前言

前面我们均以单master管理多minion的方式开展学习，在saltstack架构扩展中，我们将学习如何扩展salt的架构，解决salt在管理大量minion时的扩展问题以及salt master的高可用问题。

1、salt的多master高可用架构

• salt多master只需要在minion端配置多个master地址即可实现。salt支持多master的配置，salt多master方式只是让一台minion可以同时接受两台或多台master的管理而已。因此，多个master之间不会有任何感知，也没有状态的同步，我们只需要自己维护多个master，让它们的配置文件、状态文件和密钥文件完全相同，否则只从minion端配置多个master是无法实现高可用架构的。
• 旧master：192.168.184.132，新master：192.168.184.139

#### 新master
## yum -y install https://repo.saltstack.com/yum/redhat/salt-repo-2017.7-1.el6.noarch.rpm
## yum install -y salt-master

#### 旧master
## 同步配置文件
rsync -av /etc/salt/master root@192.168.184.139:/etc/salt/
## 同步状态文件
rsync -av /srv root@192.168.184.139:/
## 同步密钥文件：
rsync -av /etc/salt/pki/master/ root@192.168.184.139:/etc/salt/pki

#### minion
## 修改minion的master配置文件，并重启minion：
## vim /etc/salt/minion
master: 
  - 192.168.184.132
  - 192.168.184.139
## service salt-minion restart

###### 重启新的master服务
## service salt-master restart
## salt-key -L

###### 在新的master服务器上查看minion并运行命令
## salt 192.168.184.133 test.ping

• 在生产环境中，应注意master之间的配置文件、状态文件和密钥文件的实时同步问题，可以用比较成熟的rsync+inotify或sersync方式完成实时同步。

2、syndic方式扩展salt的管理架构

image

前言

• 通过salt的多master高可用的方式我们可以避免了salt-master的单点问题，但是如果管理主机的数量非常巨大，那一台master性能就会出现问题，这时候我们需要对salt进行多级扩展，用syndic的方式可以完成多级扩展，syndic的扩展架构如上图。
• 什么是syndic？它是一种中间层，接受来自master的任务，然后将任务下发给所有由syndic管理的minion机器，最后将所有minion执行的结果返回给syndic，syndic再将结果发回给master。有了syndic作为中间层，大大减轻了master的压力，不需要master和每一台被管理的minion直接进行通信。
• 实例配置syndic管理minion

## master:192.168.184.132
## syndic:192.168.184.139
## minion:192.168.184.133  192.168.184.138

###### syndic:192.168.184.139
yum install -y salt-master salt-syndic
#### vim /etc/salt/master
#syndic_master: masterofmasters
syndic_master: 192.168.184.132

/etc/init.d/salt-master start
/etc/init.d/salt-syndic start

###### master:192.168.184.132
#### vim /etc/salt/master
#order_masters: False
order_masters: True

/etc/init.d/salt-master restart

###### minion:192.168.184.133  192.168.184.138
#### vim /etc/salt/minion
#master: salt
master: 192.168.184.139

/etc/init.d/salt-minion restart

• 验证salt syndic是否与minion端连通(192.168)：

[root@139 ~]# salt-key -A
The following keys are going to be accepted:
Unaccepted Keys:
192.168.184.138
192.168.184.133
Proceed? [n/Y] y
Key for minion 192.168.184.138 accepted.
Key for minion 192.168.184.133 accepted.
[root@139 ~]# salt "*" cmd.run "ip a"
192.168.184.133:
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
        inet6 ::1/128 scope host 
           valid_lft forever preferred_lft forever
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 00:0c:29:c8:b2:12 brd ff:ff:ff:ff:ff:ff
        inet 192.168.184.133/24 brd 192.168.184.255 scope global eth0
        inet6 fe80::20c:29ff:fec8:b212/64 scope link 
           valid_lft forever preferred_lft forever
192.168.184.138:
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
        inet6 ::1/128 scope host 
           valid_lft forever preferred_lft forever
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 00:0c:29:81:7c:0a brd ff:ff:ff:ff:ff:ff
        inet 192.168.184.138/24 brd 192.168.184.255 scope global eth0
        inet6 fe80::20c:29ff:fe81:7c0a/64 scope link 
           valid_lft forever preferred_lft forever

• 验证salt-master跟minion端是否连通(syndic端 192.168.184.139主机名变更为139)：

[root@localhost ~]# salt-key -A
The following keys are going to be accepted:
Unaccepted Keys:
139
Proceed? [n/Y] y
Key for minion 139 accepted.
[root@localhost ~]# salt "*" cmd.run "ip a"
192.168.184.138:
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
        inet6 ::1/128 scope host 
           valid_lft forever preferred_lft forever
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 00:0c:29:81:7c:0a brd ff:ff:ff:ff:ff:ff
        inet 192.168.184.138/24 brd 192.168.184.255 scope global eth0
        inet6 fe80::20c:29ff:fe81:7c0a/64 scope link 
           valid_lft forever preferred_lft forever
192.168.184.133:
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
        inet6 ::1/128 scope host 
           valid_lft forever preferred_lft forever
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 00:0c:29:c8:b2:12 brd ff:ff:ff:ff:ff:ff
        inet 192.168.184.133/24 brd 192.168.184.255 scope global eth0
        inet6 fe80::20c:29ff:fec8:b212/64 scope link 
           valid_lft forever preferred_lft forever
139:
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
        inet6 ::1/128 scope host 
           valid_lft forever preferred_lft forever
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 00:0c:29:4b:27:b0 brd ff:ff:ff:ff:ff:ff
        inet 192.168.184.139/24 brd 192.168.184.255 scope global eth0
        inet6 fe80::20c:29ff:fe4b:27b0/64 scope link 
           valid_lft forever preferred_lft forever

