saltstack的key认证过程
软件部署
在192.168.56.11和192.168.56.12上都更新salt的仓库。
yum install https://repo.saltstack.com/yum/redhat/salt-repo-latest-1.el7.noarch.rpm
将192.168.56.11作为master,将192.168.56.12作为minion
192.168.56.11
yum -y install salt-master salt-minion
192.168.56.12
yum -y install salt-minion
启动Salt的master
systemctl start salt-master
修改配置文件(minion要知道master是谁啊):
192.168.56.11(master+minion)
[root@cobbler-node1 ~]# vim /etc/salt/minion
16行 master: 192.168.56.11(最佳实践是写主机名,前提是内网有DNS解析)
103行 #id:
这个id我们可以不改,这个是saltstack中的一个设备的标识符,不改它的话默认
会以hostname的值为id,主机名的全称。FQDN名称
修改完上述的master以后,然后在192.168.56.12(minion)上同样修改minion配置文件。操作和master的一样,修改完成以后在两台设备上启动minion
systemctl start salt-minion
启动minion后我们会在/etc/salt下发现多了个minion_id
[root@cobbler-node1 ~]# cat /etc/salt/minion_id
cobbler-node1
#通过cat查看发现这里面内容就是我们的hostname
这个文件一般情况下不要去修改,因为minion启动的时候会默认先读取这个文件,如果这个文件有的话它就直接读入了,你改的不会生效的,如果你真的要改的话记住先把这个id文件删掉
minion_id的设置可以使用hostname或者使用ip地址。设置主机名的时候不要有下划线,因为主机名要解析,DNS解析的话主机名是不能有下划线的。
minion端配置完毕以后要重启
systemctl restart salt-minion
Master和Minion的认证
master和minion要通过认证之后才能被正确的识别,就好像你要找一个主人给人家干活,你也得经过人家的同意啊。(认证采用RSA key方式确认身份,传输采用AES加密算法)
minion目录在第一次启动的时候会在/etc/salt下新建一个pki目录
[root@zabbix-agent salt]# tree pki
pki
└── minion
├── minion.pem
└── minion.pub
其中:
minion.pem 私钥
minion.pub 公钥
要进行认证,minion会把自己的公钥发给master,然后我们现在启动master服务
systemctl start salt-master
查看一下master的目录发现也多了一个pki的目录,其中存放着minion传过来的公钥。
[root@zabbix-server salt]# pwd
/etc/salt
[root@zabbix-server salt]# tree ./pki
./pki
├── master
│ ├── master.pem ##master的私钥
│ ├── master.pub ##master的公钥
│ ├── minions
│ ├── minions_autosign
│ ├── minions_denied
│ ├── minions_pre ##minion发过来的公钥放在pre目录下,目前还没有被master管理
│ │ ├── zabbix-agent ##文件名是使用ID来做为名称的,所以生成的id是不能改的。
│ │ └── zabbix-server
│ └── minions_rejected
└── minion
├── minion.pem
└── minion.pub
这个时候只是minion知道我master了,然后把公钥发过来了,但是master还没进行认证。master认证的话需要执行如下的命令:
[root@zabbix-server salt]# salt-key
Accepted Keys:
Denied Keys:
Unaccepted Keys:
zabbix-agent
zabbix-server
Rejected Keys:
当前没有接受的key,未接受的有两个,拒绝的没有
[root@zabbix-server salt]# salt-key -a zabbix-agent
The following keys are going to be accepted:
Unaccepted Keys:
zabbix-agent
Proceed? [n/Y] y
Key for minion zabbix-agent accepted.
我们可以使用-a参数加上minion_id的形式添加key。
[root@zabbix-server salt]# salt-key -a zabbix-*
The following keys are going to be accepted:
Unaccepted Keys:
zabbix-server
Proceed? [n/Y] y
Key for minion zabbix-server accepted.
