saltstack管理saltstack认证相关
saltstack认证相关认证过程:
初始化安装minion,在minion的配置文件中定义参数master,指定master端的ip;启动minion服务,minion服务启动后会在本地生成一个密钥对;之后minion会去连接master,并尝试把公钥发送给master,这时候在master端可以使用salt-key来查看minion的认证,一直到master接受minion的认证;之后master与minion就可以认证通信了,这时我们可以在master端通过state模块来配置管理minion,也可以通过cmd.run远程对minion执行命令
# pwd
/etc/salt/pki/minion
# ls
minion.pemminion.pub
注意:刚安装完minion,未启动时,pki目录是不存在的
启动minion服务后,会自动创建pki目录,minion目录和生成一个密钥对
我们可以把pki目录删除,然后再重启服务,会再重新生成pki目录
master认证后,会将minion端发送来的公钥存放在/etc/salt/pki/master/minions目录中,且以minion机的id参数值(id:即minion配置文件,id参数的值)命名,如下:
# pwd
/etc/salt/pki/master/minions
# ls
192.168.186.129
同时会将自身的公钥发送给minion,并存储为/etc/salt/pki/minion/minion_master.pub,如下:
# pwd
/etc/salt/pki/minion
# ls
minion_master.pubminion.pemminion.pub
注意:
master端的pki目录千万不要删除,因为里面包括了所有的minion的公钥认证
不过我们可以删除/etc/salt/pki/master/minions目录下,某一个minion的认证文件,如:/etc/salt/pki/master/minions/192.168.186.129
重新认证:
# salt-key -y -d 192.168.186.129 (删除某个minion的认证)
Deleting the following keys:
Accepted Keys:
192.168.186.129
Key for minion 192.168.186.129 deleted.
注意:删除某个minion认证后,又想重新加进来,可以采用如下方法:
minion端:
/etc/init.d/salt-minion stop
cd /etc/salt
rm -rf /pki/ #必须删除pki目录
/etc/init.d/salt-minion start
master端:
cd /etc/salt/pki/master/minions
若存在minion对应的id参数值认证文件,则删除:rm -f 192.168.186.129
/etc/init.d/salt-master restart
salt-key的使用实例:
显示所有minion的认证信息
salt-key -L
接受192.168.0.100的认证信息
salt-key -a 192.168.0.100# 接受192.168.0.100的认证信息,不需要手动验证
salt-key -a 192.168.0.100-y
接受192.168.0.100的认证信息,即使该minion是Rejected Keys状态
salt-key -a 192.168.0.100--include-all
接受所有 Unaccepted Keys 状态的minion的认证信息
salt-key -A
拒绝认证192.168.0.100
salt-key -d 192.168.0.100# 拒绝所有 Unaccepted Keys 状态的minion
salt-key -D
页:
[1]