SaltStack的key认证过程

SaltStack

SaltStack是一个基于Python开发的一套CS架构的配置管理工具,短时间部署运行,秒级数据传递,高速批量部署。在日常应用过程中我们可以使用Salt来进行配置管理。然而salt的功能并不仅仅如此,Salt还提供Rest API方便与其他平台进行集成,在各个领域发挥重要作用。

SaltStack常用网站

SaltStack三大功能

  • 远程执行(比如同时操作100台机器)
  • 配置管理(状态,但是状态很难回滚)
  • 云管理(SaltCloud,比如管理阿里云,aws)

其他的自动化软件比如Puppet + func ruby,ansible python

SaltStack的四种运行方式:

  • local
  • Minion(client)/Master(Server),可以理解一个C/S架构,minion(仆人)
  • Syndic - 类似zabbix proxy(分块进行管理)
  • Salt SSH(不用装Agent也能收集)

SaltStack的安装

Salt的官方提供了下载源,这里我们可以根据我们的需求选取多种途径,比如windows,Linux(各种发行版本)。Salt的安装有多种方式,可以使用yum安装,也可以使用pip工具进行安装亦或是使用源码进行编译安装,但是并不建议这么做,因为SaltStack有很多的软件依赖,源码编译很容易出现很多意想不到的问题。

SaltStack的repo仓库

软件部署

在192.168.56.11和192.168.56.12上都更新salt的仓库。

yum install https://repo.saltstack.com/yum/redhat/salt-repo-latest-1.el7.noarch.rpm 

将192.168.56.11作为master,将192.168.56.12作为minion

192.168.56.11
yum -y install salt-master salt-minion
192.168.56.12
yum -y install salt-minion

启动Salt的master

systemctl start salt-master

修改配置文件(minion要知道master是谁啊):

192.168.56.11(master+minion)
[root@cobbler-node1 ~]# vim /etc/salt/minion
16行 master: 192.168.56.11(最佳实践是写主机名,前提是内网有DNS解析)
103行 #id:
这个id我们可以不改,这个是saltstack中的一个设备的标识符,不改它的话默认
会以hostname的值为id,主机名的全称。FQDN名称

修改完上述的master以后,然后在192.168.56.12(minion)上同样修改minion配置文件。操作和master的一样,修改完成以后在两台设备上启动minion

systemctl start salt-minion

启动minion后我们会在/etc/salt下发现多了个minion_id

[root@cobbler-node1 ~]# cat /etc/salt/minion_id 
cobbler-node1
#通过cat查看发现这里面内容就是我们的hostname

这个文件一般情况下不要去修改,因为minion启动的时候会默认先读取这个文件,如果这个文件有的话它就直接读入了,你改的不会生效的,如果你真的要改的话记住先把这个id文件删掉

minion_id的设置可以使用hostname或者使用ip地址。设置主机名的时候不要有下划线,因为主机名要解析,DNS解析的话主机名是不能有下划线的。

minion端配置完毕以后要重启

systemctl restart salt-minion

Master和Minion的认证

master和minion要通过认证之后才能被正确的识别,就好像你要找一个主人给人家干活,你也得经过人家的同意啊。(认证采用RSA key方式确认身份,传输采用AES加密算法)

minion目录在第一次启动的时候会在/etc/salt下新建一个pki目录

[root@zabbix-agent salt]# tree pki           
pki
└── minion
    ├── minion.pem
    └── minion.pub

其中:

  • minion.pem 私钥
  • minion.pub 公钥

要进行认证,minion会把自己的公钥发给master,然后我们现在启动master服务

systemctl start salt-master

查看一下master的目录发现也多了一个pki的目录,其中存放着minion传过来的公钥。

[root@zabbix-server salt]# pwd
/etc/salt
[root@zabbix-server salt]# tree ./pki
./pki
├── master
│   ├── master.pem       ##master的私钥
│   ├── master.pub       ##master的公钥
│   ├── minions
│   ├── minions_autosign
│   ├── minions_denied
│   ├── minions_pre          ##minion发过来的公钥放在pre目录下,目前还没有被master管理
│   │   ├── zabbix-agent    ##文件名是使用ID来做为名称的,所以生成的id是不能改的。
│   │   └── zabbix-server
│   └── minions_rejected
└── minion
    ├── minion.pem
    └── minion.pub

