这篇文件主要用来解释一下salt配置中常用的参数,其他的参数可以参考官网文档。

基础参数

  • interface: 服务器监听地址。
  • ipv6: 是否启用ipv6。
  • max_open_files: 最大文件打开数。
  • worker_threads: 启动几个主线程。
  • timeout: 设置saltAPI和命令默认超时时间。
  • state_verbose: 显示返回状态的详细信息程度。False 只返回变化的地方及执行结果。

日志配置

  • log_file: /var/log/salt/master 日志文件存放位置。
  • log_level: warning 日志文件的级别。

除了将日志写入到本地,也可以将日志写入到rsyslog中。格式: <file|udp|tcp>://<host|socketpath>:<port-if-required>/<log-facility>

log_file: udp://loghost:10514

log的日志级别

  • quiet: 不应该配置这个级别的参数。
  • critical: 严重错误日志才写入。
  • error: 写入错误日志。
  • warning: 写入告警级别的日志。
  • info: 正常的日志。
  • profile: 分析salt的性能信息。
  • debug: 详细日志
  • trace: 比debug更详细的日志。
  • garbage: 更多的详细日志。
  • all: 所有的日志。

file_roots 配置

file_roots:

  base:

    - /data/db/salt/base/

  prod:

    - /data/db/salt/prod/

  test:

    - /data/db/salt/test/

存放sls配置文件的地方。可以在salt命令中使用saltenv 知道使用具体的环境。默认是base。

salt 'linux-node2' state.sls nginx.config saltenv=prod


pillar_roots:

  base:

    - /data/db/salt/pillar

存放pillar配置文件的地方。

salt权限控制

pam 模块权限控制

salt 扩展认证 PAM,可以利用PAM 认证机制对系统账户做出功能操作上的限制。依赖的模块salt.states.external_auth

  • 认证用户不允许使用root
  • 可以限制认证用户可使用的功能模块
  • 可以限定认证用户可管理的主机

开启PAM认证

编辑 /etc/salt/master

external_auth:

  pam:

    salt:

      - '*'

创建 salt 用户 设置密码

验证

salt PAM 认证用户 只能通过-a pam 参数才能使用

salt -a pam test.ping

会提示登陆用户,输入密码,如果正确返回结果,说明pam认证已经生效

实例 :

/etc/salt/master

external_auth:

  pam:

    admin:

      - '*'                        # 所有模块

    salt:

      - test.ping                  # test.ping 模块

    test:

      - 'dev*':                   # 主机配置规则

        - test.ping                # Salt 模块

解释:

  • admin 用户可管理所有主机,使用所有salt功能模块
  • salt 用户可管理所有主机,仅能使用test.ping模块
  • test 用户只能管理部分主机,仅能使用test.ping模块

实例1: 以salt用户为例,认证用户必须打开PAM 参数才能操作

失败操作:

 salt '*' test.ping

Failed to authenticate, is this user permitted to execute commands?

成功操作:

 salt -a pam '*' test.ping

username: salt

password:

ubuntu-master:

True

实例2: 以salt用户为例,执行未授权模块被拒绝

salt -a pam '*' state.highstate

username: salt

password:

Failed to authenticate, is this user permitted to execute commands?

以test用户为例,操作未授权主机被拒绝

失败操作

salt -a pam '*' test

username: test

password:

Failed to authenticate, is this user permitted to execute commands?

成功操作

salt -a pam 'test-001' test

username: test

password:

test-001:

    True

参考文档

master端配置

官方文档-eauth

死磕salt系列-salt配置文件的更多相关文章

  1. 死磕nginx系列--nginx 目录

    死磕nginx系列--nginx入门 死磕nginx系列--nginx配置文件 死磕nginx系统-nginx日志配置 死磕nginx系列--nginx服务器做web服务器 死磕nginx系列--使用 ...

  2. 死磕nginx系列

    死磕nginx系列 死磕nginx系列--nginx入门 死磕nginx系列--nginx配置文件 死磕nginx系统--nginx日志配置 死磕nginx系列--nginx服务器做web服务器 死磕 ...

  3. 死磕salt系列-salt文章目录汇总

    死磕salt系列-salt入门 死磕salt系列-salt配置文件 死磕salt系列-salt grains pillar 配置 死磕salt系列-salt 常用modules 死磕salt系列-sa ...

  4. 一生挚友redo log、binlog《死磕MySQL系列 二》

    系列文章 原来一条select语句在MySQL是这样执行的<死磕MySQL系列 一> 一生挚友redo log.binlog<死磕MySQL系列 二> 前言 咔咔闲谈 上期根据 ...

