- ข้อความ
- ประวัติศาสตร์
n some situations, it is not conven
n some situations, it is not convenient to wait for a minion to start before accepting its key on the master. For instance, you may want the minion to bootstrap itself as soon as it comes online. You may also want to to let your developers provision new development machines on the fly.
See also
Many ways to preseed minion keys
Salt has other ways to generate and pre-accept minion keys in addition to the manual steps outlined below.
salt-cloud performs these same steps automatically when new cloud VMs are created (unless instructed not to).
salt-api exposes an HTTP call to Salt's REST API to generate and download the new minion keys as a tarball.
There is a general four step process to do this:
Generate the keys on the master:
root@saltmaster# salt-key --gen-keys=[key_name]
Pick a name for the key, such as the minion's id.
Add the public key to the accepted minion folder:
root@saltmaster# cp key_name.pub /etc/salt/pki/master/minions/[minion_id]
It is necessary that the public key file has the same name as your minion id. This is how Salt matches minions with their keys. Also note that the pki folder could be in a different location, depending on your OS or if specified in the master config file.
Distribute the minion keys.
There is no single method to get the keypair to your minion. The difficulty is finding a distribution method which is secure. For Amazon EC2 only, an AWS best practice is to use IAM Roles to pass credentials. (See blog post, http://blogs.aws.amazon.com/security/post/Tx610S2MLVZWEA/Using-IAM-roles-to-distribute-non-AWS-credentials-to-your-EC2-instances )
Security Warning
Since the minion key is already accepted on the master, distributing the private key poses a potential security risk. A malicious party will have access to your entire state tree and other sensitive data if they gain access to a preseeded minion key.
Preseed the Minion with the keys
You will want to place the minion keys before starting the salt-minion daemon:
/etc/salt/pki/minion/minion.pem
/etc/salt/pki/minion/minion.pub
See also
Many ways to preseed minion keys
Salt has other ways to generate and pre-accept minion keys in addition to the manual steps outlined below.
salt-cloud performs these same steps automatically when new cloud VMs are created (unless instructed not to).
salt-api exposes an HTTP call to Salt's REST API to generate and download the new minion keys as a tarball.
There is a general four step process to do this:
Generate the keys on the master:
root@saltmaster# salt-key --gen-keys=[key_name]
Pick a name for the key, such as the minion's id.
Add the public key to the accepted minion folder:
root@saltmaster# cp key_name.pub /etc/salt/pki/master/minions/[minion_id]
It is necessary that the public key file has the same name as your minion id. This is how Salt matches minions with their keys. Also note that the pki folder could be in a different location, depending on your OS or if specified in the master config file.
Distribute the minion keys.
There is no single method to get the keypair to your minion. The difficulty is finding a distribution method which is secure. For Amazon EC2 only, an AWS best practice is to use IAM Roles to pass credentials. (See blog post, http://blogs.aws.amazon.com/security/post/Tx610S2MLVZWEA/Using-IAM-roles-to-distribute-non-AWS-credentials-to-your-EC2-instances )
Security Warning
Since the minion key is already accepted on the master, distributing the private key poses a potential security risk. A malicious party will have access to your entire state tree and other sensitive data if they gain access to a preseeded minion key.