这个时候只是minion知道我master了,然后把公钥发过来了,但是master还没进行认证。master认证的话需要执行如下的命令:

[root@zabbix-server salt]# salt-key
Accepted Keys:
Denied Keys:
Unaccepted Keys:
zabbix-agent
zabbix-server
Rejected Keys:
当前没有接受的key,未接受的有两个,拒绝的没有


[root@zabbix-server salt]# salt-key -a zabbix-agent
The following keys are going to be accepted:
Unaccepted Keys:
zabbix-agent
Proceed? [n/Y] y
Key for minion zabbix-agent accepted.
我们可以使用-a参数加上minion_id的形式添加key。


[root@zabbix-server salt]# salt-key -a zabbix-*
The following keys are going to be accepted:
Unaccepted Keys:
zabbix-server
Proceed? [n/Y] y
Key for minion zabbix-server accepted.
同样我们还可以使用通配符的形式


[root@zabbix-server salt]# salt-key
Accepted Keys:
zabbix-agent
zabbix-server
Denied Keys:
Unaccepted Keys:
Rejected Keys:
然后我们再查看key的接受情况。

接下来查看一下salt-key的帮助参数:

-l                     显示指定状态的key,支持正则表达式
-L,--list-all          显示所有公钥
-a,ACCEPT              接受指定等待认证的key,支持正则
-A,--accept-all        接受所有等待认证的key
-r REJECT              拒绝等待认证的key,支持正则
-R REJECT-all          拒绝所有等待认证的key
--include-all          显示所有状态的key,包括non-pending状态
-p PRINT               打印指定的公钥,-P打印所有的公钥
-d DELETE              删除指定的key
-D --delete-all        删除所有的key
-f FINGER              显示指定key的指纹信息
-F --finger-all        显示所有key的指定信息

当我们接受完公钥以后我们来再来查看一下:

[root@zabbix-server ~]# tree /etc/salt/pki/
/etc/salt/pki/
├── master
│   ├── master.pem
│   ├── master.pub
│   ├── minions
│   │   ├── zabbix-agent
│   │   └── zabbix-server
│   ├── minions_autosign
│   ├── minions_denied
│   ├── minions_pre
│   └── minions_rejected
└── minion
    ├── minion_master.pub
    ├── minion.pem
    └── minion.pub

7 directories, 7 files

可以发现被认证的key从pre移动到了minions文件夹中。同时minion端:

[root@zabbix-agent ~]# tree /etc/salt/pki
/etc/salt/pki
└── minion
    ├── minion_master.pub
    ├── minion.pem
    └── minion.pub

1 directory, 3 files

minion端也收到了master端发来的公钥,名称做了一下修改,我们可以通过md5来确认一下是不是同一个文件:

[root@zabbix-server ~]# md5sum /etc/salt/pki/master/master.pub
24ca638333e27cfead75343d9b761ee4  /etc/salt/pki/master/master.pub
[root@zabbix-agent ~]# md5sum /etc/salt/pki/minion/minion_master.pub 
24ca638333e27cfead75343d9b761ee4  /etc/salt/pki/minion/minion_master.pub

远程执行测试

[root@zabbix-server salt]# salt "zabbix-agent" test.ping
zabbix-agent:
    True
[root@zabbix-server salt]# salt "zabbix-*" test.ping     
zabbix-agent:
    True
zabbix-server:
    True

*表示所有,因为*在shell本地也是有含义的因此我们用引号引起来,不让他在shell中体现它的含义。
test.ping,其中test是一个模块,而ping是test模块中的一个方法
这条命令的意思是检测minion是否在干活,这个ping和ICMP的ping不一样,不要搞混了。

[root@zabbix-server salt]# salt "zabbix-agent" cmd.run 'w'
zabbix-agent:
     16:39:41 up 10:34,  1 user,  load average: 0.16, 0.06, 0.06
    USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
    root     pts/1    192.168.56.1     09:22   29:33  51.41s  0.49s -bash

cmd是模块,run是cmd模块的方法

cmd命令很好用,但是同时也很危险,因为能直接执行命令意味着就可以删除。后面会说到ACL允许特定的人才能执行

以上便是SaltStack的简单介绍和安装。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,992评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,212评论 3 388
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,535评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,197评论 1 287
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,310评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,383评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,409评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,191评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,621评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,910评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,084评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,763评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,403评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,083评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,318评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,946评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,967评论 2 351

推荐阅读更多精彩内容