#主配置 /etc/salt/master

?

interface

默認值：0.0.0.0(所有的網絡地址接口)

綁定到本地的某個網絡地址接口

interface: 192.168.30.131

?

?

publish_port

默認值：4505

設置master與minion的認證通信端口

publish_port: 4505

?

?

user

默認值：root

運行salt進程的用戶?

user: root

?

max_open_files

默認值：100000

每一個minion連接到master，至少要使用一個文件描述符，如果足夠多的minion連接到master上，你將會從控制臺上看到salt-master crashes：

Too many open files (tcp_listener.cpp:335)

Aborted (core dumped)

默認值這個值取決于ulimit -Hn的值，即系統的對打開文件描述符的硬限制

如果你希望重新設置改值或者取消設置，記住這個值不能超過硬限制，提高硬限制取決于你的操作系統或分配，一個好的方法是internet找到對應操作系統的硬限制設置，比如這樣搜索：

raise max open files hard limit debian?

max_open_files: 100000

?

?

worker_threads

默認值：5

啟動用來接收或應答minion的線程數。如果你有很多minion，而且minion延遲你的應答，你可以適度的提高該值.

在點對點的系統環境中使用時，該值不要被設置為3以下，但是可以將其設置為1

worker_threads: 5

?

?

ret_port

默認值：4506

這個端口是master用來發送命令或者接收minions的命令執行返回信息?

ret_port: 4506

?

?

pidfile

默認值：/var/run/salt-master.pid

指定master的pid文件位置?

pidfile: /var/run/salt-master.pid

?

?

root_dir

默認值：/

指定該目錄為salt運行的根目錄，改變它可以使salt從另外一個目錄開始運行，好比chroot?

root_dir: /

?

?

pki_dir

默認值：/etc/salt/pki

這個目錄是用來存放pki認證秘鑰?

pki_dir: /etc/salt/pki

?

?

cachedir

默認值：/var/cache/salt

這個目錄是用來存放緩存信息，特別是salt工作執行的命令信息?

cachedir: /var/cache/salt

?

?

keep_jobs

默認值：24

設置保持老的工作信息的過期時間，單位小時

?

job_cache

默認值：True

設置master維護的工作緩存，這是一個很好的功能，當你的Minons超過5000臺時，他將很好的承擔這個大的架構，關閉這個選項，之前的工作執行以及工作系統將無法被利用，一般不推薦關掉改選項，開啟改選項將會是很明智的，他將使master獲得更快的IO系統

?

ext_job_cache

默認值：”

對所有的minions使用指定的默認值returner，當使用了這個參數來指定一個returner并且配置正確，minions將會一直將返回的數據返回到returner，這也會默認值禁用master的本地緩存?

ext_job_cache: redis

?

?

minion_data_cache

默認值：True

minion data cache是關于minion信息存儲在master上的參數，這些信息主要是pillar 和 grains數據.這些數據被緩存在cachedir定義的目錄下的minion目錄下以minion名為名的目錄下并且預先確定哪些minions將從執行回復?

minion_cache_dir: True

?

?

enforce_mine_cache

默認值：False

默認情況下當關閉了minion_data_cache，mine將會停止工作，因為mine是基于緩存數據，通過啟用這個選項，我們將會顯示的開啟對于mine系統的緩存功能?

enforce_mine_cache: False

?

?

sock_dir

默認值：/tmp/salt-unix

指定unix socket主進程通信的socket創建路徑

?

---

master的安全配置

?

open_mode

默認值：False

open_mode是一個危險的安全特性，當master遇到pki認證系統，秘鑰混淆和身份驗證失效時，打開open_mode，master將會接受所有的身份驗證。這將會清理掉pki秘鑰接受的minions。通常情況下open_mode不應該被打開，它只適用于短時間內清理pki keys，若要打開它，可將值調整為True

open_mode: False

?

auto_accept

默認值：False

開啟auto_accept。這個設置將會使master自動接受所有發送公鑰的minions

auto_accept: False

?

?

autosign_file

默認值：/etc/salt/autosign.conf

如果autosign_file的值被指定，那么autosign_file將會通過該輸入允許所有的匹配項，首先會搜索字符串進行匹配，然后通過正則表達式進行匹配。這是不安全的

autosign_file: /etc/salt/autosign.conf

?

?

client_acl

默認值：{}

開啟對系統上非root的系統用戶在master上執行特殊的模塊，這些模塊名可以使用正則表達式進行表示

client_acl:fred:- test.ping- pkg.*

?

client_acl_blacklist

默認值：{}

黑名單用戶或模塊

這個例子表示所有非sudo用戶以及root都無法通過cmd這個模塊執行命令，默認情況改配置是完全禁用的

client_acl_blacklist:users:- root- '^(?!sudo_).*$' # all non sudo usersmodules:- cmd

?

?

external_auth

默認值：{}

salt的認證模塊采用外部的認證系統用來做認證和驗證用戶在salt系統中的訪問區域

external_auth:pam:fred:- test.*

?

token_expire

默認：43200

新令牌生成的時間間隔，單位秒，默認是12小時

token_expire: 43200

?

