共计 7207 个字符,预计需要花费 19 分钟才能阅读完成。
| 导读 | 通常服务器安装完操作系统之后,都会进行一些基础的设置,生产环境使用 SaltStack 时,建议将所有的服务器都会进行的基础配置或者软件部署归类放在 Base 环境下面,本教程中在 Base 环境下创建一个 Init 的目录,将系统初始化配置的 SLS 均放置到 Init 目录下,可以叫作“初始化模块”。 |
1、Vim 设置
编写测试文件 one.sls
[root@saltstack-master ~]# vi /srv/salt/base/init/one.sls
first-sls:
file.managed:
- name: /tmp/foo.conf
- source: salt://init/config/foo.conf
- user: root
- group: root
- mode: 644
#test
[root@saltstack-master init]# salt '*' state.sls init.one test=True根据使用习惯设置统一的 vim 配置文件,使用 SaltStack 的 File 状态模块的 Managed 方法管理 vimrc 文件。
查看指定 states 的 function 及指定 state 用法:
[root@saltstack-master ~]# salt '*' sys.list_state_functions file
salt '*' sys.state_doc file.managed
[root@saltstack-master ~]# mkdir -p /srv/salt/base/init
[root@saltstack-master ~]# mkdir -p /srv/salt/base/config
[root@saltstack-master ~]# cp /etc/vimrc /srv/salt/base/config/
[root@saltstack-master ~]# vim /srv/salt/base/init/vim.sls
/etc/vimrc:
file.managed:
- source: salt://init/config/vimrc
- user: root
- group: root
- mode: 644
- backup: '*'SLS 文件编写完成之后,需要把 /etc/vimrc 文件放到 /srv/salt/base/init/config 目录下面。
注:SaltStack 环境下面的目录不存在的都需要新建。
[root@saltstack-master ~]# salt '*' state.sls init.vim test=True #test 参数测试是否能够同步成功,[root@saltstack-master ~]# salt '*' sys.doc state | less #查看 stata 模块用法
saltstack-master.example.com:
----------
ID: sync_vimrc
Function: file.managed
Name: /etc/vimrc
Result: True
Comment: The file /etc/vimrc is in the correct state
Started: 10:53:08.302890
Duration: 7.408 ms
Changes:
Summary
------------
Succeeded: 1
Failed: 0
------------
Total states run: 1
saltstack-minion.example.com:
----------
ID: sync_vimrc
Function: file.managed
Name: /etc/vimrc
Result: None
Comment: The file /etc/vimrc is set to be changed
Started: 10:53:08.967117
Duration: 6.296 ms
Changes:
----------
newfile:
/etc/vimrc
Summary
------------
Succeeded: 1 (unchanged=1, changed=1)
Failed: 0
------------
Total states run:2、DNS 设置
生产环境中,DNS 解析是比较重要的设置,建议在内网建立自己的内网 DNS 服务器,同样使用 SlatStack 的 File 状态模块中的 Managed 方法管理 resolv.conf 文件:
[root@saltstack-master ~]# cp /etc/resolv.conf /srv/salt/base/init/config/
[root@saltstack-master ~]# vim /srv/salt/base/init/dns.sls
/etc/resolv.conf:
file.managed:
- source: salt://init/config/resolv.conf
- user: root
- group: root
- mode: 644
- backup: '*'dns.sls 文件编写完成之后,需要把设置好的 resolv.conf 放到 /srv/salt/base/init/config 目录下面。
3、History 记录时间
使用 history 记录时间,可以清楚的知道什么用户什么时间执行了什么命令,对分析系统错误,及安全性有很大帮助,使用 SlatStack 的 File 状态模块的 Append 方法,在 /etc/profile 里面追加设置:(相当于 echo“”>> file)
[root@saltstack-master ~]# salt '*’sys.state_doc file.append | grep -C 5 append
[root@saltstack-master ~]# vim /srv/salt/base/init/history.sls
/etc/profile:
file.append:
- text:
