saltstack管理saltstack认证相关
saltstack認證相關
認證過程:
初始化安裝minion,在minion的配置文件中定義參數master,指定master端的ip;啟動minion服務,minion服務啟動后會在本地生成一個密鑰對;之后minion會去連接master,并嘗試把公鑰發送給master,這時候在master端可以使用salt-key來查看minion的認證,一直到master接受minion的認證;之后master與minion就可以認證通信了,這時我們可以在master端通過state模塊來配置管理minion,也可以通過cmd.run遠程對minion執行命令
[root@minion minion]# pwd
/etc/salt/pki/minion
[root@minion minion]# ls
minion.pem minion.pub
注意:剛安裝完minion,未啟動時,pki目錄是不存在的
啟動minion服務后,會自動創建pki目錄,minion目錄和生成一個密鑰對
我們可以把pki目錄刪除,然后再重啟服務,會再重新生成pki目錄
master認證后,會將minion端發送來的公鑰存放在/etc/salt/pki/master/minions目錄中,且以minion機的id參數值(id:即minion配置文件,id參數的值)命名,如下:
[root@master minions]# pwd
/etc/salt/pki/master/minions
[root@master minions]# ls
192.168.186.129
同時會將自身的公鑰發送給minion,并存儲為/etc/salt/pki/minion/minion_master.pub,如下:
[root@minion minion]# pwd
/etc/salt/pki/minion
[root@minion minion]# ls
minion_master.pub minion.pem minion.pub
注意:
master端的pki目錄千萬不要刪除,因為里面包括了所有的minion的公鑰認證
不過我們可以刪除/etc/salt/pki/master/minions目錄下,某一個minion的認證文件,如:/etc/salt/pki/master/minions/192.168.186.129
重新認證:
[root@scj salt]# salt-key -y -d 192.168.186.129 (刪除某個minion的認證)
Deleting the following keys:
Accepted Keys:
192.168.186.129
Key for minion 192.168.186.129 deleted.
注意:刪除某個minion認證后,又想重新加進來,可以采用如下方法:
minion端:
/etc/init.d/salt-minion stop
cd /etc/salt
rm -rf /pki/ #必須刪除pki目錄
/etc/init.d/salt-minion start
master端:
cd /etc/salt/pki/master/minions
若存在minion對應的id參數值認證文件,則刪除:rm -f 192.168.186.129
/etc/init.d/salt-master restart
salt-key的使用實例:
顯示所有minion的認證信息
salt-key -L
接受192.168.0.100的認證信息
salt-key -a 192.168.0.100# 接受192.168.0.100的認證信息,不需要手動驗證
salt-key -a 192.168.0.100-y
接受192.168.0.100的認證信息,即使該minion是Rejected Keys狀態
salt-key -a 192.168.0.100--include-all
接受所有 Unaccepted Keys 狀態的minion的認證信息
salt-key -A
拒絕認證192.168.0.100
salt-key -d 192.168.0.100# 拒絕所有 Unaccepted Keys 狀態的minion
salt-key -D
轉載于:https://blog.51cto.com/lookingdream/2071038
總結
以上是生活随笔為你收集整理的saltstack管理saltstack认证相关的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Kotlin-Learning 扩展
- 下一篇: 轻量级爬虫框架