SaltStack:用于快速自动化配置管理
2025/8/31大约 6 分钟
第8章:SaltStack:用于快速自动化配置管理
SaltStack作为新一代的自动化配置管理工具,以其独特的架构设计和卓越的性能表现,在现代IT运维领域占据重要地位。自2011年由Thomas Hatch创建以来,SaltStack凭借其快速的执行速度、灵活的架构和强大的远程执行能力,成为众多企业实现基础设施自动化的首选工具之一。
SaltStack概述
SaltStack采用客户端-服务器架构,通过ZeroMQ消息队列实现高速通信,支持大规模并行执行。它使用YAML格式的状态文件(States)来描述系统的期望状态,并通过强大的远程执行引擎(Remote Execution)实现即时命令执行。
核心特性
1. 高速执行引擎
SaltStack使用ZeroMQ作为通信层,实现了毫秒级的命令执行速度:
# SaltStack高速执行示例
# 执行命令
salt '*' cmd.run 'uptime'
# 并行执行
salt -b 10 '*' pkg.install nginx
# 异步执行
salt '*' cmd.run 'long_running_command' async=True2. 灵活的架构设计
SaltStack支持多种部署模式,适应不同的使用场景:
# SaltStack架构模式
## 1. Master-Minion模式
[Master] <---> [Minion 1]
[Master] <---> [Minion 2]
[Master] <---> [Minion 3]
## 2. Syndic模式(多层级)
[Master] <---> [Syndic Master] <---> [Minion Group 1]
[Master] <---> [Syndic Master] <---> [Minion Group 2]
## 3. Masterless模式(独立运行)
[Minion Only] (无需Master)3. 声明式状态管理
SaltStack使用YAML格式的状态文件描述系统配置:
# SaltStack状态文件示例
# /srv/salt/webserver/init.sls
nginx:
pkg.installed: []
service.running:
- enable: True
- require:
- pkg: nginx
/etc/nginx/nginx.conf:
file.managed:
- source: salt://webserver/nginx.conf
- user: root
- group: root
- mode: 644
- require:
- pkg: nginx
- watch_in:
- service: nginx架构组件
SaltStack的架构设计考虑了大规模部署的需求,主要包括以下组件:
1. Salt Master
Salt Master是SaltStack架构的核心,负责管理Minion节点和分发命令:
# Salt Master配置示例
# /etc/salt/master
interface: 0.0.0.0
publish_port: 4505
ret_port: 4506
# 文件服务器配置
file_roots:
base:
- /srv/salt
# Pillar数据配置
pillar_roots:
base:
- /srv/pillar
# 工作进程数
worker_threads: 10
# 超时设置
timeout: 152. Salt Minion
Salt Minion运行在被管理节点上,接收并执行来自Master的命令:
# Salt Minion配置示例
# /etc/salt/minion
master: salt.example.com
id: web01.example.com
# Minion ID
grains:
role: web_server
datacenter: us-east-1
# 安全设置
master_finger: 'abc123...'
# 执行模式
startup_states: highstate3. Salt Syndic
Salt Syndic用于构建多层级的SaltStack架构,支持大规模部署:
# Salt Syndic配置示例
# /etc/salt/master
order_masters: True
# /etc/salt/syndic
syndic_master: master.example.comSaltStack的核心概念
1. States(状态)
States是SaltStack中描述系统期望状态的基本单位:
# 常用States示例
# 包管理
apache2:
pkg.installed: []
# 服务管理
apache2:
service.running:
- enable: True
- reload: True
- watch:
- file: /etc/apache2/apache2.conf
# 文件管理
/etc/apache2/apache2.conf:
file.managed:
- source: salt://apache/apache2.conf
- user: root
- group: root
- mode: 644
# 用户管理
deploy_user:
user.present:
- name: deploy
- uid: 2000
- gid: 2000
- home: /home/deploy
- shell: /bin/bash
# 组管理
webapps_group:
group.present:
- name: webapps
- gid: 30002. Formulas(公式)
Formulas是SaltStack的模块化配置单元,类似于其他工具的模块:
# Formula结构示例
apache-formula/
├── apache/
│ ├── init.sls # 主状态文件
│ ├── config.sls # 配置状态文件
│ ├── install.sls # 安装状态文件
│ └── files/
│ └── apache2.conf # 配置文件模板
├── pillar.example # Pillar配置示例
└── README.rst # 说明文档# apache/init.sls
include:
- apache.install
- apache.config
# apache/install.sls
apache2:
pkg.installed: []
# apache/config.sls
/etc/apache2/apache2.conf:
file.managed:
- source: salt://apache/files/apache2.conf
- user: root
- group: root
- mode: 644
- require:
- pkg: apache23. Pillar(支柱)
Pillar是SaltStack的数据管理机制,用于存储敏感或特定于节点的数据:
