saltstack的key认证过程

 

软件部署

在192.168.56.11和192.168.56.12上都更新salt的仓库。

yum install https://repo.saltstack.com/yum/redhat/salt-repo-latest-1.el7.noarch.rpm

将192.168.56.11作为master，将192.168.56.12作为minion

192.168.56.11

yum -y install salt-master salt-minion

192.168.56.12

yum -y install salt-minion

启动Salt的master

systemctl start salt-master

修改配置文件（minion要知道master是谁啊）：

192.168.56.11(master+minion)

[root@cobbler-node1 ~]# vim /etc/salt/minion

16行 master: 192.168.56.11（最佳实践是写主机名，前提是内网有DNS解析）

103行 #id:

这个id我们可以不改，这个是saltstack中的一个设备的标识符，不改它的话默认

会以hostname的值为id，主机名的全称。FQDN名称

修改完上述的master以后，然后在192.168.56.12（minion）上同样修改minion配置文件。操作和master的一样，修改完成以后在两台设备上启动minion

systemctl start salt-minion

启动minion后我们会在/etc/salt下发现多了个minion_id

[root@cobbler-node1 ~]# cat /etc/salt/minion_id

cobbler-node1

#通过cat查看发现这里面内容就是我们的hostname

这个文件一般情况下不要去修改，因为minion启动的时候会默认先读取这个文件，如果这个文件有的话它就直接读入了，你改的不会生效的，如果你真的要改的话记住先把这个id文件删掉

minion_id的设置可以使用hostname或者使用ip地址。设置主机名的时候不要有下划线，因为主机名要解析，DNS解析的话主机名是不能有下划线的。

minion端配置完毕以后要重启

systemctl restart salt-minion

Master和Minion的认证

master和minion要通过认证之后才能被正确的识别，就好像你要找一个主人给人家干活，你也得经过人家的同意啊。（认证采用RSA key方式确认身份，传输采用AES加密算法）

minion目录在第一次启动的时候会在/etc/salt下新建一个pki目录

[root@zabbix-agent salt]# tree pki

pki

└── minion

    ├── minion.pem

    └── minion.pub

其中：

minion.pem 私钥

minion.pub 公钥

要进行认证，minion会把自己的公钥发给master，然后我们现在启动master服务

systemctl start salt-master

查看一下master的目录发现也多了一个pki的目录，其中存放着minion传过来的公钥。

[root@zabbix-server salt]# pwd

/etc/salt

[root@zabbix-server salt]# tree ./pki

./pki

├── master

│   ├── master.pem       ##master的私钥

│   ├── master.pub       ##master的公钥

│   ├── minions

│   ├── minions_autosign

│   ├── minions_denied

│   ├── minions_pre          ##minion发过来的公钥放在pre目录下，目前还没有被master管理

│   │   ├── zabbix-agent    ##文件名是使用ID来做为名称的，所以生成的id是不能改的。

│   │   └── zabbix-server

│   └── minions_rejected

└── minion

    ├── minion.pem

    └── minion.pub

这个时候只是minion知道我master了，然后把公钥发过来了，但是master还没进行认证。master认证的话需要执行如下的命令：

[root@zabbix-server salt]# salt-key

Accepted Keys:

Denied Keys:

Unaccepted Keys:

zabbix-agent

zabbix-server

Rejected Keys:

当前没有接受的key，未接受的有两个，拒绝的没有

[root@zabbix-server salt]# salt-key -a zabbix-agent

The following keys are going to be accepted:

Unaccepted Keys:

zabbix-agent

Proceed? [n/Y] y

Key for minion zabbix-agent accepted.

我们可以使用-a参数加上minion_id的形式添加key。

[root@zabbix-server salt]# salt-key -a zabbix-*

The following keys are going to be accepted:

Unaccepted Keys:

zabbix-server

Proceed? [n/Y] y

Key for minion zabbix-server accepted.

同样我们还可以使用通配符的形式

[root@zabbix-server salt]# salt-key

Accepted Keys:

zabbix-agent

zabbix-server

Denied Keys:

Unaccepted Keys:

Rejected Keys:

然后我们再查看key的接受情况。

接下来查看一下salt-key的帮助参数：

-l                     显示指定状态的key，支持正则表达式

-L,--list-all          显示所有公钥

-a,ACCEPT              接受指定等待认证的key，支持正则

-A,--accept-all        接受所有等待认证的key

-r REJECT              拒绝等待认证的key，支持正则

-R REJECT-all          拒绝所有等待认证的key

--include-all          显示所有状态的key，包括non-pending状态

-p PRINT               打印指定的公钥，-P打印所有的公钥

-d DELETE              删除指定的key

-D --delete-all        删除所有的key

-f FINGER              显示指定key的指纹信息

-F --finger-all        显示所有key的指定信息

当我们接受完公钥以后我们来再来查看一下：

[root@zabbix-server ~]# tree /etc/salt/pki/

/etc/salt/pki/

├── master

│   ├── master.pem

│   ├── master.pub

│   ├── minions

│   │   ├── zabbix-agent

│   │   └── zabbix-server

│   ├── minions_autosign

│   ├── minions_denied

│   ├── minions_pre

│   └── minions_rejected

└── minion

    ├── minion_master.pub

    ├── minion.pem

    └── minion.pub

7 directories, 7 files

可以发现被认证的key从pre移动到了minions文件夹中。同时minion端：

[root@zabbix-agent ~]# tree /etc/salt/pki

/etc/salt/pki

└── minion

    ├── minion_master.pub

    ├── minion.pem

    └── minion.pub

1 directory, 3 files

minion端也收到了master端发来的公钥，名称做了一下修改，我们可以通过md5来确认一下是不是同一个文件：

[root@zabbix-server ~]# md5sum /etc/salt/pki/master/master.pub

24ca638333e27cfead75343d9b761ee4  /etc/salt/pki/master/master.pub

[root@zabbix-agent ~]# md5sum /etc/salt/pki/minion/minion_master.pub

24ca638333e27cfead75343d9b761ee4  /etc/salt/pki/minion/minion_master.pub

远程执行测试

[root@zabbix-server salt]# salt "zabbix-agent" test.ping

zabbix-agent:

    True

[root@zabbix-server salt]# salt "zabbix-*" test.ping

zabbix-agent:

    True

zabbix-server:

    True

*表示所有，因为*在shell本地也是有含义的因此我们用引号引起来，不让他在shell中体现它的含义。
test.ping，其中test是一个模块，而ping是test模块中的一个方法
这条命令的意思是检测minion是否在干活，这个ping和ICMP的ping不一样，不要搞混了。

[root@zabbix-server salt]# salt "zabbix-agent" cmd.run 'w'

zabbix-agent:

     16:39:41 up 10:34,  1 user,  load average: 0.16, 0.06, 0.06

    USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT

    root     pts/1    192.168.56.1     09:22   29:33  51.41s  0.49s -bash

cmd是模块，run是cmd模块的方法

cmd命令很好用，但是同时也很危险，因为能直接执行命令意味着就可以删除。后面会说到ACL允许特定的人才能执行