SaltStack 入门指南：运维自动化的新手必备

SaltStack：让大规模运维变得轻松高效

在日常运维工作中，面对成百上千台服务器的批量命令执行、应用部署和状态维护，团队难免会感到压力巨大。有没有一款工具，能像一位高度自律的指挥官，确保整个服务器集群整齐划一、高效运转？答案是肯定的。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

今天我们要深入探讨的，正是这样一款利器：SaltStack，业内常简称为Salt。它是一个基于Python开发的开源基础设施管理平台，核心能力在于远程执行和配置管理。简单来说，它能帮你实现：批量执行命令、自动化部署应用、确保配置的一致性，从而从根本上提升整个运维体系的效率。

如果你对Ansible这类工具已有接触，那么理解Salt的核心思想会快很多，它们的目标相似，但哲学和实现方式各有千秋。

一、Salt vs Ansible：如何选择？

简单来说，选择取决于你的场景规模和对性能的要求。如果你需要管理的是一个庞大且需要高并发控制的服务器集群，Salt基于ZeroMQ的通信架构通常能带来更高的效率。相反，对于服务器数量不多、追求快速上手的团队，Ansible基于SSG的无袋里模式可能初期会更友好。

二、Salt 核心概念：掌握这几项就够了

要玩转Salt，首先得理解它的几个核心术语，这就像是学习一门新语言的语法基础：

• Master: 控制中心，所有命令和配置都从这里发起和分发。
• Minion: 受控的客户端节点，忠诚地执行来自Master的指令。
• Grains: 描述Minion本身静态信息的数据，比如操作系统、IP地址、CPU型号等，用于识别和定位节点。
• Pillar: 存储 Minion 专属或敏感配置信息的地方，比如密码、密钥，它与Grains互补，一个静态一个动态/安全。
• SLS 文件: Salt State文件的简称，用于描述系统应该处于何种状态，定义了配置管理的流程和步骤，其角色类似于Ansible中的Playbook。

一个典型的Salt架构，其通信流程可以这样直观理解：

+---------+      |  Master |      +----+----+           |           | ZeroMQ           |      +----+----+      |  Minion |      +---------+

三、Salt 核心配置文件：从安装到信任

理论懂了，接下来就是实战。从安装到建立Master与Minion之间的信任关系，是迈出的第一步。

1. master和minion安装

以主流的CentOS系统为例，安装过程非常直接。首先配置好yum源，然后分别安装对应的服务端和客户端包。

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
yum clean all #清空缓存
yum makecache #生成yum缓存
# master 安装salt-master
yum install salt-master -y
# sla ve 安装salt-minion
yum install salt-minion -y
# 启动
systemctl start salt-minion
systemctl start salt-master

2. 配置与密钥认证

安装完成后，关键的配置环节来了。Master的核心配置文件是 /etc/salt/master，其中几个基础参数需要关注：

[root@master ~]# grep -v ^# /etc/salt/master|grep -v ^$
interface: 0.0.0.0  #绑定到本地的0.0.0.0地址
publish_port: 4505  #管理端口，命令发送
user: root      #运行salt进程的用户
worker_threads: 5  #salt运行线程数，线程越多处理速度越快，不要超过cpu个数
ret_port: 4506  #执行结果返回端口
pidfile: /var/run/salt-master.pid #pid文件位置
log_file: /var/log/salt/master  #日志文件地址
#自动接收minion的key
auto_accept: False