同样我们还可以使用通配符的形式
[root@zabbix-server salt]# salt-key
Accepted Keys:
zabbix-agent
zabbix-server
Denied Keys:
Unaccepted Keys:
Rejected Keys:
然后我们再查看key的接受情况。
接下来查看一下salt-key的帮助参数:
-l 显示指定状态的key,支持正则表达式
-L,--list-all 显示所有公钥
-a,ACCEPT 接受指定等待认证的key,支持正则
-A,--accept-all 接受所有等待认证的key
-r REJECT 拒绝等待认证的key,支持正则
-R REJECT-all 拒绝所有等待认证的key
--include-all 显示所有状态的key,包括non-pending状态
-p PRINT 打印指定的公钥,-P打印所有的公钥
-d DELETE 删除指定的key
-D --delete-all 删除所有的key
-f FINGER 显示指定key的指纹信息
-F --finger-all 显示所有key的指定信息
当我们接受完公钥以后我们来再来查看一下:
[root@zabbix-server ~]# tree /etc/salt/pki/
/etc/salt/pki/
├── master
│ ├── master.pem
│ ├── master.pub
│ ├── minions
│ │ ├── zabbix-agent
│ │ └── zabbix-server
│ ├── minions_autosign
│ ├── minions_denied
│ ├── minions_pre
│ └── minions_rejected
└── minion
├── minion_master.pub
├── minion.pem
└── minion.pub
7 directories, 7 files
可以发现被认证的key从pre移动到了minions文件夹中。同时minion端:
[root@zabbix-agent ~]# tree /etc/salt/pki
/etc/salt/pki
└── minion
├── minion_master.pub
├── minion.pem
└── minion.pub
1 directory, 3 files
minion端也收到了master端发来的公钥,名称做了一下修改,我们可以通过md5来确认一下是不是同一个文件:
[root@zabbix-server ~]# md5sum /etc/salt/pki/master/master.pub
24ca638333e27cfead75343d9b761ee4 /etc/salt/pki/master/master.pub
[root@zabbix-agent ~]# md5sum /etc/salt/pki/minion/minion_master.pub
24ca638333e27cfead75343d9b761ee4 /etc/salt/pki/minion/minion_master.pub
远程执行测试
[root@zabbix-server salt]# salt "zabbix-agent" test.ping
zabbix-agent:
True
[root@zabbix-server salt]# salt "zabbix-*" test.ping
zabbix-agent:
True
zabbix-server:
True
*表示所有,因为*在shell本地也是有含义的因此我们用引号引起来,不让他在shell中体现它的含义。 test.ping,其中test是一个模块,而ping是test模块中的一个方法 这条命令的意思是检测minion是否在干活,这个ping和ICMP的ping不一样,不要搞混了。
[root@zabbix-server salt]# salt "zabbix-agent" cmd.run 'w'
zabbix-agent:
16:39:41 up 10:34, 1 user, load average: 0.16, 0.06, 0.06
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/1 192.168.56.1 09:22 29:33 51.41s 0.49s -bash
cmd是模块,run是cmd模块的方法
cmd命令很好用,但是同时也很危险,因为能直接执行命令意味着就可以删除。后面会说到ACL允许特定的人才能执行
- WordPress 后台管理菜单名称重命名的方法
- 从Akismet 黑名单中洗白的方法
- 移除除管理员之外的其他用户的WordPress 更新升级提示
- 为 WordPress 后台管理菜单自定义排序
- WordPress 添加个性化的博客宠物(妹纸篇)
- WordPress 添加个性化的博客宠物(汉纸篇)
- WordPress 退出(登出)的时候跳转到首页
- WordPress免插件仅代码实现面包屑导航
- 开源的作业调度框架 - Quartz.NET
- Windows Server 2003网络负载均衡的实现
- 使用 ETW 对 .NET 应用程序进行性能诊断
- ORB_SLAM论文解读
- Mono.Addins 插件式框架
- 通过多说服务器缓存加速Gravatar 头像,解决被墙问题
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 反欺诈模型(数据不平衡)
- 基于TypeScript封装Axios笔记(一)
- 一次性清除“知乎”所有DIV
- spring之bean之间的关系
- spring之未加后置处理器的bean的生命周期
- linux之在centos7中配置java开发环境
- 秒懂java规则表达式框架Aviator2.3.0
- 细品Redis高性能数据结构之SDS
- linux之第一个shell程序
- pyspark之从HDFS上读取文件、从本地读取文件
- spring之使用外部属性文件(连接数据库时使用)
- 【python-leetcode92-翻转链表】反转链表2
- 细品Redis高性能数据结构之hash对象
- pyspark之常用算子
- linux之shell综合例子之定时任务