作為安裝後程序的一部分,需要安裝、設定和升級主節點外掛程式。透過主節點外掛程式,Salt 主節點能夠與 SaltStack Config 進行通訊。主節點外掛程式包括各種設定,您可以調整這些設定以改進效能,這對於大型環境或忙碌環境特別有用。

通常,會在環境中與 SaltStack Config 進行通訊的每個 Salt 主節點上安裝主節點外掛程式。例如,如果您使用具有多個 Salt 主節點的組態 (有時稱為多主節點設定),則每個主節點都需要安裝主節點外掛程式。

如需有關更新與效能相關的設定的詳細資訊,請參閱 SaltStack Config 產品說明文件中主節點外掛程式頁面。

備註: 作為 VMware 移除有問題術語計劃的一部分,Salt 主節點一詞將在 SaltStack Config 及相關產品和說明文件中取代為更貼切的詞。此術語更新可能需要幾個發行週期才能全面完成。

開始之前

安裝並設定主節點外掛程式是一系列步驟中的一個安裝後步驟,這些步驟應按特定順序執行。首先,完成其中一個安裝案例,然後閱讀〈安裝授權金鑰〉安裝後頁面。

何時需要安裝主節點外掛程式?

SaltStack Config 全新安裝完成後,需要在所有主節點上安裝主節點外掛程式。在不需要與 SaltStack Config 進行通訊的主節點上,主節點外掛程式不是必要的。

如果使用節點少於 1000 個的情況下安裝 SaltStack Config安裝案例,則無需在已安裝 SaltStack Config 及其相關架構的節點上安裝主節點外掛程式。安裝程式會自動在 Salt 主節點上安裝主節點外掛程式。但是,僅在執行此安裝程式的 Salt 主節點上安裝主節點外掛程式。如果您有多個主節點,則仍需要在其他主節點上安裝主節點外掛程式。

如果近期升級到了更新版本的 SaltStack Config,還應重新安裝主節點外掛程式。如需有關在升級後升級和安裝主節點外掛程式的完整指示,請參閱升級 SaltStack Config

如果您要手動安裝 SaltStack Config (不建議),應在安裝主節點外掛程式前完成以下步驟:

  • 安裝和設定 PostgreSQL 資料庫
  • 安裝和設定 Redis 資料庫
  • 啟用 SSL (可選)

安裝主節點外掛程式

在 Salt 主節點上安裝主節點外掛程式:

  1. 登入主節點。
  2. 如有必要,請從 Customer Connect 下載主節點外掛程式 wheel。

    主節點外掛程式包含在自動安裝程式 .tar.gz 檔案中。下載並擷取 .tar.gz 檔案後,可以在 sse-installer/salt/sse/eapi_plugin/files 目錄中找到主節點外掛程式。

  3. 手動安裝更新的 Python wheel 以安裝主節點外掛程式。使用以下範例命令,取代 wheel 檔案的確切名稱:

    RHEL/CentOS

    sudo pip3 install SSEAPE-file-name.whl --prefix /usr

    Ubuntu

    sudo pip3 install SSEAPE-file-name.whl
    備註: 某些使用者可能需要將其作業系統的語法更改為 pip3.6pip36

設定主節點外掛程式

在安裝主節點外掛程式後設定主節點:

  1. 登入主節點並確認 /etc/salt/master.d 目錄是否存在,或建立該目錄。
  2. 產生主節點組態設定。
    注意: 如果您要在升級安裝時保留設定,請備份現有主節點外掛程式組態檔後再執行此步驟。然後,將現有組態中的相關設定複製到新產生的檔案。
    sudo sseapi-config --all > /etc/salt/master.d/raas.conf

    如果執行此命令導致出現錯誤,這可能與最初安裝 Salt 時所使用的方法相關。如果已透過 SaltStack Config 安裝程式安裝 Salt,則您的安裝可能包括一個名為 Salt Crystal 的離線套件,此套件需要特殊的升級指示。如需詳細資訊,請參閱疑難排解