- export HISTTIMEFORMAT="%F %T `whoami`"
#注:编写 SLS 文件时,使用英文输入法,不然会导致相关报错(Illegal tab character)4、命令操作审计
使用 logger 将输入的命令写入到 memssages 的一个简单功能,使用 SaltStack 的 File 模块的 Append 方法。建议将 memssages 日志文件进行统一收集管理,建议使用 ELK Stack(Elasticsearch、LogStach、Kibana)。
append_log: file.append: - name: /etc/bashrc - text: - export PROMPT_COMMAND='{msg=$(history 1 | { read x y; echo $y;});logger"[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }' cmd.run: - name: source /etc/bashrc5、内核参数优化
初始化时,需要对默认的内核参数进项调优,SaltStack 提供了 Sysctl 状态模块用来检测内核参数的配置,默认调整的内核参数较多,参考:
http://blog.sina.com.cn/s/blog_87113ac20102w4za.html
[root@saltstack-master ~]# cp /etc/sysctl.conf /srv/salt/base/init/config/
[root@saltstack-master ~]# vim /srv/salt/base/init/sysctl.sls
/etc/sysctl.conf:
file.managed:
- source: salt://init/config/sysctl.conf
- user: root
- group: root
- mode: 644# 需要先在本地设置好优化过的内核参数文件,放到 /srv/salt/base/init/config 目录下面。
参数优化详情可参考上面所示博客,或自行度娘。
[root@saltstack-master ~]# salt '*' state.sls init.sysctl test=True6、epel 仓库
建议设置 epel 仓库,放到系统初始化配置当中,由于本教程在安装 salt-minion 时已经安装过 epel 源,所以此处只贴出例子,是否需要使用建议在 env_init.sls 文件中设置即可。
[root@saltstack-master ~]# vim /srv/salt/base/init/epel.sls
yum_repo_release:
pkg.installed:
- sources:
- epel-release: http://mirrors.aliyun.com/epel/6/x86_64/epel-release-6-8.noarch.rpm
- unless: rpm -qa | grep epel-release-6-87、ssh 设置
建议在生产服务器对 ssh 配件文件进行统一管理,修改默认的连接端口
[root@saltstack-master ~]# sed -i 's/\#UseDNS yes/UseDNS no/' /etc/ssh/sshd_config
[root@saltstack-master ~]# sed -i 's/\#PermitEmptyPasswords no/PermitEmptyPasswords no/' /etc/ssh/sshd_config
#
[root@saltstack-master ~]# cp /etc/ssh/sshd_config /srv/salt/base/init/config/
[root@saltstack-master ~]# vim /srv/salt/base/init/ssh.sls
sync-ssh:
file.managed:
- name: /etc/ssh/sshd_config
- source: salt://init/config/sshd_config
- user: root
- group: root
- mode: 644
cmd.run:
- name: /etc/init.d/sshd restart
- require:
- file: sync-ssh
service.running:
- name: sshd
- enable: True
- reload: True
- require:
- file: sync-ssh8、crontab 设置
设置定时任务同步系统时间
[root@saltstack-master ~]# vim /srv/salt/base/init/cron.sls
ntpdate-init:
pkg.installed:
- name: ntpdate
set-crontab:
cron.present:
- name: /usr/bin/ntpdate times.aliyun.com >> /dev/null 2>&1
- user: root
- minute: '*5'
[root@saltstack-master ~]# salt '*' state.sls init.cron test=True9、安装常用命令
[root@saltstack-master ~]# vim /srv/salt/base/init/yum.sls
yum-list-init:
pkg.installed:
- names:
- gcc
- gcc-c++
- man
- vim-enhanced
- wget
- telnet
- lsof
- sysstat
- openssh-clients
- lrzsz
- tree
- hdparm 二、初始化环境引用
本教程编写的初始化功能 SLS 文件,统一放到 init 目录下,方便理解和管理,可以通过在编写一个特别的 SLS 文件,把 init 目录下面的初始化功能 SLS 文件包含进去,然后在 top.sls 直接引用这个 sls 文件即可:
[root@saltstack-master ~]# vim /srv/salt/base/init/env_init.sls
include:
- init.one
- init.vim
- init.dns
- init.history
- init.log
- init.sysctl
- init.epel
- init.ssh
- init.cron
- init.yum其中 one.sls 文件是最开始为了测试时创建的 sls 文件,此处建议在开始编写 sls 进行同步时,先编写 one.sls,然后进行单个 sls 文件同步测试,下面是从 saltstack-master 同步到 * 的演示。每新增一个功能模块的 sls 文件,都需要测试同步,同时 saltstack-master,salt-minion 中日志的级别建议设置成 debug,方便排错。
[root@saltstack-master ~]# salt '*' state.sls init.one
*:
----------
ID: /tmp/foo.conf
Function: file.managed
Result: True
Comment: File /tmp/foo.conf is in the correct state
Started: 19:05:42.311064
Duration: 13.934 ms
Changes:
Summary
------------
Succeeded: 1
Failed: 0
------------
Total states run: 1查看到此我们已经编写的 sls 文件,通过 tree 命令,最小化安装的 CentOS 6.7 默认没安装 tree,需自行 yum 安装即可:
[root@saltstack-master ~]# tree /srv/salt/base/
/srv/salt/base/
├── init
│ ├── config
│ │ ├── foo.conf
│ │ ├── resolv.conf
│ │ ├── sshd_config
│ │ ├── sysctl.conf
│ │ └── vimrc
│ ├── cron.sls
│ ├── del_cron.sls
│ ├── dns.sls
│ ├── env_init.sls
│ ├── epel.sls
│ ├── history.sls
│ ├── log.sls
│ ├── one.sls
│ ├── ssh.sls
│ ├── sysctl.sls
│ ├── vim.sls
│ └── yum.sls
└── top.sls
2 directories, 18 files编写 top.sls 文件,给 Minion 指定状态并执行:
[root@saltstack-master ~]# vim /srv/salt/base/top.sls
base:
'*':
- init.env_init注意:生产环境中,每次执行状态,强烈建议先进性测试,确定 SaltStack 会执行那些操作然后在应用状态到服务器上:
测试:
[root@saltstack-master ~]# salt '*' state.highstate test=True
注:建议这里不要用 salt‘*’state.highstate test=True,需要指定到那台服务器,用正则匹配到指定服务器,避免导致不必要的错误。…….
Summary
-------------
Succeeded: 24 (unchanged=15, changed=4)
Failed: 0
-------------
Total states run: 24如果出现上图所示,表示编写的 sls 文件可以正常执行,然后同步到指定的服务器上面。
[root@saltstack-master ~]# salt '*' state.highstate下面是把初始化设置应用 * 显示结果:(已成功)
[root@saltstack-master ~]# salt '*' state.highstate
*:
----------
ID: /tmp/foo.conf
Function: file.managed
Result: True
Comment: File /tmp/foo.conf is in the correct state
Started: 19:29:09.696053
Duration: 6.285 ms
Changes:
----------
ID: /etc/resolv.conf
Function: file.managed
Result: True
Comment: File /etc/resolv.conf is in the correct state
Started: 19:29:09.702465
Duration: 2.294 ms
Changes:
----------
ID: /etc/salt/minion
Function: file.managed
Result: True
Comment: File /etc/salt/minion is in the correct state
Started: 19:29:09.704881
Duration: 2.543 ms
Changes:
----------
ID: /etc/profile
Function: file.append
Result: True
Comment: File /etc/profile is in correct state
Started: 19:29:09.707537
Duration: 1.06 ms
Changes:
----------
ID: /etc/sysctl.conf
Function: file.managed
Result: True
Comment: File /etc/sysctl.conf is in the correct state
Started: 19:29:09.708709
Duration: 2.32 ms
Changes:
Summary
------------
Succeeded: 5
Failed: 0
------------
Total states run: 5
正文完
星哥说事-微信公众号