# Pillar数据示例
# /srv/pillar/top.sls
base:
'*':
- common
'web*':
- webserver
'db*':
- database
# /srv/pillar/common.sls
ntp:
servers:
- 0.pool.ntp.org
- 1.pool.ntp.org
# /srv/pillar/webserver.sls
apache:
port: 80
ssl_enabled: False
document_root: /var/www/html
# /srv/pillar/database.sls
mysql:
root_password: 'encrypted_password'
bind_address: 0.0.0.04. Grains(颗粒)
Grains是SaltStack中关于Minion节点的静态信息:
# Grains信息示例
grains_info = {
"os": "Ubuntu",
"os_family": "Debian",
"oscodename": "focal",
"osfullname": "Ubuntu",
"osrelease": "20.04",
"kernel": "Linux",
"kernelrelease": "5.4.0-42-generic",
"cpuarch": "x86_64",
"num_cpus": 4,
"mem_total": 8192,
"fqdn": "web01.example.com",
"ip4_interfaces": {
"eth0": ["192.168.1.10"]
}
}
# 自定义Grains
# /srv/salt/_grains/custom.py
def custom_grains():
grains = {}
grains['custom_role'] = 'web_server'
grains['environment'] = 'production'
return grains5. Execution Modules(执行模块)
Execution Modules是SaltStack的远程执行功能:
# Execution Modules使用示例
# 执行命令
salt '*' cmd.run 'ls -la /etc'
# 管理包
salt '*' pkg.install nginx
salt '*' pkg.remove apache2
# 管理服务
salt '*' service.start nginx
salt '*' service.restart apache2
# 文件操作
salt '*' file.mkdir /opt/myapp
salt '*' file.copy /etc/hosts /tmp/hosts.bak
# 网络操作
salt '*' network.ip_addrs
salt '*' network.ping google.comSaltStack的生态系统
1. Salt Formulas
Salt Formulas是社区开发的预构建配置模块:
# 使用Salt Formulas
# 1. 安装Formula
git clone https://github.com/saltstack-formulas/apache-formula.git /srv/formulas/apache-formula
# 2. 配置Master使用Formula
# /etc/salt/master
file_roots:
base:
- /srv/salt
- /srv/formulas/apache-formula
# 3. 使用Formula
# top.sls
base:
'web*':
- apache2. Salt Cloud
Salt Cloud是SaltStack的云管理工具:
# Salt Cloud配置示例
# /etc/salt/cloud.providers.d/aws.conf
my-aws-config:
driver: ec2
id: 'use-instance-role-credentials'
key: 'use-instance-role-credentials'
private_key: /etc/salt/mykey.pem
keyname: mykey
location: us-east-1
availability_zone: us-east-1a
# /etc/salt/cloud.profiles.d/web.conf
web-server:
provider: my-aws-config
image: ami-0abcdef1234567890
size: t3.micro
ssh_username: ubuntu
script: bootstrap-salt3. Salt API
Salt API提供RESTful接口访问SaltStack功能:
# Salt API使用示例
import requests
# 执行命令
response = requests.post(
'https://salt-api.example.com/run',
json={
'client': 'local',
'tgt': '*',
'fun': 'cmd.run',
'arg': ['uptime'],
'username': 'saltapi',
'password': 'password',
'eauth': 'pam'
},
verify=False
)
# 应用状态
response = requests.post(
'https://salt-api.example.com/run',
json={
'client': 'local',
'tgt': 'web*',
'fun': 'state.apply',
'arg': ['webserver'],
'username': 'saltapi',
'password': 'password',
'eauth': 'pam'
},
verify=False
)SaltStack的最佳实践
1. 目录结构
# 推荐的SaltStack目录结构
/srv/
├── salt/ # 状态文件目录
│ ├── top.sls # 主入口文件
│ ├── common/ # 通用配置
│ │ ├── init.sls
│ │ └── packages.sls
│ ├── webserver/ # Web服务器配置
│ │ ├── init.sls
│ │ ├── install.sls
│ │ ├── config.sls
│ │ └── files/
│ ├── database/ # 数据库配置
│ │ ├── init.sls
│ │ ├── install.sls
│ │ ├── config.sls
│ │ └── files/
│ └── _modules/ # 自定义模块
├── pillar/ # Pillar数据目录
│ ├── top.sls # Pillar入口文件
│ ├── common.sls # 通用数据
│ ├── webserver.sls # Web服务器数据