  3. 編輯產生的 raas.conf 檔案並按如下所示更新值,以驗證 API (RaaS) 使用的憑證並設定其 IP 位址。
    說明

    sseapi_ssl_validate_cert

    驗證 API (RaaS) 使用的憑證。預設值為 True

    如果使用的是自己的 CA 核發憑證,請將此值設定為 True,然後設定 sseapi_ssl_casseapi_ssl_certsseapi_ssl_cert: 設定。

    否則,請將此值設定為 False,從而不驗證憑證。

    sseapi_ssl_validate_cert:False

    sseapi_server

    RaaS 節點的 HTTP IP 位址,例如 http://example.comhttps://example.com (如果 SSL 已啟用)。

    sseapi_command_age_limit

    設定略過可能失效的舊工作之前的存留期 (以秒為單位)。例如,若要略過超過一天的工作,請設定為:

    sseapi_command_age_limit:86400

    略過的工作將繼續存在於資料庫中,並且在 SaltStack Config 使用者介面中顯示 Completed 狀態。

    某些環境可能需要 Salt 主節點長時間處於離線狀態,並且需要 Salt 主節點在重新上線後執行已排入佇列的任何工作。如果您的環境適用此情況,請將存留期限制設定為 0

    sseapi_windows_minion_deploy_delay 設定延遲以允許所有必要的 Windows 服務變為作用中狀態。預設值為 180 秒。
    sseapi_linux_minion_deploy_delay 設定延遲以允許所有必要的 Linux 服務變為作用中狀態。預設值為 90 秒。
  4. 可選:僅手動安裝需要執行此步驟。若要確認在連線主節點外掛程式前可以連線至 SSL,請編輯產生的 raas.conf 檔案以更新下列值。如果不更新這些值,主節點外掛程式會使用預設產生的憑證。
    說明
    sseapi_ssl_ca CA 檔案的路徑。
    sseapi_ssl_cert 憑證的路徑。預設值為 /etc/pki/raas/certs/localhost.crt
    sseapi_ssl_key 憑證私密金鑰的路徑。預設值為 /etc/pki/raas/certs/localhost.key
    id 透過在開頭處新增 #,註解此行標記。這不是必要的。
  5. 可選:更新與效能相關的設定。對於大型或忙碌的環境,可以透過調整以下設定來提升 Salt 主節點與 SaltStack Config 之間的通訊效能。
    • 啟用事件佇列 (在 Salt 2019.2.2 及更新版本中可用)。事件可在 Salt 主節點上排入佇列,並針對多個事件使用單一交易以批次方式將事件傳送至事件傳回程式。依預設,此佇列機制已停用。若要啟用事件佇列,請在 Salt 主節點外掛程式組態檔中設定以下內容:
      event_return_queue:2500
      event_return_queue_max_seconds:5

      建議的事件佇列大小上限為 2500,如文中所示。當佇列已滿時,將會排清佇列,以將事件轉送至事件傳回程式。值越小,越適合小型或不太忙碌的環境。

      在某些情況下,Salt 事件匯流排可能不夠忙碌,使得佇列定期達不到其大小上限。如果佇列中最早的事件早於設定的值,則無論佇列中有多少事件,設定 event_return_queue_max_seconds 後都將排清佇列。

    • 啟用並設定 eventqueuerpcqueue 引擎:

      這些引擎會將與 SaltStack Config 的某些通訊從效能關鍵代碼路徑卸載至專用程序。當引擎正在等待與 SaltStack Config 通訊時,會將裝載儲存在 Salt 主節點的本機檔案系統中,以便資料能夠在 Salt 主節點重新啟動過程中保持不變。

      若要啟用引擎,請在 Salt 主節點外掛程式組態檔 (raas.conf) 中取消以下設定的註解:

      engines:
        - sseapi: {}
        - eventqueue: {}
        - rpcqueue: {}
        - jobcompletion: {}
        - keyauth: {}

      若要設定 eventqueue 引擎,請取消以下設定的註解並進行更新:

      sseapi_event_queue:
        name: sseapi-events
        strategy: always
        push_interval: 5
        batch_limit: 2000
        age_limit: 86400
        size_limit: 35000000
        vacuum_interval: 86400
        vacuum_limit: 350000
        forward: []