Preseed the Minion with the keys
You will want to place the minion keys before starting the salt-minion daemon:
/etc/salt/pki/minion/minion.pem
/etc/salt/pki/minion/minion.pub
0/5000
n บางสถานการณ์ ไม่สะดวกรอสมุนเริ่มต้นก่อนที่จะรับของคีย์บนหลักการ เช่น คุณอาจต้องการให้สมุน bootstrap เองเป็นมาออนไลน์ นอกจากนี้คุณยังอาจต้องการให้นักพัฒนาของเงินสำรองใหม่พัฒนาเครื่องในการบินดูหลายวิธีเพื่อ preseed แป้นสมุนเกลือมีวิธีอื่นในการสร้าง และการยอมรับล่วงหน้าแป้นสมุนนอกจากขั้นตอนด้วยตนเองที่ระบุไว้ด้านล่างเกลือเมฆดำเนินขั้นตอนเหล่านี้เหมือนกันโดยอัตโนมัติเมื่อเมฆใหม่ VMs สร้าง (สั่งไม่ให้)เกลือ-api แสดงการเรียก API เหลือของเกลือเพื่อสร้าง และดาวน์โหลดคีย์สมุนใหม่เป็น tarball HTTPมีกระบวนการ 4 ขั้นตอนทั่วไปนี้:สร้างแป้นบนหลัก:root@saltmaster# เกลือคีย์ปุ่ม gen = [key_name]เลือกชื่อสำหรับคีย์ เช่นรหัสของสมุนเพิ่มคีย์สาธารณะไปยังโฟลเดอร์สมุนยอมรับ:root@saltmaster# cp key_name.pub /etc/salt/pki/master/minions / [minion_id]ได้ว่า แฟ้มคีย์สาธารณะมีชื่อเดียวกันเป็นรหัสของคุณสมุน วิธีเกลือตรงกับสมุนกับคีย์ของพวกเขาได้ ยังสังเกตว่าโฟลเดอร์ pki อาจในตำแหน่งอื่น ขึ้นอยู่กับระบบปฏิบัติการของคุณ หรือ ถ้าระบุในไฟล์ config หลักกระจายคีย์สมุนไม่ใช้วิธีการเดียวเพื่อไป keypair สมุนของคุณได้ ความยากคือการหาวิธีการแจกจ่ายที่ปลอดภัย สำหรับ Amazon EC2 เท่า AWS แนวทางปฏิบัติจะใช้บทบาท IAM เพื่อส่งผ่านข้อมูลประจำตัว (ดูบล็อกการลงรายการบัญชี http://blogs.aws.amazon.com/security/post/Tx610S2MLVZWEA/Using-IAM-roles-to-distribute-non-AWS-credentials-to-your-EC2-instances)คำเตือนความปลอดภัยตั้งแต่คีย์สมุนเป็นยอมรับในหลักการ การกระจายคีย์ส่วนตัวที่ทำเสี่ยงด้านความปลอดภัย บุคคลที่เป็นอันตรายจะสามารถเข้าถึงทรีสถานะทั้งหมดของคุณและข้อมูลอื่น ๆ ที่สำคัญหากพวกเขาเข้าถึงคีย์สมุน preseededPreseed สมุน ด้วยปุ่มคุณจะต้องทำแป้นสมุนก่อนเริ่มเกลือสมุนมาร:/etc/salt/pki/minion/minion.pem/etc/salt/pki/minion/minion.pub
การแปล กรุณารอสักครู่..
n สถานการณ์บางอย่างก็ไม่สะดวกในการรอให้สมุนที่จะเริ่มต้นก่อนที่จะยอมรับที่สำคัญที่มีต่อหลัก ตัวอย่างเช่นคุณอาจต้องการที่จะสมุนบูตตัวเองทันทีที่มาออนไลน์ นอกจากนี้คุณยังอาจต้องการที่จะปล่อยให้นักพัฒนาของการจัดหาเครื่องการพัฒนาใหม่ในทันที. ดูเพิ่มเติมหลายวิธีที่จะ preseed คีย์สมุนเกลือมีวิธีการอื่นๆ ในการสร้างและ pre-ยอมรับกุญแจสมุนนอกเหนือไปจากขั้นตอนด้วยตนเองที่ระบุไว้ด้านล่าง. ดำเนินเกลือเมฆ เหล่านี้ขั้นตอนเดียวกันโดยอัตโนมัติเมื่อ VMs เมฆใหม่ถูกสร้างขึ้น (ยกเว้นกรณีที่สั่งไม่ให้). เกลือ API เสี่ยงโทร HTTP เพื่อ REST API ของเกลือในการสร้างและดาวน์โหลดคีย์สมุนใหม่เป็น tarball ได้. มีทั่วไปกระบวนการขั้นตอนที่สี่ที่จะทำคือ : สร้างปุ่มบนหลัก: ราก @ saltmaster เกลือที่สำคัญ # --gen คีย์ = [key_name] เลือกชื่อสำหรับที่สำคัญเช่นรหัสสมุนของ. เพิ่มคีย์สาธารณะไปยังโฟลเดอร์สมุนรับการยอมรับ: ราก @ saltmaster # ซีพี key_name.pub / etc / เกลือ / PKI / โท / สมุน / [minion_id] มันเป็นสิ่งจำเป็นว่าแฟ้มคีย์สาธารณะมีชื่อเดียวกับชื่อรหัสสมุนของคุณ นี่คือวิธีที่เกลือตรงกับลูกน้องด้วยปุ่มของพวกเขา นอกจากนี้ทราบว่าโฟลเดอร์ PKI อาจจะอยู่ในสถานที่ที่แตกต่างกันขึ้นอยู่กับระบบปฏิบัติการหรือถ้าระบุไว้ในไฟล์ config หลักของคุณ. กระจายคีย์สมุน. ไม่มีวิธีการเดียวที่จะได้รับ keypair เพื่อสมุนของคุณอยู่ ความยากคือการหาวิธีการกระจายที่มีความปลอดภัย สำหรับ Amazon EC2 เพียงการปฏิบัติ AWS ดีที่สุดคือการใช้บทบาท IAM ที่จะส่งข้อมูลประจำตัว (ดูโพสต์บล็อก ) การรักษาความปลอดภัยเตือนตั้งแต่สมุนที่สำคัญเป็นที่ยอมรับอยู่แล้วในหลักกระจายคีย์ส่วนตัว poses ความเสี่ยงที่อาจเกิดขึ้น บุคคลที่เป็นอันตรายจะสามารถเข้าถึงต้นไม้ทั้งรัฐและข้อมูลที่สำคัญอื่น ๆ ของคุณหากพวกเขาได้รับการเข้าถึงคีย์สมุน preseeded. Preseed Minion ด้วยปุ่มที่คุณจะต้องการที่จะวางกุญแจสมุนก่อนที่จะเริ่มภูตเกลือสมุน: / etc / เกลือ / PKI / สมุน / minion.pem /etc/salt/pki/minion/minion.pub
การแปล กรุณารอสักครู่..
