centos salt？Centos 7

如何借助Salt Cloud配置AWS EC2实例

SaltStack项目于2011年启动。我们在2013年8月首次刊文介绍SaltStack；就在同一年，在拥有最多“关闭的问题”（issues closed）和“合并拉拽请求”（merged pull request）类别的所有公共软件库当中，GitHub的Octoverse在saltstack/salt软件库中名列第三。

2013年11月8日，Salt Cloud被并入到主Salt软件库，成为SaltStack 2014.1.0 Hydrogen版本的一部分。

Salt Cloud这款工具可以用来配置和管理得到支持的云服务提供商内部和之间的云服务器。比如说，系统管理员通过使用Salt Cloud配置的单个节点，就可以配置位于亚马逊网络服务（AWS）美国西海岸地区的五台新的Web服务器，配置位于Rackspace伦敦地区的三台新的应用服务器。

本文介绍了如何借助Salt Cloud配置亚马逊弹性计算云（EC2）实例；文章还介绍了如何使用Salt Cloud的地图（Map）功能，借助单单一个命令，配置几个并行的实例。

不过本文中所用的发行版是CentOS；除了安装方面的一些微小细节外，本文探讨的详细步骤适用于EC2上、可以运行最新版SaltStack的任何发行版。

除了AWS EC2外，SaltStack还支持其他的云服务提供商，比如Digital Ocean、GoGrid、谷歌计算引擎（Google Compute Engine）、OpenStack和Rackspace。功能矩阵列出了一张表，显示了针对每家云服务提供商的支持功能。

来自运行salt-cloud的实例、Salt Cloud命令行工具以及所配置实例的所有交互都通过SSH协议来实现。Salt Cloud不需要Salt Master守护进程。如果你想要使用Salt状态和模块来管理所配置实例，就需要设置Salt Master，这不在本文的探讨范围之内。

安装

salt-cloud命令行工具随作为EPEL一部分的salt-master 2014.1.0 RPM程序包一同发行。它应该可以安装在EC2里面的实例上。

$ yum install salt-master

“SaltStack”团队管理Ubuntu个人软件包存档（PPA），它含有所有最新版本的Ubuntu。Salt还出现在标准的openSUSE 13.1版本中。docs.saltstack.com提供了详尽具体的说明文档，含有说明步骤，介绍了如何针对其他发行版和平台安装Salt。

salt-cloud确实依赖Apache libcloud，这是一种可与30多家云服务提供商兼容的python库。可以使用pip命令，安装稳定版本的apache-libcloud。

$ pip install apache-libcloud

要是没有pip命令，你可能需要先安装python-pip程序包。如果你想把apache-libcloud安装在孤立的Python环境中，首先要检查virtualenv（虚拟环境）。

EC2安全组

salt-cloud配置的每个实例都需要属于至少一个AWS EC2安全组（Security Group），该安全组允许来自端口22/tcp、始发于运行salt-cloud的实例的入站流量。我在之前的一篇文章中已介绍了如何使用awscli工具创建安全组，

$ aws ec2 create-security-group\--group-name MySecurityGroupSaltCloudInstances\--description"The Security Group applied to all salt-cloud instances"$ aws ec2 authorize-security-group-ingress\--group-name MySecurityGroupSaltCloudInstances\--source-group MySecurityGroupSaltCloud\--protocol tcp--port 22

authorize-security-group-ingress命令允许MySecurityGroupSaltCloud安全组里面的任何EC2节点通过端口22/tcp，访问MySecurityGroupSaltCloudInstances里面的其他任何EC2节点。在我的安装环境中，运行salt-cloud的实例属于MySecurityGroupSaltCloud安全组。你需要创建一个安全组，运行salt-cloud的实例将属于该安全组。

EC2密钥对

salt-cloud依赖SSH协议上传和运用salt-bootstrap自动安装脚本。需要针对运行salt-cloud的实例生成SSH公钥和私钥。公钥同样需要上传到AWS EC2，成为密钥对。我在前一篇文章中也介绍了如何实现这一步。