?

file_recv

默認值：False

允許minions推送文件到master上，這個選項默認是禁用的，出于安全考慮

file_recv: False

?

?

#######################

master模塊管理

?

runner_dirs

默認值：[] 設置搜索runner模塊的額外路徑

runner_dirs: []

?

?

cython_enable

默認值：False

設置為true來開啟對cython模塊的編譯

cython_enable: False

?

?

---

master狀態系統設置

?

state_verbose

默認：False

state_verbose允許從minions返回更多詳細的信息，通常清空下只返回失敗或者已經更改，但是將state_verbose設置為True,將會返回所有的狀態檢查

state_verbose: True

?

?

state_output

默認值：full

state_output的設置將會改變信息輸出的格式，當被設置為”full”時，將全部的輸出一行一行的顯示輸出；當被設置為”terse“時，將會被縮短為一行進行輸出；當被設置為”mixed”時，輸出樣式將會是簡潔的，除非狀態失敗，這種情況下將會全部輸出；當被設置為”change”時，輸出將會完全輸出除非狀態沒有改變

state_output: full

?

?

state_top

默認值：top.sls

狀態系統使用一個入口文件告訴minions在什么環境下使用什么模塊，這個狀態入口文件被定義在基礎環境的相對根路徑下

state_top: top.sls

?

?

external_nodes

默認值：None

這個外部節點參數允許salt來收集一些數據，通常被放置在一個入口文件或外部節點控制器.外部節點的選擇是可執行的，將會返回ENC數據，記住如果兩者都啟用的話salt會將外部節點和入口文件的結果進行綜合匯總。

external_nodes: cobbler-ext-nodes

?

?

renderer

默認值：yaml_jinja

使用渲染器用來渲染minions的狀態數據

renderer: yaml_jinja

?

?

failhard

默認值：False

設置一個全局的failhard表示，當單個的狀態執行失敗后，將會通知所有的狀態停止運行狀態

failhard: False

?

?

test

默認值：False

如果真的要作出改變或者僅僅通知將要執行什么改變時設置所有的狀態調用為test

?

test: False

?

#######################

master文件服務器設置

?

fileserver_backend

默認值：

fileserver_backend: - roots

?

?

salt支持模塊化的后端文件系統服務器，它允許salt通過第三方的系統來管理收集文件并提供給minions使用，可以配置多個后端文件系統，這里支持gitfs、hgfs、roots、s3fs文件調用的搜索順序按照后臺文件系統的配置順序來搜索，默認的設置只開啟了標準的后端服務器roots，具體的根選項配置通過file_roots參數設置

fileserver_backend: - roots - gitfs

?

?

file_roots

默認值：

base: - /srv/salt

?

?

salt運行一個輕量級的文件服務器通過ZeroMQ對minions進行文件傳輸，因此這個文件服務器是構造在master的守護進程中，并且不需要依賴于專用的端口

文件服務器的工作環境傳遞給master，每一個環境可以有多個跟目錄，但是相同環境下多個文件的子目錄不能相同，否則下載的文件將不能被可靠的保證，一個基礎環境依賴于主的入口文件，如：?

file_roots: base: - /srv/salt dev: - /srv/salt/dev/services - /srv/salt/dev/states prod: - /srv/salt/prod/services - /srv/salt/prod/states

?

?

hash_type

默認值：md5

hash_type是用來當發現在master上需要對一個文件進行hash時的hash使用的算法，默認是md5.但是它也支持sha1,sha224,shar256,shar384,shar512?

hash_type: md5

?

?

file_buffer_size

默認值：1048576

文件服務器的緩存區大小?

file_buffer_size: 1048576

?

?

---

pillar配置

?

pillar_roots

默認值：?

base: - /srv/pillar

?

?

設置不同的環境對應的存放pillar數據的目錄，這個配置和file_roots參數配置一樣?

pillar_roots: base: - /srv/pillar dev: - /srv/pillar/dev prod: - /srv/pillar/prod

?

?

ext_pillar

當進行pillar數據收集時，這個ext_pillar參數允許調用任意數量的外部pillar接口，這個配置是基于ext_pillar函數，你可以從這個找到這個函數https://github.com/saltstack/salt/blob/develop/salt/pillar

默認情況下，這個ext_pillar接口沒有配置運行

默認值：None?

ext_pillar:- hiera: /etc/hiera.yaml- cmd_yaml: cat /etc/salt/yaml- reclass:inventory_base_uri: /etc/reclass

?

?

從這里可以查到pillar的一些額外細節

?

---

syndic server配置

?

syncdic是salt master用來通過從整體架構中高于自己層級的master或者syndic接收命令傳遞給minions的中間角色。使用syndic非常簡單，如果這個master在整體架構中，他的下級存在syndic server，那么需要將master的配置文件中的”order_master”值設置為True，如果這個master還需要運行一個syndic進程，扮演另外一個角色，那么需要設置主master server的信息(上一級master)

千萬別忘記了，這將意味著它將與其他master共享它的minion的id和pki_dir

?

order_masters

默認值：False

當額外的數據需要發送和傳遞，并且這個master控制的minions是被低等級的master或syndic直接管理下，那么”order_masters”這個值必須得設置為True?

order_master: Fals

?

e

?

syndic_master

默認值：None

如果這個master運行的salt-syndic連接到了一個更高層級的master,那么這個參數需要配置成連接到的這個高層級的master的地址?

syndic_master: masterofmasters

?

