saltstack(二):saltstack安装及配置

saltstack(二):saltstack安装及配置

1.1  python环境

[admin@pe-db ~]$ python -V
Python 2.7.5
[admin@pe-db ~]$

1.2  添加epel源

yum install epel-release -y

1.3 服务端安装

yum install salt-master  -y

1.4  客户端安装

yum install minion -y

1.5  启动服务端

sudo systemctl start salt-master sudo systemctl enable salt-master ps -ef | grep salt-master|grep –v grep

 

1.6 客户端修改master地址并启动

sudo sed -i "s#\#master: salt#master: 10.6.76.27#g"  /etc/salt/minion
sudo systemctl start salt-minion 
sudo systemctl enable salt-minion
ps -ef | grep salt-minion|grep -v grep

1.7 配置认证salt-key

saltstack通过/etc/salt/pki/目录下面的配置文件的密钥进行通信,master端接受minion端后,会在/etc/salt/pki/minion/保存minion端的pub key,同时master端会将自己的公钥传输到minion端的目录/etc/salt/pki/minion/中。

  #查看minion
  salt-key -L
  #会列如下信息
  [root@localhost ~]# salt-key #省略-L也行。
  Accepted Keys:
  Denied Keys:
  Unaccepted Keys:
  web137
  Rejected Keys:
  #接受minion
  salt-key -a web137 -y # -a 后面指定要接受的id名称
  或者
  salt-key -A # -A表示接受所有,同理,可以使用 -d ,-D拒绝掉。
  #再次查看
  [root@localhost ~]# salt-key -L
  Accepted Keys:
  web137
  Denied Keys:
  Unaccepted Keys:
  Rejected Keys:

使用 salt-key 命令查看到已经签名的客户端。在客户端的 /etc/salt/pki/minion 目录下面会多出一个minion_master.pub 文件

签名之后master也把管理的minion从pre放到了minion里

测试联通test.ping

如果出现salt '*' test.ping出错Minion did not return. [Not connected]

解决这种错误,需要删除minion端的key,重新认证。

# rm -rf /etc/salt/pki/minion/minion_master.pub

# service restart salt-minion  //重启minion端

1.8  端口

a) master使用两个端口和minion通信,要确保这两个端口通信正常。

  • 4505 publish_port 消息发布系统端口
  • 4506 ret_port 客户端与服务端通信端口

可以关闭掉防火墙,或者将端口添加至INPUT链表。

#iptables链表规则是自上而下,这里插入在REJECT ALL之前。  
iptables -I INPUT 5 -p tcp --dport 4505 -j ACCEPT -m comment --comment "salt_publish_port"
iptables -I INPUT 5 -p tcp --dport 4506 -j ACCEPT -m comment --comment "salt_ret_port"

 

1.9 普通用户使用saltstack

我们是不允许使用root用户的

开启对系统上非root的系统用户在master上可以执行特殊的模块。这些模块名可以使用正则表达式来表示,不能指定对哪些minion执行命令。执行命令只需要切换到具体的用户即可

不需要认证。我把我们业务用户admin添加权限

client_acl:
  admin:
    - test.ping
    - cmd.*
#配置解释:admin用户只能执行test.ping 和cmd模块的命令
#重启salt-master服务
sudo systemctl restart  salt-master
sudo chmod 777 /var/log/salt/master

1.10  修改minion_ID

1、停止minion服务

2、salt-key –d minion_id 删除minion ID

3、minion端rm –f  /etc/salt/minion_id

4、minion端 rm –rf  /etc/salt/pki/

5、修改配置文件id

6、启动minion

 

posted on 2019-05-31 09:31  光阴8023  阅读(918)  评论(0编辑  收藏  举报

Powered by: 博客园 Copyright © 2024 光阴8023
Powered by .NET 9.0 on Kubernetes