n บางสถานการณ์ มันไม่สะดวกที่จะรอลูกน้องเริ่มก่อนจะรับกุญแจของปริญญาโทที่ ตัวอย่างเช่นคุณอาจต้องการมีเนี่ยจะบูทตัวเองทันทีที่มาถึงทางออนไลน์ นอกจากนี้คุณยังอาจต้องการที่จะให้นักพัฒนาบทบัญญัติใหม่พัฒนาเครื่องบิน
ดู
หลายวิธีที่จะ preseed คีย์
เนี่ยนเกลือมีวิธีการอื่น ๆเพื่อสร้างและก่อนรับค่างวดคีย์นอกจากคู่มือขั้นตอนที่อธิบายไว้ด้านล่าง .
เกลือเมฆแสดงเหล่านี้ขั้นตอนเดียวกันโดยอัตโนมัติเมื่อมีการสร้างวัดใหม่เมฆ ( ถ้าสั่งไม่ได้ )
เกลือ API exposes http โทรเกลือที่เหลือของ API เพื่อสร้างและดาวน์โหลดคนรับใช้ใหม่คีย์เป็น เป็น tarball
มีทั่วไปสี่ขั้นตอนที่จะทำนี้ :
สร้างปุ่มบนต้นแบบ :
ราก @ saltmaster #เกลือกุญแจ gen คีย์ = [ key_name ]
เลือกชื่อให้คีย์ เช่น ค่างวดบัตรของ
เพิ่มคีย์สาธารณะได้รับการยอมรับสมุนที่โฟลเดอร์ราก @ :
saltmaster # CP key_name.pub / etc / เกลือ / มาตรฐาน / อาจารย์ / สมุน / [ minion_id ]
มันเป็นสิ่งจำเป็นที่แฟ้มกุญแจสาธารณะเป็นชื่อเดียวกับของคุณ minion ID นี้เป็นอย่างไร เกลือ ไม้ขีดไฟสมุนกับคีย์ของพวกเขานอกจากนี้ยังทราบว่า PKI โฟลเดอร์อาจจะในสถานที่ที่แตกต่างกันขึ้นอยู่กับระบบปฏิบัติการของคุณ หรือ ถ้าระบุไว้ในหลัก ไฟล์ config .
แจกลูกน้องคีย์
ไม่มี วิธีเดียวที่จะได้รับ keypair กับลูกน้องของคุณ ความยากคือการหาการกระจายซึ่งเป็นวิธีที่ปลอดภัย สำหรับ Amazon AWS EC2 เท่านั้น , การปฏิบัติที่ดีที่สุดคือการใช้บทบาทเอี่ยมผ่านบัตรประจำตัว ( ดูโพสต์บล็อก , บล็อก http : / /การรักษาความปลอดภัยเตือน aws.amazon.com/security/post/tx610s2mlvzwea/using-iam-roles-to-distribute-non-aws-credentials-to-your-ec2-instances )
ตั้งแต่คนรับใช้คีย์เป็นที่ยอมรับแล้วในต้นแบบการกระจายคีย์ส่วนตัว poses ความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น งานเลี้ยงที่เป็นอันตรายจะสามารถเข้าถึงต้นไม้รัฐของคุณทั้งหมดและข้อมูลที่สำคัญอื่น ๆถ้าพวกเขาสามารถเข้าถึง preseeded สมุนคีย์
preseed ที่คนรับใช้กับปุ่ม
คุณจะต้องการสถานที่ที่คนรับใช้ของคีย์ก่อนที่จะเริ่มเนี่ยนเกลือภูต :
/ etc / เกลือ / มาตรฐาน / ค่างวด / ผู้จงรักภักดี ปิ๋ม
/ etc / เกลือ / มาตรฐาน / ค่างวด / minion.pub
ดู
หลายวิธีที่จะ preseed คีย์
เนี่ยนเกลือมีวิธีการอื่น ๆเพื่อสร้างและก่อนรับค่างวดคีย์นอกจากคู่มือขั้นตอนที่อธิบายไว้ด้านล่าง .
