三、saltstack证书管理

192.168.1.65 super65.cn   master
192.168.1.66 super66.cn   minion

saltstack使用SSL签证的方式进行安全认证。

minion上线后先与master端联系,把自己的pub key发过去,这时master端通过salt-key -L命令就会看到minion的key,接受该minion-key后,也就是master与minion已经互信

master端:

查看证书签证情况:

[[email protected] ~]# salt-key -L
Accepted Keys:
Denied Keys:
Unaccepted Keys:
super66
Rejected Keys:

签证所有没有接受的证书:
[[email protected] ~]# salt-key -A -y
The following keys are going to be accepted:
Unaccepted Keys:
super66
Key for minion super66 accepted.

查看签证后的情况:
[[email protected] ~]# salt-key -L
Accepted Keys:
super66
Denied Keys:
Unaccepted Keys:
Rejected Keys:

salt-key的更多参数使用-h查看:

其中:

-a 可以指定只签证某些机器 (支持正则匹配)

检查通信是否正常:

[[email protected] ~]# salt ‘super66‘ test.ping
super66:
  True

master端:

查看证书相关的文件:

[[email protected] master]# pwd
/etc/salt/pki/master

[[email protected] master]# ll
total 28
-r-------- 1 root root 1675 Sep 17 09:19 master.pem      (自己的公钥)
-rw-r--r-- 1 root root 451 Sep 17 09:19 master.pub       (自己的私钥)
drwxr-xr-x 2 root root 4096 Sep 17 09:32 minions          (已经认证的key)  
drwxr-xr-x 2 root root 4096 Sep 17 09:19 minions_autosign
drwxr-xr-x 2 root root 4096 Sep 17 09:19 minions_denied
drwxr-xr-x 2 root root 4096 Sep 17 09:32 minions_pre       (没有认证的key) 
drwxr-xr-x 2 root root 4096 Sep 17 09:19 minions_rejected

minion端:

查看证书相关文件:

[[email protected] minion]# pwd
/etc/salt/pki/minion
[[email protected] minion]# ll
total 12
-rw-r--r-- 1 root root 451 Sep 17 09:32 minion_master.pub   (认证后master把公钥发到这里)
-r-------- 1 root root 1679 Sep 17 09:17 minion.pem           (自己的公钥)
-rw-r--r-- 1 root root 451 Sep 17 09:17 minion.pub             (自己的私钥)

minion和master端保持长连接:

[[email protected] ~]# lsof -i :4505
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
salt-mini 5124 root 24u IPv4 30622 0t0 TCP super66.cn:39243->super65.cn:4505 (ESTABLISHED)

时间: 2024-10-13 23:27:38

三、saltstack证书管理的相关文章

SaltStack使用

一. SaltStack基本使用方法 二. SaltStack的命令行工具 三. SaltStack的远程执行命令 四. SaltStack的模块 Grains Grains 是minion启动的时候采集的系统静态,包括CPU,操作系统,文件系统,硬盘等等 显示所有Grains信息分类:salt '*' grains.ls 显示所有静态信息:salt '*' grains.items Grains应用场景 1. 获取系统信息 2. 用于分类查找minion 3. 与其他模块结合完成更灵活的min

自动化运维Saltstack系列(三)之YAML和自定义Grains、Pillar

先来看看Saltstack的配置文件 Master [[email protected] ~]# vim /etc/salt/master Minion [[email protected] ~]# vim /etc/salt/minion 两者里面的配置项大同小异,其中master是我们需要重点配置的对象 大部分配置都可以保持默认无需改动,在部署大规模Saltstack环境需要自定义一些参数的时候才需要根据实际需求修改:其中一些比较重要的配置项: publish_port: 4505 # Sa

SaltStack 入门到精通第三篇:Salt-Minion配置文件详解

SaltStack 入门到精通第三篇:Salt-Minion配置文件详解 作者:ArlenJ  发布日期:2014-06-09 17:52:16 ##### 主要配置设置 ##### 配置 默认值 说明 例子 default_include minion.d/*.conf master可以从其他文件读取配置,默认情况下master将自动的将master.d/*.conf中的配置读取出来并应用,其中master.d目录是相对存在于主配置文件所在的目录 default_include: minion

saltstack 自动化运维神器(三)节点组及复合匹配器

saltstack实现远程配置管理功能首先是要先匹配到对应的target minion,然后才会将命令发送到匹配到的minion上去执行.这里介绍两种比较强大的匹配方法,一是创建节点组:二是使用复合匹配器. 节点组将不同的主机分配到不同的组中去,便于实现主机的集中化管理,接下来首先看salt分组功能的实现. 要使用salt的分组功能,需要在master节点上进行配置,配置的方式有两种: (1).将分组的信息写在master的主配置文件 (2).将分组的信息写在一个单独的配置文件中,然后主配置文件

saltstack 系列(三)centos7使用saltstack小试牛刀

今天为salt-minion端创建2个用户:www和mysql: 使用saltstack的user和group模块 ##cat www.sls www-user-group: group.present: - name: www - gid: 1000 user.present: - name: www - fullname: www - shell: /sbin/nologin - uid: 1000 ##cat mysql.sls mysql-user-group: group.presen

SaltStack(三) 远程执行

一.简单测试 在前面3个小节我们介绍了SaltStack并且讲解了Salt的安装部署.相信你现在已经只有拥有一个Master和至少一个Minion.我们能做点什么呢?下面的两个章节,带领读者快速的使用SaltStack的远程执行和配置管理功能. 远程执行时SaltStack的核心功能之一.主要使用salt模块可以批量给选定的Minion端执行相应的命令,并获得返回结果.让我们执行第一个Salt命令. [[email protected] ~]# salt '*' test.ping salt-c

<Docker + Bamboo + Saltstack持续集最佳实践 > 本周三晚在线公开课

课程大纲 敏捷开发介绍 持续集成与高效自动化代码发布和部署 持续集成目标 Git+Docker+Bamboo+SaltStack最佳搭配实践 实际企业案例演示 本节课程架构图 讲师介绍 Alex (金角大王) 开课时间:2.24号(本周三晚8:30-10:30) 报名地址:http://ke.qq.com/course/109101#term_id=100121544 

saltstack部署returner [三]

saltstack部署returner感悟:大家有没有遇到过当salt的minion太多时候,每次查看执行结果都要看很久,而且屏幕都占满了.也不方便查看是否执行成功.这个时候saltsack的returner功能上场了.我们可以把执行的命令结果存入数据库,通过数据库查看就很方便了.不过在安装测试中遇到很多问题.这里要感谢成都运维群的运维@安,他帮我查到为什么不能写入数据库的原因,在这里感谢他.saltstack执行结果写入到mysql数据库配置  1.建数据库及表  #假设我们的数据库服务器为1

自动化运维神器之saltstack (三)节点组及复合匹配器

saltstack实现远程配置管理功能首先是要先匹配到对应的target minion,然后才会将命令发送到匹配到的minion上去执行.这里介绍两种比较强大的匹配方法,一是创建节点组:二是使用复合匹配器. 节点组将不同的主机分配到不同的组中去,便于实现主机的集中化管理,接下来首先看salt分组功能的实现. 看下环境先: hadoop0.updb.com    192.168.0.100    OS:CentOS 6.5        Role:master uadoop1.updb.com