Minion端的配置文件是 /etc/salt/minion，首要任务是指定Master是谁：

master: 10.xx.xx.xx  # 指定Salt Master 地址（此处为示例 IP）
master_port: 4506  # Minion与Master 通信端口,默认 4506
# 使用 TCP 作为 Minion 与 Master 的底层传输方式
# 默认使用 "zeromq"，但在国产系统或安全要求场景，TCP 更稳定
transport: tcp
# Master 发布任务（事件总线）的端口
publish_port: 4505
# Minion 执行任务时使用的工作线程数
# 数值越高，可以处理更多并发任务
worker_threads: 10
# Minion 向 Master 返回执行结果失败时，每隔多少秒重试一次
return_retry_timer: 6
# 重试间隔最大值，用于限制重试时间的增长
return_retry_timer_max: 2000
# 返回结果的最大重试次数
return_retry_tries: 30
# root 用户可执行系统级任务，生产环境较常用
user: root
# 设置日志输出的级别：
# debug | info | warning | error
log_level: info
# 日志时间格式（仅日期）
log_datefmt: '%Y-%m-%d %H:%M:%S'
# 控制台日志输出格式
# 包含日期、毫秒、模块、函数、行号、日志等级等信息
log_fmt_console: '%(asctime)s,%(msecs)03d [%(name)s] %(funcName)s  %(lineno)d [%(levelname)s] %(message)s'
# 日志文件输出格式（结构同上）
log_fmt_logfile: '%(asctime)s,%(msecs)03d [%(name)s] %(funcName)s  %(lineno)d [%(levelname)s] %(message)s'
# DNS 名称解析失败时的重试次数（默认一般为 1）
retry_dns: 3

配置完成后启动服务，Salt的安全机制便开始运作。Minion启动后会主动连接Master并提交自己的公钥，但这并不意味着立即获得信任。此时，需要管理员在Master上手动审核并接受这个“新成员”。

使用 salt-key -L 命令可以查看所有密钥状态：

Accepted Keys:
Denied Keys:
Unaccepted Keys:
sla ve
Rejected Keys:

如果看到目标Minion（例如名为sla ve）出现在“Unaccepted Keys”列表中，说明连接已建立，但等待授权。这时，使用 salt-key -a sla ve 命令接受该密钥，双方之间加密的信任通道才算正式打通。

这里顺便列举几个 salt-key 的常用命令，方便管理：

[root@linux-node1 ~]# salt-key -L
Accepted Keys：  #已经接受的key
Denied Keys：    #拒绝的key
Unaccepted Keys：#未加入的key
Rejected Keys：#吊销的key
#常用参数
-L  #查看KEY状态
-A  #允许所有
-D  #删除所有
-a  #认证指定的key
-d  #删除指定的key
-r  #注销掉指定key（该状态为未被认证）
#在master端/etc/salt/master配置auto_accept: True   #如果对Minion信任,可以配置master自动接受请求

三、Salt 基础语法：从执行到配置

建立了信任，就可以发号施令了。Salt的操作主要分为两大类：远程执行和状态管理。

1. 执行模块（Execution Module）

这相当于 Ansible 中的 ad-hoc 命令，用于实时、一次性的远程操作。例如：

salt '*' test.ping            # 测试所有 Minion 是否在线
salt '*' cmd.run 'uptime'     # 查看所有节点的系统负载
salt '*' pkg.install nginx    # 在所有节点上安装 nginx
salt '*' service.start nginx  # 启动所有节点的 nginx 服务

2. 状态模块（State Module）

这是Salt进行配置管理的核心，通过声明式的SLS文件，描述系统最终应该达到的状态，类似于Ansible的Playbook。一个简单的示例：

install_nginx:
  pkg.installed:
    - name: nginx

start_nginx:
  service.running:
    - name: nginx
    - enable: True
    - require:
      - pkg: install_nginx

3. 文件管理

自动化运维离不开文件的分发与管理。Salt可以方便地创建目录、部署文件，甚至使用Jinja2模板动态生成配置文件：

# 创建目录
create_web_dir:
  file.directory:
    - name: /usr/share/nginx/html
    - user: root
    - group: root
    - mode: 755

# 部署模板文件
/usr/share/nginx/html/index.html:
  file.managed:
    - source: salt://nginx/index.html.jinja
    - template: jinja

4. 条件判断

在实际部署中，往往需要对不同的节点执行不同的操作。这时，结合Grains信息和Jinja2模板的条件判断就非常有用：

{% if grains['role'] == 'web' %}
# 这部分配置只会应用到 role 为 'web' 的节点上
{% endif %}

掌握了以上这些基础概念、安装配置和核心语法，你已经具备了上手SaltStack进行实战部署的能力。接下来，就是将这些知识应用到具体的项目中，去体验自动化运维带来的秩序与效率了。