想创建SSH私钥和SSH公钥：

$ ssh-keygen-f/etc/salt/my_salt_cloud_key-t rsa-b 4096$ aws ec2 import-key-pair--key-name my_salt_cloud_key\--public-key-material

Salt Cloud配置文件

Salt Cloud配置文件（Profile）为一组将由salt-cloud配置和管理的salt minion定义了一些基本的配置项。

在下面的/etc/salt/cloud.profiles文件里面，我已创建了一个配置文件，名为base_ec2_private；该配置文件使用我将在接下来定义的my_ec2_ap_southeast_2_private_ips提供商。我需要指定的另外唯一一个选项是minion将运行的那个映像的亚马逊机器映像（AMI） ID。ami-e7138ddd是CentOS.org发行、在AWS ap-southeast-2区域里面可用的CentOS 6.5映像的AMI ID。

base_ec2_private: provider: my_ec2_ap_southeast_2_private_ips image: ami-e7138ddd

Salt Cloud提供商

salt-cloud提供商定义了AWS EC2实例使用的一系列属性。

下面是我用来定义my_ec2_ap_southeast_2_private_ips提供商的/etc/salt/cloud.providers文件。该提供商被我的my base_ec2_private配置文件所使用。

my_ec2_ap_southeast_2_private_ips:

# salt-cloud应连接到的IP地址 ssh_interface: private_ips# AWS登录信息 id:@AWS_ACCESS_KEY_ID@ key:'@AWS_SECRET_ACCESS_KEY@'# SSH密钥 keyname: my_salt_cloud_key private_key:/etc/salt/my_salt_cloud_key# AWS位置 location: ap-southeast-2 availability_zone: ap-southeast-2a# AWS安全组 securitygroup: MySecurityGroupSaltCloudInstances# AWS AMI size: Micro Instance# minion被销毁后，删除AWS根卷 del_root_vol_on_destroy: True#本地用户 ssh_username: root#一旦销毁，就更名 rename_on_destroy: True provider: ec2

我定义了用@符号封装的几个属性，它们需要上传，以适合你的环境。

@AWS_ACCESS_KEY_ID@：AWS Access Key ID属于拥有足够EC2权限以配置新实例的IAM帐户。虽然salt-cloud确实支持AWS身份与访问管理（IAM）角色，但它们只适用于所配置的EC2 minion。静态的AWS访问密钥和秘密密钥仍被salt-cloud用来部署minion。

@AWS_SECRET_ACCESS_KEY@：属于AWS Access Key ID的AWS秘密密钥。

创建第一个salt-cloud minion

首先，你可能需要在SSH代理里面设置SSH密钥。

$ eval `ssh-agent`$ ssh-add/etc/salt/my_salt_cloud_key

下一步，调用传递配置文件名称的salt-cloud，其名称与你在/etc/salt/cloud.profiles里面配置的相一致，最后一个参数是新minion的名称。

$ salt-cloud--profile=base_ec2_private my_first_minion

salt-cloud使用SSH代理获取salt-bootstrap自动安装脚本，该脚本会安全地检测minion发行版，安装salt-minion程序包，如果你已设置好salt-master，还可以预先为salt-master提供minion的密钥。

如果成功，我们可以使用salt-cloud查询实例：

$ salt-cloud--action=show_instance my_first_minion

salt-cloud还支持其他操作，比如查询和设定AWS EC2标记：

$ salt-cloud--action=get_tags my_first_minion$ salt-cloud--action=set_tags my_first_minion environment=devel\ role=webserver

我们可以启用和禁用EC2终止保护（Termination Protection）：

$ salt-cloud--action=show_term_protect my_first_minion$ salt-cloud--action=enable_term_protect my_first_minion$ salt-cloud--action=disable_term_protect my_first_minion

我们还可以重启minion：

$ salt-cloud--action=reboot my_first_minion

如果你已设置好了salt-master，应该能够通过salt命令行，运行标准的salt模块：

$ salt my_first_minion cmd.run'/sbin/ip address show'

