自动化运维saltstack

一、简介

SaltStack是一个服务器基础架构集中化管理平台，具备配置管理、远程执行、监控等功能，一般可以理解为简化版的puppet和加强版的func。SaltStack基于Python语言实现，结合轻量级消息队列（ZeroMQ）与 Python第三方模块（Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等）构建。

通过部署SaltStack环境，我们可以在成千上万台服务器上做到批量执行命令，根据不同业务特性进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等，SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。

二、特性

(1) 部署简单、方便；功能强大、扩展性强；
(2) 支持大部分UNIX/Linux及Windows环境；
(3) 主从集中化管理；
(4) 支持API及自定义模块，可通过Python轻松扩展。
(5) 主控端（master）和被控端（minion）基于证书认证，安全可靠；

三、Master与Minion认证

(1)minion在第一次启动时，会在/etc/salt /pki/minion/（该路径在/etc/salt/minion里面设置）下自动生成minion.pem（private key）和 minion.pub（public key），然后将 minion.pub发送给master。

(2)master在接收到minion的public key后，通过salt-key命令accept minion public key，这样在master的/etc/salt/pki/master/minions下将会存放以minion id命名的 public key，然后master就能对minion发送指令了。

四、salt远程执行底层原理：

Salt的底层通信是通过ZeroMQ完成的，采用了ZeroMQ的订阅发布模式（Pub和Sub）如下图所示：

简单来讲，Pub/Sub模式类似于广播电台，在订阅发布模式中Pub将消息发送到总线，所有的Sub收到来自总线的消息后，根据自己的条件来接收特定的消息。对应到salt中就是master将事件发布到消息总线，minion订阅并监听事件，然后minion会查看事件是否和自己匹配以确定是否需要执行，匹配条件就是多种主机匹配方法。saltmaster和minion的通信过程中，会启动监听两个端口，默认是4505和4506。

4505：为salt的消息发布专用端口

4506：为客户端与服务端通信的端口

Salt minion启动时从配置文件中获取master的地址，如果为域名，则进行解析。解析完成后，会连接master的4506(ret接口)进行key认证。认证通过，会获取到master的publish_port(默认是4505)，然后连接publish_port订阅来自master pub接口任务。当master下发操作指令时，所有的minion都能接收到，然后minion会检查本机是否匹配。如果匹配，则执行。执行完毕后，把结果发送到master的4506(ret接口)由master进行处理，命令发送通信完成是异步的，并且命令包很小。此外，这些命令包通过 maqpack进行序列化后数据会进一步压缩（Maqpack是一种高效的二进制序列化格式），所以salt的网络负载非常低。