补充：syndic也可以监控自己主机上的minion端(如上所示的minion端139)，操作是更改/etc/salt/minion配置文件的master： 192.168.184.139

==可能会碰到master端缓存了minion_id的问题，执行rm -rf /etc/salt/pki/minion/*即可==

3、salt的无master模式

[root@138 ~]# salt-call --local cmd.run "whoami"
local:
    root

• 通过salt-call加--local参数可直接调用本机模块，通常用在调试任务。另外可设置/etc/salt/minion中的file_root和pillar_root参数在本机添加状态文件，通过salt-call --local state.sls命令来测试文件执行情况。

1. salt-ssh实现无master管理minion

前言

Anside也是一款集配置管理和远程执行于一身的软件，并且Anside不需要被管理端安装任何agent进程，只需要开启默认的SSH并且安装了Python即可完成管理任务，而salt也有这个功能。通过salt的组件salt-ssh工具管理服务器，被管理的服务器不需要安装salt-minion，同时管理端甚至不需要启动salt-master就能实现大部分salt的功能。但是，salt-ssh这种通信方式不通过ZeroMQ，而是使用ssh，所以在执行速度上相比salt的标准协议会有非常大的差别。所以，通常使用salt管理服务器都会用salt的普通架构而不会选用salt-ssh。

2.安装salt-ssh

## yum install -y salt-ssh
## salt-ssh --version
salt-ssh 2017.7.1 (Nitrogen)
## rpm -ql salt-ssh
/etc/salt/roster
/usr/bin/salt-ssh
/usr/share/man/man1/salt-ssh.1.gz

3. 配置roster文件
   salt-ssh的配置文件是/etc/salt/roster

## vim /etc/salt/roster
#web1:                                              # id值（例如syndic里的139是一个id值）
#  host: 192.168.42.1                               # 主机名或主机IP地址
#  user: fred                                       # 远程执行用户
#  passwd: foobarbaz                                # 用户密码
#  sudo: True                                       # 是否sudo到root用户
#  priv: /etc/salt/pki/master/ssh/salt-ssh.rsa      # 私钥路径
#  timeout：5                                       # 超时时间

为了避免密码暴露的风险，通常在使用salt-ssh时需要配置SSH的密钥登录方式。密码配置和密钥认证方式如下例子：

• 密码方式

[root@139 ~]# vim /etc/salt/roster 
# Sample salt-ssh config file
#web1:
#  host: 192.168.42.1 # The IP addr or DNS hostname
#  user: fred         # Remote executions will be executed as user fred
#  passwd: foobarbaz  # The password to use for login, if omitted, keys are used
#  sudo: True         # Whether to sudo to root, not enabled by default
#web2:
#  host: 192.168.42.2

test:
  host: 192.168.184.133
  user: root
  passwd: xxxxxx
  port: 22

## 测试
salt-ssh "*" cmd.run "ip a"

• 密钥方式

[root@139 ~]# vim /etc/salt/roster 
# Sample salt-ssh config file
#web1:
#  host: 192.168.42.1 # The IP addr or DNS hostname
#  user: fred         # Remote executions will be executed as user fred
#  passwd: foobarbaz  # The password to use for login, if omitted, keys are used
#  sudo: True         # Whether to sudo to root, not enabled by default
#web2:
#  host: 192.168.42.2

test:
  host: 192.168.184.133
  user: root
  priv: /etc/salt/pki/master/ssh/salt-ssh.rsa
  port: 22
  
  
  
## 运行salt-ssh命令，第一次运行时需要输入密码并复制公钥到目标服务器
salt-ssh "*" cmd.run "ip a"

4.salt-ssh的使用

salt-ssh支持正则匹配、列表匹配、grains匹配、nodegroup和范围匹配，可用salt-ssh -h获得帮助。

5.模块的使用

基本上salt-master能用的模块在salt-ssh上都能使用

• salt-ssh "*" cmd.run "ip a"
• salt-ssh "*" pkg.install "httpd"
• salt-ssh "*" service.status httpd
• salt-ssh "*" user.add saltssh
• 等等……

6.状态管理

• 状态文件的使用 salt-ssh "*" state.sls apache
• highstate的应用 salt-ssh "*" state.highstate

总结

本节主要介绍了salt的架构扩展，通过多master的方式可以实现saltstack高可用架构，通过syndic作为中间层可以进行多级扩展来解决salt-master的性能问题，结合这两种方式，saltstack可以扩展出更多的架构。