1.salt-ssh介绍
salt-ssh可以让我们不需要在受控机上安装salt-minion客户端也能够实现管理操作。
salt-ssh的特点
- 远程系统需要Python支持,除非使用-r选项发送原始ssh命令
- salt-ssh是一个软件包,需安装之后才能使用,命令本身也是salt-ssh
- salt-ssh不会取代标准的Salt通信系统,它只是提供了一个基于SSH的替代方案,不需要ZeroMQ和agent
salt-ssh远程管理的方式
salt-ssh有两种方式实现远程管理,一种是在配置文件中记录所有客户端的信息,诸如 IP 地址、端口号、用户名、密码以及是否支持sudo等;另一种是使用密钥实现远程管理,不需要输入密码。
salt-ssh管理
注意通过salt-ssh来管理不需要安装minion端
若没有salt源需要去官网下载salt的源
下载地址
在 master 上安装 salt-ssh
[root@master ~]# yum -y install salt-ssh
通过使用用户名密码的SSH实现远程管理
// 修改配置文件,添加受控机信息
[root@master ~]# vim /etc/salt/roster // 此文件也是遵循yaml文件的格式
[root@master ~]# tail -4 /etc/salt/roster //在文件的最后一行添加下面的内容
node1:
host: 192.168.182.142 //要控制主机的IP
user: root //哪个用户
passwd: 1 //密码
//若有多台主机可以使用以下方法
[root@master ~]# cat host.info //编写一个主机清单
1 192.168.182.142
2 192.168.182.143
3 192.168.182.131
[root@master ~]# cat test.sh //将主机清单中的内容追加其中
#!/bin/bash
while read line;do
cat >> /etc/salt/roster << EOF
node$(echo $line | awk '{print $1}'):
host: $(echo $line | awk '{print $2}')
user: root
passwd: 1
EOF
done < host.info
测试连通性
[root@master ~]# salt-ssh -r node1 ls //可以通过命令的方式到对端执行。
node1:
----------
retcode:
0
stderr:
stdout:
root@192.168.182.142's password:
anaconda-ks.cfg
[root@master ~]# salt-ssh -r node1 "yum -y install python3" //安装python3后就可以不用使用-r命令,并且可以使用模块进行操作
node1:
----------
retcode:
0
stderr:
stdout:
root@192.168.182.142's password:
Updating Subscription Management repositories.
Unable to read consumer identity
此处省略N行
[root@master ~]# salt-ssh node1 test.ping
node1:
True
若出现下面的情况可以使用此方法
[root@master ~]# vim ~/.ssh/config
StrictHostKeyChecking no //加入此行内容,可以跳过主机验证
原因是第一次连接时系统需要我们进行主机验证。
ECDSA key fingerprint is SHA256:Nz8CAwwL3HRh/Lvqejqa+eiV3A09xGYYfG2A/W8wRPs.
ECDSA key fingerprint is MD5:8c:b3:22:14:7a:8a:bc:34:f9:9d:3c:3a:07:8a:96:20.
Are you sure you want to continue connecting (yes/no)?
也可以使用免密的登录的方式进行连接
上面的方法容易导致密码泄露,这样会造成不必要的麻烦
[root@master salt]# ssh-keygen -t rsa //一路回车即可
[root@master salt]# ssh-copy-id root@192.168.182.142 //写对端主机的IP。
在主机清单中添加对应的IP和主机名
[root@master files]# tail -1 /etc/hosts
192.168.182.142 node1
测试
[root@master salt]# salt-ssh node1 test.ping //第一次连接时会让你输入密码进行验证,此后就不需要密码
Permission denied for host node1, do you want to deploy the salt-ssh key? (password required):
[Y/n] Y
Password for root@node1:
[root@master salt]# ssh root@192.168.182.142 'hostname'
localhost.localdomain
[root@master salt]# salt-ssh node1 test.ping
node1:
True
通过salt-ssh初始化系统安装salt-minion
首先给对端提供安装salt-minion所需要的源
[root@master files]# pwd
/srv/salt/base/init/yum/files
[root@master files]# ls
centos-7.repo centos-8.repo epel-7.repo epel-8.repo salt-7.repo salt-8.repo
[root@master yum]# cat main.sls
{% if grains['os'] == 'RedHat' %}
/etc/yum.repos.d/centos-{{ grains['osmajorrelease'] }}.repo:
file.managed:
- source: salt://init/yum/files/centos-{{ grains['osmajorrelease'] }}.repo
- user: root
- group: root
- mode: 644
{% endif %}
/etc/yum.repos.d/epel-{{ grains['osmajorrelease'] }}.repo:
file.managed:
- source: salt://init/yum/files/epel-{{ grains['osmajorrelease'] }}.repo
- user: root
- group: root
- mode: 644
/etc/yum.repos.d/salt-{{ grains['osmajorrelease'] }}.repo:
file.managed:
- source: salt://init/yum/files/salt-{{ grains['osmajorrelease'] }}.repo
- user: root
- group: root
- mode: 644
执行此状态文件为对端提供安装所需要的源
[root@master ~]# salt-ssh node1 state.sls init.yum.main //如果你不在base环境下需要加上saltenv=你所在的环境
node1:
----------
ID: /etc/yum.repos.d/centos-8.repo
Function: file.managed
Result: True
Comment: File /etc/yum.repos.d/centos-8.repo updated
Started: 19:08:59.036584
Duration: 227.261 ms
Changes:
----------
diff:
New file
mode:
0644
此处省略N行
执行时会报错epel8的源没有key值验证需要我们进行修改
[root@master files]# pwd
/srv/salt/base/init/yum/files
[root@master files]# head epel-8.repo
[epel]
name=Extra Packages for Enterprise Linux $releasever - $basearch
# It is much more secure to use the metalink, but if you wish to use a local mirror
# place it's address here.
baseurl=https://mirrors.aliyun.com/epel/$releasever/Everything/$basearch
#metalink=https://mirrors.fedoraproject.org/metalink?repo=epel-$releasever&arch=$basearch&infra=$infra&content=$contentdir
enabled=1
gpgcheck=1
countme=1
gpgkey=https://mirrors.aliyun.com/epel/RPM-GPG-KEY-EPEL-8
安装salt-minion
[root@master salt-minion]# cat main.sls
include:
- init.yum.main
salt-minion:
pkg.installed
/etc/salt/minion:
file.managed:
- source: salt://init/salt-minion/files/minion.j2
- user: root
- group: root
- mode: 644
- templte: jinja
- require:
- pkg: salt-minion
salt-minion.service:
service.running:
- enable: true
[root@master salt-minion]# salt-ssh node1 state.sls init.salt-minion.main
验证
// 到对端验证
[root@localhost salt]# pwd
/etc/salt
[root@localhost salt]# ls
cloud cloud.deploy.d cloud.profiles.d master minion pki proxy.d
cloud.conf.d cloud.maps.d cloud.providers.d master.d minion.d proxy roster
在主控端查看key值
[root@master files]# salt-key -L
Accepted Keys:
node2
node3
node4
Denied Keys:
master
Unaccepted Keys:
192.168.182.142
master
Rejected Keys:
[root@master salt-minion]# salt-key -ya 192.168.182.142 //接受key值
The following keys are going to be accepted:
Unaccepted Keys:
192.168.182.142
[root@master salt-minion]# salt 192.168.182.142 test.ping
192.168.182.142:
True
