tcp 0 0 0.0.0.0:4505 0.0.0.0:* LISTEN 2906/python #4505来发送消息
tcp 0 0 0.0.0.0:4506 0.0.0.0:* LISTEN 2912/python #master和minion用来通信的
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
24.4 saltstack配置认证
1.master端和minion端通信需要建立一个安全通道,传输过程需要加密,所以得配置认证,也是通过密钥对来加密解密的
#也就是一个密钥对,之后才可以去传输数据
2.minion在第一次启动时会在/etc/salt/pki/minion/下生成minion.pem和minion.pub,其中.pub为公钥,它会把公钥传输给master
3.master第一次启动时也会在/etc/salt/pki/master下生成密钥对,当master接收到minion传过来的公钥后,通过salt-key工具接受这个公钥,一旦接受后就会在/etc/salt/pki/master/minions/目录里存放刚刚接受的公钥,同时客户端也会接受master传过去的公钥,把它放在/etc/salt/pki/minion目录下,并命名为minion_master.pub
4.以上过程需要借助salt-key工具来实现
5.执行如下命令 salt-key -a aming-01// -a后面跟主机名,可以认证指定主机
6.salt-key -a aming-02
salt-key命令用法
-a 后面跟主机名,认证指定主机
-A 认证所有主机 #后面什么后不用跟
-r 跟主机名,拒绝指定主机
-R 拒绝所有主机
-d 跟主机名,删除指定主机认证
-D 删除全部主机认证
-y 省略掉交互,相当于直接按了y
实例:
[root@axinlinux-01 ~]# ls /etc/salt/pki/master/
master.pem master.pub minions minions_autosign minions_denied minions_pre minions_rejected
[root@axinlinux-01 ~]# salt-key -a axinlinux-02 #如果直接是-A可以将所有的机器全部认证
The following keys are going to be accepted:
Unaccepted Keys:
axinlinux-02
Proceed? [n/Y] y #按y
Key for minion axinlinux-02 accepted.
[root@axinlinux-01 ~]# salt-key #然后再次输入salt-key
Accepted Keys: #已经通过的,也就是已经接受了02的公钥
axinlinux-02
Denied Keys: #被拒绝的
Unaccepted Keys: #默认的,也就是机器里能识别到的
axinlinux-01
Rejected Keys:
[root@axinlinux-01 ~]# cat /etc/salt/pki/master/minions/axinlinux-02 #所以在这就有了02的公钥(这个文件就是客户机上minion.pub)
[root@axinlinux-02 ~]# cat /etc/salt/pki/minion/minion.pub #cat02的公钥看是不是跟01接收到的公钥一致
[root@axinlinux-01 ~]# salt-key -A #直接-A(也就是将本机也认证)
The following keys are going to be accepted:
Unaccepted Keys:
axinlinux-01
Proceed? [n/Y] y
Key for minion axinlinux-01 accepted.
[root@axinlinux-01 ~]# salt-key #才看一下,就已经全部通过了
Accepted Keys:
axinlinux-01
axinlinux-02
Denied Keys:
Unaccepted Keys:
Rejected Keys:
来源:oschina
链接:https://my.oschina.net/u/3866149/blog/3030846