SaltStack RESTful API的调用
Salt REST API简介 这里简单的说明下,SaltStack官方支持三种REST API,分别是rest_cherry; rest_tonado和rest_wsgi如果需要通过第三方来调用SaltStack时,使用SaltStack自带的Python API并不能很好的满足需求。可以通过使用SaltStack基于RESTful风格的HTTP API。该API模块并不是内置的,需要单独安装。
- []rest_cherry和rest_tonado两个模块支持监听所有IP的指定端口接收请求[/]
shell> lsof -i:1559COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAMEsalt-api 13443 root 14u IPv4 21888585 0t0 TCP *:web2host (LISTEN)
- []rest_wsgi只支持本机访问,只绑定了127.0.0.1[/]
shell> lsof -i:1559 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME salt-api 13443 root 14u IPv4 21888585 0t0 TCP 127.0.0.1:web2host (LISTEN)[attach]1152[/attach] 本文选择使用rest_cherry模块来实现SaltStack的HTTP API 安装Salt-API服务 一般情况下,salt-api会使用HTTPS,首次配置成功后,使用用户名和密码登陆,获得Token,Token创建后,默认有效期是12小时,在有效期之内,使用该Token可以代替使用用户名和密码来访问API(该有效时间可在salt-master配置文件中修改) 必备安装包
shell> yum -y install gcc make python-devel libffi-devel shell> pip install pyOpenSSL==0.15.1借助salt工具来生成证书
shell> salt-call --local tls.create_self_signed_cert local: Created Private Key: "/etc/pki/tls/certs/localhost.key." Created Certificate: "/etc/pki/tls/certs/localhost.crt."alt-call是salt-minion的工具,如果没有这个命令,可以在master端安装minion,然后再执行以上命令 安装salt-api
shell> yum -y install salt-api配置用户及权限
shell> useradd -M -s /sbin/nologin sa shell> echo "sapassword" | passwd sa --stdin在salt-master的配置文件最后添加如下配置
external_auth: pam: #认证模式,pam指的是用Linux本身的用户认证模式 sa: #Linux系统中真实存在的用户名 - '[i]': #设置用户的权限,允许该用户操作哪些主机,[/i]代表全部 - test.* #允许操作的模块及方法 - cmd.*其他认证模式可以参考官方文档:http://docs.saltstack.com/en/latest/topics/eauth/index.html 配置示例一:多用户(官方文档)
external_auth: pam: thatch: - 'web*': - test.* - network.* steve: - .*配置示例二:指定用户组(官方文档)
external_auth: pam: admins%: - '*': - 'pkg.*'使用%来表示用户组 配置示例三:操作模块组(官方文档)
external_auth: pam: thatch: - '@wheel' # to allow access to all wheel modules - '@runner' # to allow access to all runner modules - '@jobs' # to allow access to the jobs runner and/or wheel module查看wheel modules完整列表 查看runner modules完整列表 配置salt-api服务 在salt-master的配置文件最后添加如下配置
rest_cherrypy: port: 1559 #默认监听所有IP的1559端口 ssl_crt: /etc/pki/tls/certs/localhost.crt #引用的正是前面创建的证书 ssl_key: /etc/pki/tls/certs/localhost.key其他配置参数可以参考官方文档:https://docs.saltstack.com/en/latest/ref/netapi/all/salt.netapi.rest_cherrypy.html 启动服务
shell> service salt-api start登陆获得Token
url -sSk https://www.20150509.cn:1559/login \ -H 'Accept: application/x-yaml' \ -d username=sa \ -d password=sapassword \ -d eauth=pam复制得到的Token
curl -sSk https://localhost:8000 \ -H 'Accept: application/x-yaml' \ -H 'X-Auth-Token: 697adbdc8fe971d09ae4c2a3add7248859c87079'\ -d client=local \ -d tgt='*' \ -d fun=test.ping除了支持Token以外还支持使用cookies.txt文件来访问API,详情可查看官方文档 使用Python脚本来访问API 在salt-api官方文档中,对python访问API给出了如下的格式要求
[{ "client": "local", "tgt": "*", "fun": "test.fib", "arg": ["10"] }, { "client": "runner", "fun": "jobs.lookup_jid", "jid": "20130603122505459265" }]以上的JSON代码中,指定了API去执行两个命令,一个模块命令,一个runner命令。Python代码实现如下:
import json
import urllib
import urllib2
#在python2.6x中,以下两行不是必须的
import ssl
ssl._create_default_https_context = ssl._create_unverified_context
url='https://www.20150509.cn:1559' #salt-api所在的“坐标”
def test():
pre_data = [{"client":"local", "tgt":"*", "fun":"test.ping"}] #根据上面官方文档的要求组成数组嵌套字典的形式
json_data = json.dumps(pre_data) #将其转化为json格式
header = {"Content-Type":"application/json", "Accept":"application/json", "X-Auth-Token":"697adbdc8fe971d09ae4c2a3add7248859c87079"}
#这里说明下,Content-Type是声明传递给API的数据是什么格式的,这里指定了json,是因为上面的pre_data数据被我转化成了json格式
#Accept是声明返回结果以什么样的格式显示,这里也指定了json格式来显示返回结果
request = urllib2.Request(url, json_data, header) #构造一次请求
response = urllib2.urlopen(request) #构造一次HTTP访问
html = response.read()
print html
if __name__=="__main__":
test()
指定Accept为application/json执行结果如下:
shell> python sa.py
{"return": [{"vm3.salt.com": true, "vm2.salt.com": true, "ph1.salt.com": true, "ph2.salt.com": true, "vm1.salt.com": true, "vm4.salt.com": true, "localhost": true, "vm7.salt.com": true}]}
#
指定Accept为application/x-yaml执行结果如下:
shell> python sa.py return: [list] [*]localhost: true[/*] [/list] ph1.salt.com: true ph2.salt.com: true vm1.salt.com: true vm2.salt.com: true vm3.salt.com: true vm4.salt.com: true vm7.salt.com: true参考文档 salt-api:https://github.com/saltstack/salt-api rest_cherrypy:https://docs.saltstack.com/en/latest/ref/netapi/all/salt.netapi.rest_cherrypy.html 认证模式:http://docs.saltstack.com/en/latest/topics/eauth/index.html 分享阅读原文:http://docs.20150509.cn/2016/03/21/SaltStack-RESTful-API%E7%9A%84%E8%B0%83%E7%94%A8-salt-api/