เกลือเมฆแสดงเหล่านี้ขั้นตอนเดียวกันโดยอัตโนมัติเมื่อมีการสร้างวัดใหม่เมฆ ( ถ้าสั่งไม่ได้ )
เกลือ API exposes http โทรเกลือที่เหลือของ API เพื่อสร้างและดาวน์โหลดคนรับใช้ใหม่คีย์เป็น เป็น tarball
มีทั่วไปสี่ขั้นตอนที่จะทำนี้ :
สร้างปุ่มบนต้นแบบ :
ราก @ saltmaster #เกลือกุญแจ gen คีย์ = [ key_name ]
เลือกชื่อให้คีย์ เช่น ค่างวดบัตรของ
เพิ่มคีย์สาธารณะได้รับการยอมรับสมุนที่โฟลเดอร์ราก @ :
saltmaster # CP key_name.pub / etc / เกลือ / มาตรฐาน / อาจารย์ / สมุน / [ minion_id ]
มันเป็นสิ่งจำเป็นที่แฟ้มกุญแจสาธารณะเป็นชื่อเดียวกับของคุณ minion ID นี้เป็นอย่างไร เกลือ ไม้ขีดไฟสมุนกับคีย์ของพวกเขานอกจากนี้ยังทราบว่า PKI โฟลเดอร์อาจจะในสถานที่ที่แตกต่างกันขึ้นอยู่กับระบบปฏิบัติการของคุณ หรือ ถ้าระบุไว้ในหลัก ไฟล์ config .
แจกลูกน้องคีย์
ไม่มี วิธีเดียวที่จะได้รับ keypair กับลูกน้องของคุณ ความยากคือการหาการกระจายซึ่งเป็นวิธีที่ปลอดภัย สำหรับ Amazon AWS EC2 เท่านั้น , การปฏิบัติที่ดีที่สุดคือการใช้บทบาทเอี่ยมผ่านบัตรประจำตัว ( ดูโพสต์บล็อก , บล็อก http : / /การรักษาความปลอดภัยเตือน aws.amazon.com/security/post/tx610s2mlvzwea/using-iam-roles-to-distribute-non-aws-credentials-to-your-ec2-instances )
ตั้งแต่คนรับใช้คีย์เป็นที่ยอมรับแล้วในต้นแบบการกระจายคีย์ส่วนตัว poses ความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น งานเลี้ยงที่เป็นอันตรายจะสามารถเข้าถึงต้นไม้รัฐของคุณทั้งหมดและข้อมูลที่สำคัญอื่น ๆถ้าพวกเขาสามารถเข้าถึง preseeded สมุนคีย์
preseed ที่คนรับใช้กับปุ่ม
คุณจะต้องการสถานที่ที่คนรับใช้ของคีย์ก่อนที่จะเริ่มเนี่ยนเกลือภูต :
/ etc / เกลือ / มาตรฐาน / ค่างวด / ผู้จงรักภักดี ปิ๋ม
/ etc / เกลือ / มาตรฐาน / ค่างวด / minion.pub
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- เทโอวัลตินใส่แก้ว
- พวกเราคือผู้หญิงที่สวยที่สุดในโลก
- Literature Review
- กล่องใหญ่
- For example,a case study of Minnesota ow
- ประโยชน์ของคอมพิวเตอร์
- เธอคือคนเดียวที่ฉันรัก
- What had resulted by 1936 from all of th
- let's old and older
- A good cry
- ถึงเราจะไม่ได้อยํด้วยกัน ฉันอยากให้คุณรู
- Sum of livebirths and stillbirths does n
- what type of music you listen to?
- health and well-being of corporations
- Interference Management
- ต้องเป็นชุดเเดรสกับสูทสีแดง
- ฉันทำปากของเธอแตก
- Brutalize the Guard without setting off
- ที่นอนฉันสกปรก
- To sail beyond the sunset, and the baths
- ผู้จดทะเบียนอากาศยาน
- 透明白/水银片【收藏赠送镜布+镜袋】 亮黑框/全灰片【收藏赠送镜布+镜袋】 透明
- fluffs hair, fixes lipstick
- Including the motors, gears and the hand