?

syndic_master_port

默認值：4506

如果這個master運行的salt-syndic連接到了一個更高層級的master,那么這個參數需要配置成連接到的這個高層級master的監聽端口?

syndic_master_port: 4506

?

?

syndic_log_file

默認值：syndic.log

為syndic進程指定日志文件?

syndic_log_file: salt-syndic.log

?

?

syndic_pidfile

默認值：salt-syndic.pid

為syndic進程指定pid文件?

syndic_pidfile: syndic.pid

?

?

---

Peer Publish設置

?

salt minions可以向其他minions發送命令，但是僅僅在minion允許的情況下。默認情況下”Peer Publication”是關閉的，當需要開啟的時候，需要開啟對應的minion和對應的命令，這樣可以允許根據個人的minions安全的劃分出命令

?

peer

默認值：{}

這個配置使用正則表達式去匹配minions并且是一個正則表達式列表函數，下面這個例子將允許名為foo.example.com的minion認證通過后執行test和pkg模塊中的函數?

peer: foo.example.com: - test.* - pkg.*

?

?

這將允許所有的minion執行所有的命令?

peer: .*: - .*

?

?

這樣的配置是極不推薦的，因為任何人得到架構中的任何一個minion即可擁有所有的minions，這是不安全的

?

peer_run

默認值：{}

peer_run參數是用來打開runners在master所允許的minions上，peer_run的配置匹配格式和peer參數的配置一樣

下面這個例子允許foo.example.com的minion執行manage.up runner?

peer_run:foo.example.com:- manage.up

?

NODE GROUPS

默認值：{}

minions允許通過node groups來分成多個邏輯組，每個組由一個組名和復合模式組成?

nodegroups:group1: 'L@foo.domain.com,bar.domain.com,baz.domain.com or bl*.domain.com'group2: 'G@os:Debian and foo.domain.com'

?

?

---

Master日志設置

?

log_file

默認值：/var/log/salt/master

master的日志可以發送到一個普通文件，本地路徑名或者網絡位置，更多詳情

例如：?

log_file: /var/log/salt/master log_file: file:///dev/log log_file: udp://loghost:10514

?

?

log_level

默認值：warning

按照日志級別發送信息到控制臺，更多詳情?

log_level: warning

?

?

log_level_logfile

默認值：warning

按照日志級別發送信息到日志文件，更多詳情?

log_level_logfile: warning

?

?

log_datefmt

默認值：%H:%M:%S

發送到控制臺信息所用的日期時間格式，更多詳情?

log_datefmt: '%H:%M:%S'

?

?

log_datefmt_logfile

默認值: %Y-%m-%d %H:%M:%S

發送到日志文件信息所用的日期時間格式，更多詳情?

log_datefmt_logfile: '%Y-%m-%d %H:%M:%S'

?

?

log_fmt_console

默認值: [%(levelname)-8s] %(message)s

控制臺日志信息格式，更多詳情?

log_fmt_console: '[%(levelname)-8s] %(message)s'

?

?

log_fmt_logfile

默認值: %(asctime)s,%(msecs)03.0f [%(name)-17s][%(levelname)-8s] %(message)s

%(asctime)s：2003-07-08 16:49:45

%(msecs)03.0f：當前時間的毫秒部分

%(name)：日志記錄調用器的名字

%(levelname)：日志記錄級別

%(message)s：日志詳細信息

日志文件信息格式，更多詳情?

log_fmt_logfile: '%(asctime)s,%(msecs)03.0f [%(name)-17s][%(levelname)-8s] %(message)s'

?

?

log_granular_levels

默認值：{}

這可以更加具體的控制日志記錄級別，更多詳情

?

Include 配置

?

default_include

默認值：master.d/*.conf

master可以從其他文件讀取配置，默認情況下master將自動的將master.d/*.conf中的配置讀取出來并應用，其中master.d目錄是相對存在于主配置文件所在的目錄

?

include

默認值：not defined

master可以包含其他文件中的配置，要啟用此功能，通過此參數定義路徑或文件，此路徑可以是相對的也可以是絕對的，相對的，會被看作相對于主配置文件所在的目錄，路徑中還可以使用類似于shell風格的通配符，如果沒有文件匹配的路徑傳遞給此選項，那么master將會在日志中記錄一條警告的消息?

# Include files from a master.d directory in the same # directory as the master config file include: master.d/*# Include a single extra file into the configuration include: /etc/roles/webserver# Include several files and the master.d directory include:- extra_config- master.d/*- /etc/roles/webserver

?

轉載于:https://www.cnblogs.com/zlyang/p/5941821.html

總結

以上是生活随笔為你收集整理的Saltstack Master 配置文件详解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。