1. 程式人生 > >Saltstack相關Salt-api、Salt.client的具體問題擴展

Saltstack相關Salt-api、Salt.client的具體問題擴展

bug 官方文檔 外部 背景 ren 自動化腳本 pytho key文件 all

salt-api

問題背景:通過寫自動化運維平臺,發現salt-api對於管理被控端的密鑰管理,遠程執行命令,獲取指定被控端的服務器基本信息十分方便快捷,所以做下有關salt-api的筆記,方便以後回顧查看。

關於salt-api

saltstack本身提供了一套完整的使用CherryPy來實現restful的api,供外部程序調用.
官方文檔地址https://docs.saltstack.com/en/latest/topics/index.html

salt-api安裝

方法一:yum 安裝(yum install -y salt-api)
方法二:pip安裝(pip install cherrpy==3.2.3 pip install cherrypy pip install salt-api)

配置過程(思路):

  1. 創建用戶,配置密碼(useradd -M -s /sbin/nologin saltapi;passwd saltapi)
  2. 配置自簽證書,通過解碼key,生成無密碼key文件
  3. 修改master配置文件
  4. 重啟salt-master,salt-api服務

自動化腳本

yum install salt-api
useradd -M -s /sbin/nologin salt-api
echo "salt-api" |passwd --stdin salt-api
# salt api基於證書通信
CRT_DIR=/etc/pki/tls/certs
PRIVADE_KEY_DIR=/etc/pki/tls/private
cd $CRT_DIR
make testcert
cd ../private
# 解碼key,生成無密碼key文件
openssl rsa -in localhost.key -out localhost_nopass.key

echo "
rest_cherrypy:
  port: 8000
  debug: True
  ssl_crt: $CRT_DIR/localhost.crt
  ssl_key: $PRIVADE_KEY_DIR/localhost_nopass.key
external_auth:
  pam:
    salt-api:
      - .*
      - ‘@wheel‘
      - ‘@runner‘
" >> /etc/salt/master
service salt-master restart
service salt-api restart

salt.client

問題背景:
在寫自動化運維腳本時,想定時抓取服務器的數據,最初想通過IP地址,指定不同的salt-minion服務器執行命令,可是查找網上資料發現只是用shell命令,添加參數-S,通過IP地址或者網段匹配MinionID,但是真正想通過salt.client接口在python中執行相關的命令。通過查閱官方文檔,和整理網上的資料,解決了這一問題,現在做個筆記。

Saltstack匹配Minion ID多種方法:

1、GLOBBING通配符

符合shell-style的通配符默認作為匹配Minion ID。

1)示例(匹配全部主機):
salt ‘*’ test.ping 
 2)示例(匹配任意多個字符):
salt ‘mbb*’ test.ping
3)示例(匹配單個字符):
salt ‘mbb-?’ test.ping
4)示例(匹配單個字符的範圍)
salt ‘mbb[1-9][x-z]’ test.ping

2、REGULAR EXPRESSIONS

通過添加參數”-E”,使用正則表達式匹配MINION ID

salt -E ‘mbb-(4|5)’ test.ping

3、LISTS

指定MINION ID列表匹配

salt -L ‘mbb-4,mbb-5’ test.ping

4、GRAINS

通過添加參數”-G”,根據Grain的數據用來匹配MINION ID

salt -G ‘os:CentOS’ test.ping 

5、Subnet/IP Address

通過添加參數-S,IP地址,或者網段匹配MINION ID

salt -S 192.168.1.4 test.ping
salt -S 192.168.1.0/24 test.ping

salt.cient接口調用

class salt.client.LocalClient(c_path=u‘/etc/salt/master‘, mopts=None, skip_perm_errors=False, io_loop=None, keep_loop=False, auto_reconnect=False)

cmd()執行對目標主機的命令,具體的使用方法:

import salt.client
client = salt.client.LocalClient()
client.cmd(‘*’,’cmd.run’,[‘whoami’])

cmd方法的默認參數:

cmd(tgt, fun, arg=(), timeout=None, tgt_type=u‘glob‘, ret=u‘‘, jid=u‘‘, full_return=False, kwarg=None, **kwargs)

根據官方文檔顯示,tgt_type參數是選擇根據什麽方式匹配Minion ID:
tgt_type --
The type of tgt. Allowed values:

  • glob - Bash glob completion - Default
  • pcre - Perl style regular expression
  • list - Python list of hosts
  • grain - Match based on a grain comparison
  • grain_pcre - Grain comparison with a regex
  • pillar - Pillar data comparison
  • pillar_pcre - Pillar data comparison with a regex
  • nodegroup - Match on nodegroup
  • range - Use a Range server for matching
  • compound - Pass a compound match string
  • ipcidr - Match based on Subnet (CIDR notation) or IPv4 address.
    Changed in version 2017.7.0: Renamed from expr_form to tgt_type
示例:如我想指定IP地址匹配MINION ID
client.cmd(‘192.168.1.4’,’cmd.run’,’uname -a’,expr_form=’ipcidr’)

其實和saltstack在shell上的命令差不多含義,需要註意的不同saltstack版本對應指定匹配的字段是不一樣的,由於我的saltstack版本是 2015.5.10 版本的,所以仍舊延用expr_form字段,而2017.7.0後的版本則需要使用tgt_type字段。


遇到的一些問題及解決方法

問題背景:saltstack執行cp模塊的功能沒響應,其他模塊的功能測試都沒問題.
執行命令為: salt ‘mbb-5‘ cp.get_file salt://hosts /root/hosts
經過問題排查,發現“salt://”當/etc/salt/master文件沒有設置file_roots時,就會默認在/srv/salt目錄下,查找你要復制的文件夾或者目錄,如果目錄下沒有指定復制的文件,執行命令時就會返回空。
所以你需要將要遠程復制的文件放在此目錄下,然後,在執行操作,或者修改配置文件/etc/salt/master中的file_roots屬性,例如:

file_roots:
   base:
     - /data/

Saltstack相關Salt-api、Salt.client的具體問題擴展