1 Master與Minion認證過程:
1.minion在第一次啓動時,會在/etc/salt/pki/minion/(該路徑在/etc/salt/minion裏面設置)下自動生成minion.pem(private key)和minion.pub(public key),
然後將minion.pub發送給master。
2.master 在接收到minion的public key後,通過salt-key命令accept minion public key,這樣在master的/etc/salt/pki/master/minions下的將會存放以minion id命名的public key,
然後master就能對minion發送指令了。
2 Master與Minion的連接
Saltstack master啓動後默認監聽4505和4506兩個端口。4505(publish_port)爲salt的消息發佈系統,
4506(ret_port)爲salt客戶端與服務端通信的端口。如果使用lsof查看4505端口,會發現所有的Minion在4505端口持續保持在ESTABLISHED
3 Master與Minion的Key:
由於上面已經設置了客戶端自動註冊到服務端,所以直接可以查看是否有客戶端註冊
[root@master slave]# salt-key -L
Accepted Keys:
slave_141
slave_142
slave_143
Unaccepted Keys:
Rejected Keys:
Accepted Keys:爲被服務端接受的KEY(slave_141 slave_142 slave_143就是minion中的id標識號)
Unaccepted Keys:未被服務端接受的KEY
Rejected Keys:被服務端拒絕的KEY
salt-key命令可以接受特定的單個key或批量接受key, 使用-A選項接受當前所有的key, 接受單個key可以使用-a idname.
4 在服務端salt匹配minion id
在運行salt命令進行匹配時,請使用單引號('),避免shell解析
匹配所有minion:salt '*' test.ping
匹配下邊域的所有minion:salt '*.example.*' test.ping
匹配example.net域中的(web1.example.net、web2.example.net......webN.example.example.net):salt 'web?.example.net' test.ping
匹配web1到web5的minion: salt 'web[1-5]' test.ping
匹配web-x、web-y及web-z minion: salt 'web-[x-z]' test.ping
5 正則表達式:
匹配web-prod和web1-devel minion:
salt -E 'web1-(prod|devel)' test.ping
指定列表
salt -L 'web1,web2,web3' test.ping
指定組:
在服務務端中打開master配置文件
vim /etc/salt/master
添加如下分組
nodegroups:
group1: 'L@slave_143,slave_141'
group2: 'slave_142'
值得注意的是編輯master的時候,group1和group2前面是2個空格
6 測試:
[root@drfdai-17 salt]#salt -N group2 test.ping
slave_142:
True
可能大家會好奇group1中爲什麼會有L@,這代表什麼意思?
其實L是指客戶端列表,我們一組中有多個客戶端,所以在前面用L表示。除了有列表匹配外,還有很多匹配方式,如:
這些參數都可以直接在命令行使用,如:
salt -S '192.168.43.142' test.ping
salt -G 'os:Centos' test.ping
salt -L '230,68' test.ping
minion基本信息的管理
基本使用:
salt '*' grains.ls 查看grains分類
salt '*' grains.items 查看grains所有信息
salt '*' grains.item osrelease 查看grains某個信息
如:
[root@drfdai-17 salt]# salt '*' grains.item osrelease
230:
osrelease: 6.2
68:
osrelease: 6.2