      可以根據佇列參數的共同運作方式來調整這些參數。例如,假設 Salt 事件匯流排上每秒平均有 400 個事件,上述設定允許在最早事件因大小或存留期限制而遭到捨棄之前,在 Salt 主節點上收集大約 24 小時的已排入佇列的事件流量。

      若要設定 rpcqueue 引擎,請取消以下設定的註解並進行更新:

      sseapi_rpc_queue:
          name: sseapi-rpc
          strategy: always
          push_interval: 5
          batch_limit: 500
          age_limit: 3600
          size_limit: 360000
          vacuum_interval: 86400
          vacuum_limit: 100000
    • 啟用負載快取:
      sseapi_local_cache:
          load:3600
      備註: 如果 rpcqueue 引擎已啟用,還必須啟用負載快取,Salt 主節點才能正確處理工作。
    • 限制部屬節點粒紋裝載大小:
      sseapi_max_minion_grains_payload:2000
    • 啟用略過早於定義時間 (以秒為單位) 的工作。例如,使用 86400 會設定為略過一天前的工作。如果設定為 0,將停用此功能:
      sseapi_command_age_limit:0
      備註:

      此功能在升級期間非常有用,可防止資料庫中儲存的舊命令意外執行。

    Salt 中的事件佇列以及 Salt 主節點外掛程式中的佇列引擎、負載快取、粒紋裝載大小限制和命令存留期限制共同增加了輸送量,並減少了在對效能最敏感的代碼路徑中 Salt 主節點與 SaltStack Config 之間的通訊延遲。

  6. 重新啟動主節點服務。
    sudo systemctl restart salt-master
  7. 可選:您可能想要執行測試工作,以確保主節點外掛程式現已啟用主節點與 RaaS 節點之間的通訊。
    salt -v '*' test.ping

即使未顯示任何活動,例如未連線部屬節點,也可能表示組態正確無誤。

組態設定參考

組態檔中的這些設定可讓每個 Salt 主節點連線至 API (RaaS)。您可以在 /etc/salt/master.d/raas.conf 組態檔中找到這些設定。

重要:

raas.conf 檔案中的 Salt 主節點設定優先於 /etc/salt/master 中的現有設定。如果已自訂 /etc/salt/master 中的 fileserver_backendext_pillar 設定,則需要手動合併這些設定,以便這些設定僅顯示在一個檔案中。可以選擇性地對後端進行重新排序,以變更優先順序。

下表說明了一般組態設定:

選項 說明
id Salt 主節點識別碼,如果未設定,則自動產生
sseapi_server SSEAPI 伺服器的 URL,例如 https://sse.example.com:443
engines 要啟用的 Salt 引擎,建議使用 sseapieventqueuerpcqueuejobcompletionkeyauth
master_job_cache 使用 sseapi,以使用 SaltStack Config 主節點工作快取
event_return Salt 事件傳回程式,建議使用 sseapi,以使用 SaltStack Config 事件傳回程式
ext_pillar 外部 pillar 來源,建議使用 sseapi
fileserver_backend 檔案伺服器後端,建議使用 sseapiroots
sseapi_update_interval 從檔案伺服器更新的頻率 (以秒為單位,預設為 60)
sseapi_poll_interval 輪詢 SaltStack Config 以取得新資料的頻率 (以秒為單位,預設為 30)
sseapi_jce_poll_interval 增加了 jobcompletion 引擎中反覆運算之間的延遲,因此,每個 Salt 主節點每天最多傳送 5760 個 find_job 命令 (以秒為單位,預設為 15)
sseapi_timeout API (RaaS) 呼叫逾時 (以秒為單位,預設為 200)
sseapi_pubkey_path 用於向 SaltStack Config 驗證 Salt 主節點的公開金鑰檔案的路徑
sseapi_key_rotation Salt 主節點 SaltStack Config 驗證金鑰輪替間隔 (以秒為單位,預設為 86400)
sseapi_cache_pillar 是否在 SaltStack Config 內快取 pillar 資料 (True 或 False,預設為 False)
sseapi_cluster_id (可選) Salt 主節點叢集名稱,用於在 SaltStack Config 中將 Salt 主節點分組到叢集
sseapi_failover_master 此 Salt 主節點是否為容錯移轉 Salt 主節點 (True 或 False,預設為 False)
sseapi_command_age_limit 是否略過早於定義時間的 API (RaaS) 命令 (以秒為單位,0 表示停用,預設為 0)

