SaltStack是一个服务器基础架构集中化管理平台，具备配置管理、远程执行、监控等功能，基于Python语言实现，结合轻量级消息队列（ZeroMQ）与Python第三方模块（Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等）构建。

而且采用RSA Key方式确认身份，传输采用AES加密，这使得它的安全性得到了保障。SaltStack经常被描述为Func加强版+Puppet精简版。

目前市场上主流的开源自动化配置管理工具有puppet、chef、ansible、saltstack等等。到底选择那个比较好？可以从以下几方面考虑：

语言的选择（puppet/chef vs ansible/saltstack）

Puppet、Chef基于Ruby开发，ansible、saltstack基于python开发的

运维开发语言热衷于python（后期可做二次开发），排除Puppet、Chef

速度的选择 (ansible vs saltstack)

ansible基于ssh协议传输数据，SaltStack使用消息队列zeroMQ传输数据。从网上数据来看，SaltStack比ansible快大约40倍。

对比ansible，Saltstack缺点是需要安装客户端。为了速度建议选择SaltStack

SaltStack github地址：https://github.com/saltstack/salt

SaltStack官网文档地址：https://docs.saltstack.com

在SaltsStack架构中服务端叫作Master，客户端叫作Minion，都是以守护进程的模式运行，一直监听配置文件中定义的ret_port（saltstack客户端与服务端通信的端口，负责接收客户端发送过来的结果，默认4506端口）和publish_port（saltstack的消息发布系统，默认4505端口）的端口。当Minion运行时会自动连接到配置文件中定义的Master地址ret_port端口进行连接认证。

默认以CentOS6为例，采用yum安装，还有其它安装方式，如pip、源码、salt-bootstrap

EPEL源配置

rpm-ivhhttps://mirrors.tuna.tsinghua.edu.cn/epel/epel-release-latest-6.noarch.rpm

安装、配置管理端(master)

yum-yinstallsalt-masterservicesalt-masterstart

注：需要iptables开启master端4505、4506端口

安装被管理端

yum-yinstallsalt-minionsed-i's@#manster:.*@manster:master_ipaddress@'/etc/salt/minion#master_ipaddress为管理端IPecho10.252.137.141>/etc/salt/minion_id#个人习惯使用IP，默认主机名servicesalt-minionstart

Master与Minion认证

minion在第一次启动时，会在/etc/salt/pki/minion/（该路径在/etc/salt/minion里面设置）下自动生成minion.pem（private key）和 minion.pub（public key），然后将 minion.pub发送给master。master在接收到minion的public key后，通过salt-key命令accept minion public key，这样在master的/etc/salt/pki/master/minions下的将会存放以minion id命名的 public key，然后master就能对minion发送指令了。 认证命令如下：

[root@10.252.137.14~]#salt-key-L#查看当前证书签证情况AcceptedKeys:UnacceptedKeys:10.252.137.141RejectedKeys:[root@10.252.137.14~]#salt-key-A-y#同意签证所有没有接受的签证情况Thefollowingkeysaregoingtobeaccepted:UnacceptedKeys:10.252.137.141Keyforminion10.252.137.141accepted.[root@10.252.137.14~]#salt-key-LAcceptedKeys:10.252.137.141UnacceptedKeys:RejectedKeys:

SaltStack远程执行

[root@10.252.137.14~]#salt'*'test.ping10.252.137.141:True[root@10.252.137.14~]#salt'*'cmd.run'ls-al'10.252.137.141:total40drwx------4rootroot4096Sep715:01.drwxr-xr-x22rootroot4096Sep322:10..-rw-------1rootroot501Sep714:49.bash_history-rw-r--r--1rootroot3106Feb202014.bashrcdrwx------2rootroot4096Jan302015.cachedrwxr-xr-x2rootroot4096Apr2213:57.pip-rw-r--r--1rootroot140Feb202014.profile-rw-r--r--1rootroot64Apr2213:57.pydistutils.cfg-rw-------1rootroot4256Sep715:01.viminfo

