saltstack管理saltstack認證相關
認證過程:
初始化安裝minion,在minion的配置文件中定義參數master,指定master端的ip;啟動minion服務,minion服務啟動後會在本地生成一個密鑰對;之後minion會去連接master,並嘗試把公鑰發送給master,這時候在master端可以使用salt-key來查看minion的認證,一直到master接受minion的認證;之後master與minion就可以認證通信了,這時我們可以在master端通過state模塊來配置管理minion,也可以通過cmd.run遠程對minion執行命令
[root@minion minion]# pwd
[root@minion minion]# ls
minion.pem minion.pub
註意:剛安裝完minion,未啟動時,pki目錄是不存在的
啟動minion服務後,會自動創建pki目錄,minion目錄和生成一個密鑰對
我們可以把pki目錄刪除,然後再重啟服務,會再重新生成pki目錄
master認證後,會將minion端發送來的公鑰存放在/etc/salt/pki/master/minions目錄中,且以minion機的id參數值(id:即minion配置文件,id參數的值)命名,如下:
[root@master minions]# pwd
/etc/salt/pki/master/minions
192.168.186.129
同時會將自身的公鑰發送給minion,並存儲為/etc/salt/pki/minion/minion_master.pub,如下:
[root@minion minion]# pwd
/etc/salt/pki/minion
[root@minion minion]# ls
minion_master.pub minion.pem minion.pub
註意:
master端的pki目錄千萬不要刪除,因為裏面包括了所有的minion的公鑰認證
不過我們可以刪除/etc/salt/pki/master/minions目錄下,某一個minion的認證文件,如:/etc/salt/pki/master/minions/192.168.186.129
[root@scj salt]# salt-key -y -d 192.168.186.129 (刪除某個minion的認證)
Deleting the following keys:
Accepted Keys:
192.168.186.129
Key for minion 192.168.186.129 deleted.
註意:刪除某個minion認證後,又想重新加進來,可以采用如下方法:
minion端:
/etc/init.d/salt-minion stop
cd /etc/salt
rm -rf /pki/ #必須刪除pki目錄
/etc/init.d/salt-minion start
master端:
cd /etc/salt/pki/master/minions
若存在minion對應的id參數值認證文件,則刪除:rm -f 192.168.186.129
/etc/init.d/salt-master restart
saltstack管理saltstack認證相關