SaltStack入门【master配置详解 二】

SALT-SSH CONFIGURATION

ROSTER_FILE

Default: '/etc/salt/roster'

通过在另一个位置salt-ssh名单文件。

roster_file: /root/roster

SSH_MINION_OPTS

Default: None

通过在minion选项覆盖,将插入垫片salt-ssh调用。当地的minion配置不用于salt-ssh。可以覆盖在per-minion基础上的名单(minion_opts)

minion_opts:
gpg_keydir: /root/gpg

MASTER SECURITY SETTINGS

OPEN_MODE

Default: False

开放模式是一个危险的安全特性。与pki认证系统遇到的一个问题是,钥匙可以成为“混合”和身份验证失败。开放模式关闭验证和告诉master接受所有身份验证。这将清理收到的minion pki密钥。开放模式不应该打开普遍使用。开放模式应该只被用于短时间内清理pki的钥匙。打开开放模式将这个值设置为True。

open_mode: False

AUTO_ACCEPT

Default: False

启用auto_accept。这个设置将自动接受minions传入的公钥。

auto_accept: False

AUTOSIGN_TIMEOUT

New in version 2014.7.0.

Default: 120

在规定的分钟内自动接受minion keyid存储在pki_dir/minion_autosign/keyid。 过期后master自动清除minion_autosign中的keyid. 该方法自动接受minios可以比autosign_file更安全因为keyid记录可以到期,仅限于一个确切的名称匹配。这仍应被视为一个不到安全的选择,因为信任是基于请求 minion id.

AUTOSIGN_FILE

Default: not defined

如果指定了autosign_file传入autosign_file中指定键将自动接受。将寻找第一个匹配字符串的比较,通过完整的字符串,然后通过匹配,正则表达式匹配。这仍应被视为一个不到安全的选择,因为信任是基于请求 minion id.

AUTOREJECT_FILE

New in version 2014.1.0.

Default: not defined

类似autosign_file,而是允许您指定minion id为键将自动拒绝。将会覆盖加入theautosign_file和auto_accept设置。

CLIENT_ACL

Default: {}

启用用户帐户来执行特定的模块。这些模块可以表示为正则表达式。

client_acl:
fred:
- test.ping
- pkg.*

CLIENT_ACL_BLACKLIST

Default: {}

用户或模块黑名单
这个例子将所有非sudo黑名单用户,包括root运行任何命令。它还将任何“cmd”模块的使用加入黑名单。
默认禁用。

client_acl_blacklist:
users:
- root
- '^(?!sudo_).*$' # all non sudo users
modules:
- cmd

EXTERNAL_AUTH

Default: {}

外部身份验证系统使用salt身份验证模块进行身份验证和验证用户访问地区的salt system。

external_auth:
pam:
fred:
- test.*

TOKEN_EXPIRE

Default: 43200

TOKEN过期时间(单位 秒)。

Default: 12 hours

token_expire: 43200

FILE_RECV

Default: False

允许minions推送文件到到master。这在缺省情况下是禁用的,出于安全目的。

file_recv: False

MASTER_SIGN_PUBKEY

Default: False

签署主auth-replies加密签名的公钥。请参阅本教程如何使用这些设置在Multimaster-PKI故障转移教程

master_sign_pubkey: True

MASTER_SIGN_KEY_NAME

Default: master_sign

自定义signing-key-pair的名称没有后缀。

master_sign_key_name:

MASTER_PUBKEY_SIGNATURE

Default: master_pubkey_signature

master pubkey 签名文件的名称。

master_pubkey_signature:

MASTER_USE_PUBKEY_SIGNATURE

Default: False

计算每个auth-reply的签名,而是使用一个pre-calculated 签名。master_pubkey_signature也必须设置。

master_use_pubkey_signature: True

ROTATE_AES_KEY

Default: True

Rotate the salt-masters AES-key when a minion-public is deleted with salt-key。这是一个非常重要的安全设置。禁用它将使删除minios还监听 salt-master发布的消息。不要禁用这个,除非是绝对明确的这样做。

rotate_aes_key: True

MASTER MODULE MANAGEMENT

RUNNER_DIRS

Default: []

设置额外的搜索模块目录。

CYTHON_ENABLE

Default: False

启用Cython模块(设置为true .pyx文件)在动态编译salt master。

cython_enable: False

MASTER STATE SYSTEM SETTINGS

STATE_TOP

Default: top.sls

state system 使用一个 “top” file 文件告诉minios使用哪些环境和模块。定义state_top使用的文件名称。

state_top: top.sls

MASTER_TOPS

Default: {}

master_tops选项替换external_nodes选项创建一个可插入系统生成的外部数据。master_tops external_nodes选项弃用的选项。获得经典external_nodes的功能系统,使用以下配置:

master_tops:
ext_nodes:

EXTERNAL_NODES

Default: None

external_nodes选项允许salt收集数据,通常会被放置在一个文件和外部节点控制器。external_nodes选项将返回ENC数据的可执行文件。记住,salt 会寻找外部节点和文件,并结合结果如果都启用并可用!

external_nodes: cobbler-ext-nodes

RENDERER

Default: yaml_jinja

使用是什么渲染器来在minions呈现 state data.

renderer: yaml_jinja

FAILHARD

Default: False

当一个state faild时,停止所有正在运行的 states。

failhard: False

STATE_VERBOSE

Default: True

默认情况下,显示所有states返回的结果,但设置这个值为False将导致salt只显示输出状态,要么失败,或成功minions没有做任何修改。

state_verbose: False

STATE_OUTPUT

Default: full

state_output设置更改如果输出是完整的多行输出每个改变状态如果设置为“full”,但如果设置成“terse”输出将缩短。如果设置为“mixed”,输出将简洁,除非states faild,在这种情况下,输出将满。如果设置为“changes”,输出将全部输出,除非states没有改变。

state_output: full

STATE_AGGREGATE

Default: False

自动聚合所有states当mod_aggregate设置为True。或通过state module 列表自动聚合这些类型。

state_aggregate:
 - pkg
  state_aggregate: True

STATE_EVENTS

Default: False

发送进程事件2,当state每个函数运行完成 ,如果设置为True。 进程事件的格式/job//prog//.

state_events: True

YAML_UTF8

Default: False开启扩展的 routines 使用YAML渲染器包含UTF字符。

yaml_utf8: False

TEST

Default: False

设置所有state 调用只是测试。

test: False

发表评论