salt执行命令的格式如下：

salt''[arguments]

target：执行salt命令的目标，可以使用正则表达式

function：方法，由module提供

arguments：function的参数

target可以是以下内容：

\1. 正则表达式

salt-E'Minion*'test.ping#主机名以Minion开通

\2. 列表匹配

salt-LMinion,Minion1test.ping

\3. Grians匹配

salt-G'os:CentOS'test.ping

os:CentOS（默认存在）是Grains的键值对，数据以yaml保存在minion上，可在minion端直接编辑/etc/salt/grains，yaml格式。或者在master端执行salt ‘*’ grains.setval key “{‘sub-key’: ‘val’, ‘sub-key2’: ‘val2’}” ,具体文档（命令salt * sys.doc grains查看文档）

\4. 组匹配

salt-Ngroupstest.ping

如，在master新建/etc/salt/master.d/nodegroups.conf ，yaml格式

\5. 复合匹配

salt-C'G@os:CentOSorL@Minion'test.ping

\6. Pillar值匹配

salt-I'key:value'test.ping

/etc/salt/master设置pillar_roots,数据以yaml保存在Master上

\7. CIDR匹配

salt-S'10.252.137.0/24'test.ping

10.252.137.0/24是一个指定的CIDR网段

function是module提供的方法

通过下面命令可以查看所有的function： salt ‘10.252.137.141’ sys.doc cmd

function可以接受参数：

salt'10.252.137.141'cmd.run'uname-a'

并且支持关键字参数：

在所有minion上切换到/目录以salt用户运行uname-a命令。salt'10.252.137.141'cmd.run'uname-a'cwd=/user=saltSaltStack配置管理

states文件

salt states的核心是sls文件，该文件使用YAML语法定义了一些k/v的数据。

sls文件存放根路径在master配置文件中定义，默认为/srv/salt,该目录在操作系统上不存在，需要手动创建。

在salt中可以通过salt://代替根路径，例如你可以通过salt://top.sls访问/srv/salt/top.sls。

在states中top文件也由master配置文件定义，默认为top.sls，该文件为states的入口文件。

一个简单的sls文件如下：

apache:pkg.installedservice.running-require:-pkg:apache

说明：此SLS数据确保叫做”apache”的软件包(package)已经安装,并且”apache”服务(service)正在运行中。

state和方法可以通过点连起来，上面sls文件和下面文件意思相同。

apache:pkg.installedservice.running-require:-pkg:apache

将上面sls保存为init.sls并放置在sal://apache目录下，结果如下：

/srv/salt├──apache│└──init.sls└──top.sls

top.sls如何定义呢？

master配置文件中定义了三种环境，每种环境都可以定义多个目录，但是要避免冲突，分别如下：

#file_roots:#base:#-/srv/salt/#dev:#-/srv/salt/dev/services#-/srv/salt/dev/states#prod:#-/srv/salt/prod/services#-/srv/salt/prod/states

top.sls可以这样定义：

base:'*':-apache

说明：

第一行，声明使用base环境

第二行，定义target，这里是匹配所有

第三行，声明使用哪些states目录，salt会寻找每个目录下的init.sls文件。

运行states

一旦创建完states并修改完top.sls之后，你可以在master上执行下面命令：

[root@10.252.137.14~]#salt'*'state.highstatesk2:----------State:-pkgName:httpdFunction:installedResult:TrueComment:Thefollowingpackageswereinstalled/updated:httpd.Changes:----------httpd:----------new:2.2.15-29.el6.centosold:----------State:-serviceName:httpdFunction:runningResult:TrueComment:Servicehttpdhasbeenenabled,andisrunningChanges:----------httpd:TrueSummary------------Succeeded:2Failed:0------------Total:2

上面命令会触发所有minion从master下载top.sls文件以及其中定一个的states，然后编译、执行。执行完之后，minion会将执行结果的摘要信息汇报给master。