官方指南
https://docs.saltstack.com/en/2016.11/topics/installation/rhel.html#installation-rhel-repo
要求
版本 20150510
安装方式
yum 安装
- 设置阿里yum源
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
- 安装epel
yum install -y epel-release
- 安装指定salt的版本
yum install -y salt-minion-2015.5.10-2.el7.noarch
关于版本查找,请搜阿里源
https://opsx.alibaba.com/mirror?lang=zh-cn
手动安装
salt 官网下载 20150510的客户端包
修改salt配置
vi /etc/salt/minion
master: 192.168.6.23 # master ip
id: 192.168.6.24 #客户端ip
root_dir: /
pki_dir: /etc/salt/pki/minion
ipc_mode: ipc
multiprocessing: False
启动salt-minion
systemctl start salt-minion
RHEL/CentOS下安装SaltStack
对于Centos和RedHat用户,使用yum安装时最直接和快捷的。首先需要安装EPEL仓库。
yum -y install epel-release
Salt Master安装
[root@master ~]#yum install -y salt-master python-setproctitle
Salt Master启动
[root@master ~]#/etc/init.d/salt-master start
或
[root@master ~]#systemctl start salt-master
Salt Master加入开机启动
[root@master ~]# chkconfig salt-master on
或
[root@master ~]# systemctl enable salt-master
Salt Minion安装
[root@minion ~]#yum install -y salt-minion
Salt Minion 启动
[root@minion ~]#/etc/init.d/salt-minion start
或
[root@minion ~]#systemctl start salt-minion
Salt Minion 加入开机启动
[root@minion ~]#chkconfig salt-minion on
或
[root@minion ~]#systemctl enable salt-minion
服务端日志
[root@master ~]# tail -f /var/log/salt/master
客户端日志:
[root@minion ~]# tail -f /var/log/salt/minion
Ubuntu下安装SaltStack
添加salt仓库
sudo add-apt-repository ppa:saltstack/salt
sudo apt-get update
安装master
sudo apt-get install salt-master
安装minion
sudo apt-get install salt-minion
Salt配置文件
Salt Master配置
Master端的配置是修改/etc/salt下master配置文件。以下是Master端常用的配置。
interface: 指定bind 的地址(默认为0.0.0.0)
publish_port: 指定发布端⼝(默认为4505)
ret_port: 指定结果返回端⼝, 与minion配置⽂件中的master_port对应(默认为4506)
user: 指定master 进程的运⾏⽤户, 如果调整, 则需要调整部分目录的权限(默认为root)
timeout: 指定timeout时间, 如果minion规模庞⼤或⺴络状况不好,建议增⼤该值(默认5s)
keep_jobs: 默认情况下, minion 会执⾏结果会返回master, master会缓存到本地的cachedir ⺫录, 该参数指定缓存多⻓时间, 以供查看之前的执⾏结果, 会占⽤磁盘空间(默认为24h)
job_cache: master 是否缓存执⾏结果, 如果规模庞⼤(超过5000台), 建议使⽤其他⽅式来存储jobs, 关闭本选项(默认为True)
file_recv : 是否允许minion传送⽂件到master 上(默认是Flase)
file_roots: 指定file server⺫录, 默认为:
file_roots:
base:
- /srv/salt
pillar_roots : 指定pillar ⺫录, 默认为:
pillar_roots:
base:
- /srv/pillar
log_level: 执⾏⽇志级别, ⽀持的⽇志级别有'garbage', 'trace', 'debug', info', 'warning', 'error', ‘critical ’ ( 默认为’warning’)
Salt Minion配置
Minion端配置非常简单,一般只需要修改两个配置即可。
[root@minion ~]# vim /etc/salt/minion
master: 192.168.56.111 (修改master为master的IP地址)
id: (客户端的id。默认不设置会取客户端的FQDN主机名)
Minion常用配置
master: 指定master 主机(默认为salt)
master_port: 指定认证和执⾏结果发送到master 的哪个端⼝, 与master 配置⽂件中的ret_port 对应(默认
为4506)
id: 指定本minion的标识. salt内部使⽤id 作为标识(默认为主机名)
user: 指定运⾏minion的⽤户. 由于安装包,启动服务等操作需要特权⽤户, 推荐使⽤root( 默认为root)
cache_jobs : minion 是否缓存执⾏结果(默认为False)
backup_mode: 在⽂件操作(file.managed 或file.recurse) 时, 如果⽂件发⽣变更,指定备份⺫标. 当前有效
的值为minion, 备份在cachedir/file_backups⺫录下, 以原始⽂件名称加时间戳来命名(默认为Disabled)
providers : 指定模块对应的providers, 如在RHEL系列中, pkg对应的providers 是yumpkg5
renderer: 指定配置管理系统中的渲染器(默认值为:yaml_jinja )
file_client : 指定file clinet 默认去哪⾥(remote 或local) 寻找⽂件(默认值为remote)
loglevel: 指定⽇志级别(默认为warning)
tcp_keepalive : minion 是否与master 保持keepalive 检查, zeromq3 以下版本存在keepalive bug,会导致某些情况下连接异常后minion⽆法重连master. 建议有条件的话升级到zeromq 3以上版本(默认为True)
SaltStack认证
Salt的数据传输是通过AES加密的,Master和Minion之间在通信之前,需要进行认证。通过认证的方式保证安全性,完成一次认证后,Master就可以自由的控制Minion来完成各项工作了。了解了认证的详细有助于我们在日常管理中管理Minion,已经及时处理问题。
- minion在第一次启动时,会在/etc/salt/pki/minion/(该路径在/etc/salt/minion里面设置)下自动生成minion.pem(private key)和minion.pub(public key),然后将minion.pub发送给master。
- master在第一次启动时,会在
/etc/salt/pki/master
下自动生成master.pem
和master.pub
。在接收到minion的public key后,通过salt-key命令accept minion public key
,这样在master的/etc/salt/pki/master/minions
下的将会存放以minion id命名的public key, 客户端会保存一份master的public key,在/etc/salt/pki/minion_master.pub
- 通过两个步骤的验证,master就能对minion发送指令了。
Master端Key认证
在上面一个小节已经提到了Master与Minion的认证方式,只有Master接受了Minion的Key后,才能进行管理。具体的认证命令为salt-key,常用的有如下命令。
-a ACCEPT, --accept=ACCEPT Accept the following key
-A, --accept-all Accept all pending keys
-r REJECT, --reject=REJECT Reject the specified public key
-R, --reject-all Reject all pending keys
-d DELETE, --delete=DELETE Delete the named key
-D, --delete-all Delete all keys
例:查看需要认证的Minion:
[root@master ~]# salt-key
Accepted Keys:
Unaccepted Keys:
minion.example.com
Rejected Keys:
认证Minion:
[root@master ~]# salt-key --accept=*
The following keys are going to be accepted:
Unaccepted Keys:
minion.example.com
Proceed? [n/Y] Y
Key for minion minion.example.com accepted.
网友评论