│ └── database.sls # 数据库数据
└── formulas/ # Formulas目录
├── apache-formula/
├── mysql-formula/
└── nginx-formula/2. 状态文件设计
# 状态文件设计最佳实践
# 1. 使用include组织状态
# webserver/init.sls
include:
- webserver.install
- webserver.config
- webserver.service
# 2. 合理使用ID声明
# 使用描述性的ID
apache_package:
pkg.installed:
- name: apache2
apache_service:
service.running:
- name: apache2
- enable: True
- require:
- pkg: apache_package
# 3. 使用watch和require管理依赖
/etc/apache2/sites-available/default:
file.managed:
- source: salt://webserver/files/default-site
- user: root
- group: root
- mode: 644
- require:
- pkg: apache_package
- watch_in:
- service: apache_service3. 安全实践
# 安全实践示例
# 1. 使用Pillar存储敏感数据
# pillar/database.sls
mysql:
root_password: {{ salt['pillar.get']('mysql:root_password', 'default_password') }}
# 2. 加密传输
# /etc/salt/master
transport: tcp # 或使用加密的zeromq
# 3. 访问控制
# /etc/salt/master
external_auth:
pam:
saltuser:
- 'web*':
- test.*
- cmd.run
- '@runner':
- jobs.*SaltStack的应用场景
1. 基础设施配置
# 基础设施配置示例
# network/init.sls
network_interfaces:
network.managed:
- name: eth0
- type: eth
- proto: static
- ipaddr: {{ grains['ip4_interfaces']['eth0'][0] }}
- netmask: 255.255.255.0
- gateway: 192.168.1.1
- dns:
- 8.8.8.8
- 8.8.4.4
# storage/init.sls
/var/lib/docker:
file.directory:
- user: root
- group: root
- mode: 755
- makedirs: True
docker-lvm:
lvm.lv_present:
- name: docker
- vgname: vg_data
- size: 50G2. 应用部署
# 应用部署示例
# myapp/init.sls
myapp_user:
user.present:
- name: myapp
- uid: 3000
- home: /opt/myapp
- shell: /bin/bash
/opt/myapp:
file.directory:
- user: myapp
- group: myapp
- mode: 755
- makedirs: True
myapp_download:
file.managed:
- name: /tmp/myapp.tar.gz
- source: https://example.com/myapp-1.0.0.tar.gz
- source_hash: sha256=abc123...
- user: myapp
- group: myapp
myapp_extract:
archive.extracted:
- name: /opt/myapp
- source: /tmp/myapp.tar.gz
- user: myapp
- group: myapp
- require:
- file: myapp_download
myapp_service:
file.managed:
- name: /etc/systemd/system/myapp.service
- source: salt://myapp/files/myapp.service
- user: root
- group: root
- mode: 644
- require:
- file: myapp_extract
myapp_service_enabled:
service.running:
- name: myapp
- enable: True
- require:
- file: myapp_service3. 安全加固
# 安全加固示例
# security/init.sls
sshd_config:
file.managed:
- name: /etc/ssh/sshd_config
- source: salt://security/files/sshd_config
- user: root
- group: root
- mode: 600
- require:
- pkg: openssh-server
- watch_in:
- service: sshd
sshd_service:
service.running:
- name: sshd
- enable: True
firewall_rules:
iptables.append:
- table: filter
- chain: INPUT
- jump: ACCEPT
- source: 192.168.1.0/24
- dport: 22
- proto: tcp
fail2ban_config:
file.managed:
- name: /etc/fail2ban/jail.local
- source: salt://security/files/jail.local
- user: root
- group: root
- mode: 644
- require:
- pkg: fail2ban
fail2ban_service:
service.running:
- name: fail2ban
- enable: True
- require:
- file: fail2ban_config本章小结
SaltStack作为一款高性能的自动化配置管理工具,凭借其快速的执行引擎、灵活的架构设计和强大的远程执行能力,在现代IT运维中发挥着重要作用。通过理解SaltStack的核心概念、架构组件和最佳实践,我们可以构建出高效、可靠的自动化配置管理解决方案。
在接下来的章节中,我们将深入探讨SaltStack的架构与执行方式,帮助您更好地理解和使用这一强大的自动化工具。