saltstack 配置认证

认证原理

master端和minion端通信需要建立一个安全通道，传输过程需要加密，所以得配置认证，也是通过密钥对来加密解密的

minion在第一次启动时会在/etc/salt/pki/minion/下生成minion.pem和minion.pub，其中.pub为公钥，它会把公钥传输给master master第一次启动时也会在/etc/salt/pki/master下生成密钥对，当master接收到minion传过来的公钥后，通过salt-key工具接受这个公钥，一旦接受后就会在/etc/salt/pki/master/minions/目录里存放刚刚接受的公钥，同时客户端也会接受master传过去的公钥，把它放在/etc/salt/pki/minion目录下，并命名为minion_master.pub

以上过程需要借助salt-key工具来实现

# 执行如下命令 salt-key -a salt1 # -a 后面跟主机名，可以认证指定主机

salt-key -a salt1

salt-key命令

• -a 后面跟主机名，认证指定主机

• -A 认证所有主机

• -r 跟主机名，拒绝指定主机

• -R 拒绝所有主机

• -d 跟主机名，删除指定主机认证

• -D 删除全部主机认证

• -y 省略掉交互，相当于直接按了y

[root@salt1 ~]# salt-key -a salt1   # 认证salt1
The following keys are going to be accepted:
Unaccepted Keys:
salt1
Proceed? [n/Y] y
Key for minion salt1 accepted.
[root@salt1 ~]# salt-key        # 查看认证信息
Accepted Keys:
salt1
Denied Keys:
Unaccepted Keys:
salt2
Rejected Keys:
[root@salt1 ~]#

当使用-D|-d 删除认证后，如果要再作认证，就需要重启客户端服务