当然了，如果salt-master状态已设置好，你可以运用state.highstate。

$ salt my_first_minion state.highstate

最后，我们可以使用--destroy选项销毁实例：

$ salt-cloud--destroy my_first_minion

Salt Cloud地图

我们前面已探讨了借助salt-cloud配置单个的EC2实例。现在，我们可以延伸开来，使用Slat Cloud地图（Maps），借助单单一个salt-cloud命令，创建多个实例。

在/etc/salt/cloud.map文件里面，我定义了三台都继承base_ec2_private配置文件的Web服务器。

base_ec2_private:- web1_prod- web2_prod- web3_prod

想配置所有三个实例，我只需要传递--map选项连同地图文件的位置。另外包括--parallel，地图里面的所有实例将同时被配置。

$ salt-cloud--map=/etc/salt/cloud.map--parallel

一旦配置完毕，我们就可以借助salt-cloud，查询地图里面的所有实例。

$ salt-cloud--map=/etc/salt/cloud.map--query

想终止地图里面的所有服务器，我们只要传递--destroy选项。

$ salt-cloud--map=/etc/salt/cloud.map–destroy

OpenSSL 功能介绍

1概述

OpenSSL是一个安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。

OpenSSL是实现安全套接字层（SSL v2/ v3）和传输层安全（TLS v1）网络协议及其所需的相关加密标准的加密工具包。

OpenSSL：开源项目

三个组件：

openssl:多用途的命令行工具，包openssl

libcrypto:加密算法库，包openssl-libs

libssl：加密模块应用库，实现了ssl及tls，包nss

.openssl命令：

两种运行模式：交互模式和批处理模式

opensslversion：程序版本号

标准命令、消息摘要命令、加密命令

标准命令：enc, ca, req,...

查看帮助：openssl?

可以通过openssl来创建CA和颁发证书，文章

有做介绍，本文仅介绍openssl这个工具包的其他常用功能

2案例介绍

2.1对称加密

工具：openssl enc, gpg，文章 已经介绍

算法：3des, aes, blowfish, twofish

.enc命令：

对称密码命令允许使用基于密码或明确提供的密钥的各种块和流密码来加密或解密数据。 Base64编码或解码也可以通过本身或加密或解密来执行。

The symmetric cipher commands allow data to be encrypted or decrypted using various block and stream ciphers using keys based on passwords or explicitly provided. Base64 encoding or decoding can also be performed either by itself or in addition to the encryption or decryption.

帮助：man enc

例子

加密文件

以下命令运行需要输入一个密码，当解密的时候需要输入相同的密码才能解密，这里新生成的文件后缀名不一定是cipher，可以自己指定

openssl enc -e-des3-a-salt-in testfile -out testfile.cipher

解密文件

openssl enc -d-des3-a-salt–in testfile.cipher-out testfile

2.2公钥加密

公钥加密生成非对称的密钥

算法：RSA, ELGamal

工具：gpg, openssl rsautl（man rsautl）

数字签名：

算法：RSA, DSA, ELGamal

密钥交换：

算法：dh

DSA: Digital Signature Algorithm

DSS：Digital Signature Standard

RSA公钥加密算法是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的。命名是取其名字首字母组合成RSA

RSA公钥与私钥主要用于数字签名(Digital Signature)与认证(Authentication),我们一般也称之为不对称加密/解密。

2.2.1生成密钥对

帮助：man genrsa

.生成私钥，这个生成密钥的过程要掌握

openssl genrsa -out/PATH/TO/PRIVATEKEY.FILE NUM_BITS

私钥文件生成后，建议把权限改成600，保护，放在被其他人查看密码信息

私钥里的文件，如果被拿到，没有通过des这关键字加密的话，就相当于是明文

这个命令执行的时候，要输入八位数的密码，当要使用这个私钥的时候需要输入密码

(umask 077; openssl genrsa–out test.key –des 2048)

