saltstack key认证过程

密钥对儿的认证

当初始化安装 minion 启动服务启动后

  1. minion端生成一个秘钥对,并产生一个ID值,minion服务会安装ID值命名的公钥发送给 master ,直到接受为止;
  2. master认证完毕后,会将minion 端发送来的,以ID值命名的公钥存放在 /etc/salt/pki/master/minions 目录中(无扩展名);
  3. master认证完毕后,会将自身的公钥发送给 minion,并存储为 /etc/salt/pki/minion/minion_master.pub

minion id的生成过程

minion 默认按照一定的顺序,试图找到一个不是localhost的值作为其ID

这里不需要知道salt是按照怎样的顺序取值的,只需要记住以下优先级即可

hostname < /etc/salt/minion_id < /etc/salt/minion文件中的id值


密钥对儿存放的位置

  • master 秘钥对默认存储在
1
2
/etc/salt/pki/master/master.pub 
/etc/salt/pki/master/master.pem
  • master 端认证的公钥存储在:
1
/etc/salt/pki/master/minions/
  • minion 秘钥对默认存储在
1
2
/etc/salt/pki/minion/minion.pub 
/etc/salt/pki/minion/minion.pem
  • minion 存放的master公钥
1
/etc/salt/pki/minion/minion_master.pub
  • minion_id 默认存储在
1
/etc/salt/minion_id

在实际使用过程中,minion端可能会遇到各种原因导致的密钥对儿不匹配的情况,造成在master端显示在denied keys列表中无法通过认证。

  • [master]先在master端删除该id
  • [minion]再删除minion端的key文件
  • [minion]最后重启服务
1
2
3
4
5
6
7
8
rm -fr /etc/salt/pki/minion/minion_master.pub
#通过上面的介绍可以得知,以上这个文件是在master端认证通过之后,发放到minion端的公钥
#造成出现这个文件情况是因为早期连接了一个其他的master,更换master导致原公钥无法匹配
#删除与旧master认证的公钥文件
rm -fr /etc/salt/pki/minion/minion.pem #删除minion的私钥文件
rm -fr /etc/salt/pki/minion/minion.pub #删除minion的公钥文件
service salt-minion restart #重启服务 会自动重新生成新的密钥对儿
#此时master端查看keys时,新的主机已经出现在Unaccepted Keys的列表中了

参考文章 salt key 认证过程