SaltStack 的基本概念与工作原理 架构设计

随着云计算技术的快速普及与发展，越来越多的企业开始学习和搭建自己的云平台代替传统的 IT 交付模式，企业的 IT 环境也随之越来越复杂，常规的运维方法与技术已经无法满足现在云环境中系统的配置与变更。基于云计算的发展，大数据、认知技术及容器技术也在企业中得到了越来越多的应用，大量的服务器管理操作、配置变更被频繁的执行与部署，以应对多变的业务需求。按照常规的方式，运维人员需逐个服务器进行配置调整，手动管理大量的系统信息，难免有各种各样的问题及事故发生。为了避免这样的风险，本文的示例中，笔者将详细介绍如何使用开源软件
SaltStack 自动化运维工具对云环境中的服务器进行命令的远程执行及配置管理，确保操作的安全性及高效性，降低管理员的操作风险。

本文中介绍的架构，主要是在 CentOS6.5 上进行集中部署与测试。该架构主要涉及到三 个开源软件，分别是 Python 软件集，SaltStack 软件集和 ZeroMQ 消息队列软件。

• 在部署 SaltStack 软件之前，一定要先正确安装 python，因为 SaltStack 是由 python 所编写。不同版本的 SaltStack 需要使用不同版本的 Python 进行匹配，避免不必要的兼容性问题发生，本文将采用 python2.6.6。
• SaltStack 软件是一个 C／S 架构的软件，通过管理端下发指令，客户端接受指令的方式进行操作。
• ZeroMQ 是一款消息队列软件，SaltStack 通过消息队列来管理成千上万台主机客户端，传输指令执行相关的操作。而且采用 RSA key 方式进行身份确认，传输采用 AES 方式进行加密，这使得它的安全性得到了保证。

下面我将详细介绍 SaltStack 软件的概念与工作机制。

SaltStack 的基本概念与工作原理

SaltStack 本身是一种开源的基础架构集中化管理平台，相比其它商业产品，其部署及配置稍显杂。为了更好的部署和配置 SaltStak，本章节将着重介绍它的基本概念、特性与工 作原理。

SaltStack 简介与特性

SaltStack 是一种基于 C/S 架构的服务器基础架构集中化管理平台，管理端称为 Master，客户端称为 Minion。SaltStack 具备配置管理、远程执行、监控等功能，一般可以理解为是简化版的 Puppet 和加强版的 Func。SaltStack 本身是基于 Python 语言开发实现，结合了轻量级的消息队列软件 ZeroMQ 与 Python 第三方模块（Pyzmq、PyCrypto、Pyjinjia2、python-msgpack 和 PyYAML 等）构建。

通过部署 SaltStack 环境，运维人员可以在成千上万台服务器上做到批量执行命令，根据不同的业务特性进行配置集中化管理、分发文件、采集系统数据及软件包的安装与管理等。

SaltStack 具有以下特性，帮助企业 IT 更好的实现系统批量管理：

1. 部署简单、管理方便；
2. 支持大部分的操作系统，如 Unix／Linux／Windows 环境；
3. 架构上使用C/S管理模式，易于扩展；
4. 配置简单、功能覆盖广；
5. 主控端（Master）与被控端（Minion）基于证书认证，确保安全可靠的通信；
6. 支持 API 及自定义 Python 模块，轻松实现功能扩展；

SaltStack 的工作原理

SaltStack 采用 C/S 结构来对云环境内的服务器操作管理及配置管理。为了更好的理解它的工作方式及管理模型，本章将通过图形方式对其原理进行阐述。

SaltStack 客户端（Minion）在启动时，会自动生成一套密钥，包含私钥和公钥。之后将公钥发送给服务器端，服务器端验证并接受公钥，以此来建立可靠且加密的通信连接。同时通过消息队列 ZeroMQ 在客户端与服务端之间建立消息发布连接。具体通信原理图，如图 1 所示，命令执行如图 2 所示：

图 1.SaltStack 通信原理图

专业术语说明：

• Minion 是 SaltStack 需要管理的客户端安装组件，会主动去连接 Master 端，并从 Master 端得到资源状态信息，同步资源管理信息。
• Master 作为控制中心运行在主机服务器上，负责 Salt 命令运行和资源状态的管理。
• ZeroMQ 是一款开源的消息队列软件，用于在 Minion 端与 Master 端建立系统通信桥梁。
• Daemon 是运行于每一个成员内的守护进程，承担着发布消息及通信端口监听的功能。

图 2.SaltStack 操作执行原理图

原理图说明：

• Minion 是 SaltStack 需要管理的客户端安装组件，会主动去连接 Master 端，并从 Master 端得到资源状态信息，同步资源管理信息。
• Master 作为控制中心运行在主机服务器上，负责 Salt 命令运行和资源状态的管理。
• Master 上执行某条指令通过队列下发到各个 Minions 去执行，并返回结果。

本章使大家了解了什么是 SaltStack 以及它的通信及执行原理，下一章节将主要介绍本次实例部署的架构设计。

SaltStack 的架构设计

为了让大家更好的理解 SaltStack 在云平台集中化管理方面的优势，因此，根据项目的实际情况绘制了部署架构图，并在文中对架构图进行了详细说明。如图 3 所示：

图 3.SaltStack 部署架构图

说明：

• SaltStack 的所有被管理客户端节点（如图 3 所示 DB 和 Web），都是通过密钥进行加密通信，使用端口为 4506。客户端与服务器端的内容传输，是通过消息队列完成，使用端口为 4505。Master 可以发送任何指令让 Minion 执行，salt 有很多可执行模块，比如说 CMD 模块，在安装 minion 的时候已经自带了，它们通常位于你的 python 库中，locate salt | grep /usr/ 可以看到 salt 自带的所有东西。
• 为了更好的理解架构用意，以下将展示主要的命令发布过程：

1. SaltStack 的 Master 与 Minion 之间通过 ZeroMq 进行消息传递，使用了 ZeroMq 的发布订阅模式，连接方式包括 TCP 和 IPC。
2. Salt 命令，将 cmd.run ls 命令从 salt.client.LocalClient.cmd_cli 发布到 Master，获取一个 Jodid，根据 jobid 获取命令执行结果。
3. Master 接收到命令后，将要执行的命令发送给客户端 minion。
4. Minion 从消息总线上接收到要处理的命令，交给 minion._handle_aes 处理。
5. Minion._handle_aes 发起一个本地线程调用 cmdmod 执行 ls 命令。线程执行完 ls 后，调用 Minion._return_pub 方法，将执行结果通过消息总线返回给 master。
6. Master 接收到客户端返回的结果，调用 master.handle_aes 方法将结果写的文件中。
7. Salt.client.LocalClient.cmd_cli 通过轮询获取 Job 执行结果，将结果输出到终端。
8. 本文转载自：https://www.ibm.com/developerworks/cn/opensource/os-devops-saltstack-in-cloud/index.html#N100A5