括号表示子进程，结束后，umask就会恢复未默认的值，umask的值使得其他人和组都没有任何权限，是为了保护生成的私钥

2.2.2从私钥中提取出公钥，导出公钥

公钥推不出私钥，私钥可以推出公钥

openssl rsa -in PRIVATEKEYFILE–pubout –out PUBLICKEYFILE

Openssl rsa –in test.key –pubout –out test.key.pub

公钥是公开的，可以不设置权限，以上是生成公钥

2.2.3公钥加密文件

openssl rsautl-encrypt-in input.file-inkey pubkey.pem-pubin-out output.file

-in指定被加密的文件

-inkey指定加密公钥文件

-pubin表面是用纯公钥文件加密

-out指定加密后的文件

例子：

openssl rsautl-encrypt-in ftpback-inkey test.key.pub-pubin-out ftpssl

2.2.4私钥解密文件

openssl rsautl-decrypt-in input.file-inkey key.pem-out output.file

-in指定需要解密的文件

-inkey指定私钥文件

-out指定解密后的文件

例子：

openssl rsautl-decrypt-in ftpssl-inkey test.key-out ftpdec

2.3单向加密

单向加密即获取摘要

工具：md5sum, sha1sum, sha224sum,sha256sum…

openssl  dgst

dgst：摘要功能输出所提供文件的消息摘要或十六进制形式的文件。它们也可用于数字签名和验证。

The digest functions output the message digest of a supplied file or files in hexadecimal form. They can also be used for digital signing and verification.

.dgst命令：

帮助：man dgst

openssl dgst -md5 [-hex默认] /PATH/SOMEFILE

openssl dgst -md5 testfile

以上命令将文件生成一个固定长度的摘要值，算法是md5,大小占128bite

md5sum/PATH/TO/SOMEFILE

以上这两个md5得到的结果是一样的

.MAC: Message Authentication Code，单向加密（hash）的一种延伸应用，用于实现网络通信中保证所传输数据的完整性机制

MAC消息认证码，构造方法可以基于hash，也可以基于对称加密算法，HMAC是基于hash的消息认证码。数据和密钥作为输入，摘要信息作为输出，常用于认证。

源文档

2.4生成用户密码

passwd命令:

帮助：man sslpasswd

openssl passwd -1-salt SALT

-1对应的就是hash的md5算法

SALT：这里是盐值，人为指定，使得同一密码生成的加密值不一样，最多8位，超过8位没有意义，比如前面8位一样，后面还有几位数不一样，这样生成的密码值是一样的

openssl passwd -1–salt centos

grub-md5-crypt同样生成md5加密的口令，centos为盐值

比如这里的密码我都是输入123，但是盐值不一样，一个是centos，一个是centos6，生成的加密值不一样

2.5生成随机数

帮助：man sslrand

rand命令在播放随机数生成器一次后输出num伪随机字节。与其他openssl命令行工具一样，除了-rand选项中给出的文件外，PRNG种子使用文件$ HOME/.rnd或.rnd。如果从这些来源获得足够的播种，将会写回新的$ HOME/.rnd或.rnd文件。

The rand command outputs num pseudo-random bytes after seeding the random number generator once. As in other openssl command line tools, PRNG seeding uses the file$HOME/.rnd or.rnd in addition to the files given in the -rand option. A new$HOME/.rnd or.rnd file will be written back if enough seeding was obtained from these  sources.

openssl rand-base64|-hex NUM

指定数字生成随机数，如果是-hex后面的数值比如6，那么生成的长度是12位，因为hex生成的随机数是16进制组合的数，hex后面的num是字节数，一个16进制数占用4位，半个字节

base后面可以生成随机密码

base64生成随机的数，可以用任何字符，也可以把图片保存成base64的格式，通过base64生成的图片，可以

用base64来还原出图片

NUM:表示字节数；-hex时，每个字符为十六进制，相当于4位二进制，出现的字符数为NUM*2

3总结

openssl还有很多用法，本文仅单纯介绍了其中一部分，更多用法请使用帮助 man openssl进行查看