下表說明了 SSL 設定:

選項 說明
sseapi_ssl_key 憑證私密金鑰的路徑
sseapi_ssl_cert 憑證的路徑
sseapi_ssl_validate_cert 是否驗證 SaltStack Config SSL 憑證 (True 或 False,預設為 True)

下表說明了顯示在 sseapi_event_queue 標題下的事件佇列引擎設定:

選項 說明
name 事件佇列名稱 (預設為 sseapi-events,無需變更此項)
strategy 將事件排入佇列的時間 (alwayson_failurenever,預設為 never)
push_interval 將事件推送至 SaltStack Config 的頻率 (以秒為單位,預設為 5)
batch_limit 每個間隔推送至 SaltStack Config 的事件數目上限 (預設為 2000)
age_limit 已排入佇列的事件存留期上限;捨棄最早的事件 (以秒為單位,預設為 86400)
size_limit 佇列大小上限;捨棄最早的事件 (事件數,預設為 35000000)
vacuum_interval 對佇列資料庫執行 vacuum 操作的頻率 (以秒為單位,預設為 86400)
vacuum_limit 對佇列資料庫執行 vacuum 操作時的佇列大小上限 (事件數,預設為 350000)
forward 排清佇列時要向其傳送事件的其他 Salt 傳回程式 (預設為無)

forward 組態項目可以指定包含一或多個 Salt 傳回程式名稱的清單。每次排清事件佇列時,已排入佇列的事件都將傳送至 SaltStack Config 以及此清單中的每個傳回程式。這樣一來,事件佇列引擎的佇列和持續性功能便可以新增到任何標準 Salt 傳回程式。以下是組態摘要,使事件每次傳送至 SaltStack Config 時都被寫入本機檔案中:

sseapi_event_queue:
  # ...other queue settings...
  forward:
    - rawfile_json

# rawfile_json returner configuration
rawfile_json.filename: /var/log/salt/events.json

下表說明了顯示在 sseapi_rpc_queue 標題下 RPC 佇列引擎設定:

選項 說明
name 事件佇列名稱 (預設為 sseapi-rpc,無需變更此項)
strategy 將事件排入佇列的時間 (alwayson_failurenever,預設為 never)
push_interval 將呼叫傳送至 SaltStack Config 的頻率 (以秒為單位,預設為 5)
batch_limit 每個間隔推送至 SaltStack Config 的呼叫數目上限 (預設為 500)
age_limit 已排入佇列的呼叫存留期上限;捨棄最早的項目 (以秒為單位,預設為 3600)
size_limit 佇列大小上限;捨棄最早的項目 (事件數,預設為 360000)
vacuum_interval 對佇列資料庫執行 vacuum 操作的頻率 (以秒為單位,預設為 86400)
vacuum_limit 對佇列資料庫執行 vacuum 操作時的佇列大小上限 (項目數,預設為 100000)

下表說明了路徑設定。產生初始組態後,請謹慎變更這些設定。模組將透過安裝程序複製到這些目錄中。但是,新增額外路徑不會造成不利影響。

選項 說明
beacons_dirs 指標外部模組路徑
engines_dirs 引擎外部模組路徑
fileserver_dirs 檔案伺服器外部模組路徑
pillar_dirs pillar 外部模組路徑
returner_dirs 傳回程式外部模組路徑
roster_dirs 名冊外部模組路徑
runner_dirs 執行器外部模組路徑
module_dirs Salt 外部模組路徑
proxy_dirs Proxy 外部模組路徑
metaproxy_dirs 中繼 Proxy 外部模組路徑
states_dirs 狀態外部模組路徑

後續步驟

安裝並設定主節點外掛程式後,必須完成其他安裝後步驟。下一步是設定 RaaS 節點。若要繼續執行安裝後程序,請參閱檢查 RaaS 組態檔