  5. MySQL强人“锁”难《死磕MySQL系列 三》

    系列文章 一.原来一条select语句在MySQL是这样执行的<死磕MySQL系列 一> 二.一生挚友redo log.binlog<死磕MySQL系列 二> 前言 最近数据库 ...

  6. S 锁与 X 锁的爱恨情仇《死磕MySQL系列 四》

    系列文章 一.原来一条select语句在MySQL是这样执行的<死磕MySQL系列 一> 二.一生挚友redo log.binlog<死磕MySQL系列 二> 三.MySQL强 ...

  7. 如何选择普通索引和唯一索引《死磕MySQL系列 五》

    系列文章 一.原来一条select语句在MySQL是这样执行的<死磕MySQL系列 一> 二.一生挚友redo log.binlog<死磕MySQL系列 二> 三.MySQL强 ...

  8. 五分钟,让你明白MySQL是怎么选择索引《死磕MySQL系列 六》

    系列文章 二.一生挚友redo log.binlog<死磕MySQL系列 二> 三.MySQL强人"锁"难<死磕MySQL系列 三> 四.S 锁与 X 锁的 ...

  9. 字符串可以这样加索引,你知吗?《死磕MySQL系列 七》

    系列文章 三.MySQL强人"锁"难<死磕MySQL系列 三> 四.S 锁与 X 锁的爱恨情仇<死磕MySQL系列 四> 五.如何选择普通索引和唯一索引&l ...

  10. 无法复现的“慢”SQL《死磕MySQL系列 八》

    系列文章 四.S 锁与 X 锁的爱恨情仇<死磕MySQL系列 四> 五.如何选择普通索引和唯一索引<死磕MySQL系列 五> 六.五分钟,让你明白MySQL是怎么选择索引< ...

随机推荐

  1. [转]Android Studio SQLite Database Example

    本文转自:http://instinctcoder.com/android-studio-sqlite-database-example/ BY TAN WOON HOW · PUBLISHED AP ...

  2. 使用FileSystemWatcher监视指定目录

    使用 FileSystemWatcher 监视指定目录中的更改.可监视指定目录中的文件或子目录的更改. 以下是一个简单的实例,用来监控指定目录下文件的新增.删除.重命名等情况(文件内容更改会触发多次, ...

  3. [转] SQL函数说明大全

    from http://www.cnblogs.com/moss_tan_jun/archive/2010/08/23/1806861.html 一旦成功地从表中检索出数据,就需要进一步操纵这些数据, ...

  4. ASP.NET页面支持的指令

    页面的处理指令 页面指令的处理用于配置执行该页面的运行时环境.在ASP.NET中,指令可以位于页面的任何位置,但良好且常见的习惯是将其置于文件的开始部分.除此,页面指令的名称是不区分大小写的,且指令的 ...

  5. java自学-编程入门

    java语言写的代码需要先编译为可执行文件,才能被jvm执行.在下载的jdk安装目录下的bin目录,有两个可执行程序java.exe和javac.exe,javac就是用来编译的,java是执行编译后 ...

  6. Web前端面试指导(十六):为什么要初始化CSS样式?

    题目点评 这个题目乍一看感觉怪怪的,什么叫初始化样式了?如果换一句话你可能就理解了,就是通用样式.这道题目主要涉及的是理论方面的知识,不用写代码,只要描述清楚就可以了 初始化样式的原因 因为浏览器的兼 ...

  7. 七、angularjs 倒计时

    使用定时器时离开页面需要清除定时器,清除的方法有两种分别针对页面有缓存和没有缓存 1.页面有缓存 2.页面没有缓存 angularjs倒计时首先需要注入:$interval 60s倒计时 vm.sec ...

  8. axios 同步问题

    Axios 是一个基于 Promise 的 HTTP 库,可以用在浏览器和 node.js 中(这是官方文档给出的一个解释说明) 它的主要作用是向后台发起异步请求,还有在请求中做更多的可控功能 1. ...

  9. TPS和事务响应时间的关系、计算公式 (转)

    例子:一个高速路有10个入口,每个入口每秒钟只能进1辆车1.请问1秒钟最多能进几辆车?   TPS=102.每辆车需要多长时间进行响应?   reponse time = 13.改成20辆车,每秒能进 ...

  10. /etc/vsftpd.conf详解

    #################匿名权限控制############### anonymous_enable=YES  #是否启用匿名用户no_anon_password=YES #匿名用户logi ...