Конфігурація Salt

image

Після успішної установки необхідних пакетів SaltStack приступаємо до налаштування.
Установка описана тут.

Конфігурація Salt
Конфігурація Salt дуже проста. Дефолтна конфігурація Майстра буде працювати в більшості установок і єдина вимога для налаштування Міньйона встановити місце Майстра в конфігураційному файлі.

Конфігураційні файли будуть встановлені у /etc/salt і названі на честь відповідних компонент, /etc/salt/master та /etc/salt/minion.

Конфігурація Майстра
За замовчуванням Майстер слухає порти 4505 та 4506 на всіх інтерфейсах (0.0.0.0). Для зв'язки Salt з конкретним IP перевизначити параметр «interface» /etc/salt/master

- #interface: 0.0.0.0
+ interface: 10.0.0.1

Після правки перезапустити сервіс salt-master. Детальніше дивіться довідник по налаштуванню Майстра.

Конфігурація Міньйона
Хоча й існує багато параметрів конфігурації, налаштування Salt Minion дуже проста. За замовчуванням пробує встановити DNS імені «salt».

Якщо Міньйон може коректно вирішити ім'я, то ніякої налаштування не потрібно. Якщо Він не може коректно вирішити ім'я, то перевизначити параметр «master» в конфігураційному файлі /etc/salt/minion:

- #master: salt
+ master: 10.0.0.1

Після правки перезапустити сервіс salt-minion.

Запуск Salt
Майстер може бути запущено у фоновому режимі через командний рядок як демон:

# salt-master -d

Майстер може бути також запущений у debug режимі, таким чином значно збільшуючи виведення команд:

# salt-master -l debug
# salt-master --log-level=debug

Запуск від непривилегированого користувача

Для запуску Salt від іншого користувача, встановіть параметр user /etc/salt/master.

Додатково, необхідно встановити власника та права так, щоб потрібний користувач мав права на читання/запис на слід. каталоги (і їх підкаталоги, де застосовно):

/etc/salt
/var/cache/salt
/var/log/salt
/var/run/salt

# chown -R user /etc/salt /var/cache/salt /var/log/salt /var/run/salt

Перевірка достовірності ключа
Salt забезпечує команди для перевірки достовірності Вашої Salt Master і Salt-Minion перед початком обміну ключами. Перевірка ключа допомагає уникнути ненавмисного підключення до невірного Salt Master і допомагає запобігти потенційні MiTM атаки при встановленні початкового з'єднання.

Відбиток ключа Майстра
Надрукуйте відбиток ключа Майстра виконавши наступну команду на Salt Master:

# salt-key -F master
Local Keys:
master.pem: 6c:a0:e8:b0:84:36:59:86:b6:49:c3:fb:87:a4:c4:e9
master.pub: d9:c6:e0:42:76:e5:82:f7:13:6a:65:ee:cb:f3:2e:aa

Скопіюйте master.pub відбиток з секції Local Keys і встановіть в якості параметра master_finger в конфігураційному файлі Міньйона. Збережіть і перезавантажте сервіс salt-minion.

Відбиток ключа Міньйона
Запустіть наступну команду на кожному Salt minion, щоб вивести відбиток ключа міньйона:

# salt-call --local key.finger

Порівняйте це значення зі значенням, яке виводиться коли запускаєш команду на Salt Master

# salt-key --finger <MINION_ID> 

Керування ключами
Salt використовує AES шифрування для всіх комунікацій між Майстром і Міньйоном. Це гарантує, що команди відправляються Миньонам можуть бути підроблені і що зв'язок між Майстром і Міньйоном підтверджується довіреними прийнятими ключами.

Перш ніж команди можуть бути відправлені Міньйона, ключ повинен бути прийнятий на Майстра. Запустіть salt-key команду, щоб вивести список ключів відомих Майстрові:

# salt-key -L
Accepted Keys:
salt01.local
Denied Keys:
Unaccepted Keys:
Rejected Keys:

Команда salt-key дозволяє приймати ключі як поштучно, так і разом.

Щоб прийняти всі ключі, які знаходяться в очікуванні:

# salt-key -A

Щоб прийняти конкретний ключ:

# salt-key -a minion01.local

man salt-key

Відправка команд
Зв'язок між Майстром і Міньйоном можна перевірити за допомогою команди test.ping:

# salt alpha test.ping
alpha:
True

Зв'язок між Майстром і всіма Миньонами можна перевірити за допомогою команди

# salt '*' test.ping
alpha:
True
bravo:
True
charlie:
True
delta:
True

Кожен Міньйон повинен надіслати відповідь True, як показано вище.

Джерело
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.