SaltStack部署与key操作

 2025/09/04 

SaltStack是一个功能极其强大的基础设施自动化与管理平台。它的核心设计目标是速度、可扩展性和智能化，能够轻松管理从几十台到数万台服务器的环境。

早期运维人员会根据自己的生产环境来写shell脚本完成大量重复性工作，shell脚本复杂并且难以维护，几乎除了函数之外没有一丁点可复用性

salt和ansible对比

特性	Salt (SaltStack)	Ansible
架构模式	C/S 架构 (主从模式)	无代理架构 (基于SSH)
通信方式	长连接、加密的消息队列	短连接、SSH协议
工作模式	Master 将任务发布到消息总线，Minions 主动拉取并执行。	控制机通过SSH主动推送任务到目标节点执行。
速度关键	极高。连接已建立，通信开销极小，支持真正的并行。	较慢。每次执行都需要建立新的SSH连接，存在开销。
扩展性	极强。专为万级以上节点设计，速度衰减不明显。	良好。但在大规模节点下，SSH连接管理和时间推移会成为瓶颈。
首次连接	需要安装和配置Minion，并与Master建立连接，初始设置稍复杂。	非常简单，只需SSH凭据即可开始管理。

salt基本架构

三种工作方式

Local：本地运行，自己管理自己
Master-Minion：主从架构（推荐）
Salt SSH：与ansible一样，不需要代理

salt安装部署

salt目前支持的系统版本：

Salt supported operating systems - Salt install guide

以3006版本为例

10.163.2.100 master
10.163.2.128 minion1
10.163.2.102 minion2
10.163.2.129 minion3

centos:
curl -fsSL https://github.com/saltstack/salt-install-guide/releases/latest/download/salt.repo | sudo tee /etc/yum.repos.d/salt.repo
yum -y install salt-master
yum -y install salt-minion
yum -y install salt-ssh
yum -y install salt-syndic
yum -y install salt-cloud
yum -y install salt-api

ubuntu:
# Ensure keyrings dir exists
sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://packages.broadcom.com/artifactory/api/security/keypair/SaltProjectKey/public | sudo tee /etc/apt/keyrings/salt-archive-keyring.pgp
curl -fsSL https://github.com/saltstack/salt-install-guide/releases/latest/download/salt.sources | sudo tee /etc/apt/sources.list.d/salt.sources
sudo apt update
echo 'Package: salt-*
Pin: version 3006.*
Pin-Priority: 1001' | sudo tee /etc/apt/preferences.d/salt-pin-1001

sudo apt-get install salt-master
sudo apt-get install salt-minion
sudo apt-get install salt-ssh
sudo apt-get install salt-syndic
sudo apt-get install salt-cloud
sudo apt-get install salt-api

systemctl enable salt-master --now
systemctl enable salt-minion --now

# 仅测试环境
systemctl disable firewalld.service --now
setenforce 0
sed -i 's/SELINUX=enforcing/SELINUX=disable/' /etc/selinux/config

ufw disable

salt安全通信

slat使用publish-subscribe发布订阅模式，连接由minion启动，所以只需要master监听端口，master默认使用4505和4506端口

minion给master的4505端口发送消息建立连接
master通过4506端口发布消息广播，minion接受消息

salt认证过程

minion启动时，会搜索网络中名为salt（根据/etc/salt/minion定义）的主机
找到后与master建立tcp连接，并将其公钥发送给master
在master上使用salt-key命令（或自动化机制，通过/etc/salt/master配置）接受minion的公钥
接收minion密钥后，返回master的公钥和一个轮转的AES密钥，用于对master发送的消息进行加密解密
每次删除minion都需要重新验证，重启master不需要

实现master与minion通信

minion发起连接

minion中配置文件的默认master为"salt"，所以需要改下解析
也可以直接改minion配置文件，一样的，改配置文件需要重启服务

grep '#master:' /etc/salt/minion
#master: salt

cat >/etc/hosts <<EOF
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
10.163.2.100 master salt
10.163.2.128 minion1
10.163.2.102 minion2
10.163.2.129 minion3
EOF

scp /etc/hosts minion1:/etc/
scp /etc/hosts minion2:/etc/
scp /etc/hosts minion3:/etc/

# master
salt-key -L
Accepted Keys:
Denied Keys:
Unaccepted Keys:
minion1
minion2
minion3

master会提取minion的主机名作为能看到的名称
这里可以看到三个都已经收到了，且状态为未认证

salt-key操作

由于salt默认不使用ssh，salt在cs架构中有专门实现安全通信的方法
salt-key就是实现master和minion安全通信的密钥，默认是没有的，需要创建

key的增删改查

key的查看:
salt-key -L
Accepted Keys: # 已通过认证的key
Denied Keys:   # 拒绝的key
Unaccepted Keys: # 未通过认证的key
Rejected Keys: # 吊销的key

key的存放位置:
tree /etc/salt/pki/
/etc/salt/pki/
└── master
    ├── master.pem
    ├── master.pub
    ├── minions
    ├── minions_autosign # 启动注册的key
    ├── minions_denied   # 拒绝的key
    ├── minions_pre      # 未通过认证的key
    │   ├── minion1
    │   ├── minion2
    │   └── minion3
    └── minions_rejected # 吊销的key

key检查:
就是检查指纹
# master检查指纹
salt-key -f minion1
Unaccepted Keys:
minion1:  af:df:20:11:cb:a7:93:b3:56:c5:0e:e6:11:a5:39:fe:b5:5a:33:1d:ee:62:0c:24:7b:f4:89:8f:62:3c:4c:7b
# minion检查自己指纹
salt-call --local key.finger
local:
    af:df:20:11:cb:a7:93:b3:56:c5:0e:e6:11:a5:39:fe:b5:5a:33:1d:ee:62:0c:24:7b:f4:89:8f:62:3c:4c:7b

删除key
如果是已经接受的key被删除了，则需要进行重认证，需要重启minion
salt-key -d # 删除指定minion的key
salt-key -d minion1 -y
salt-key -D # 删除全部key

拒绝key
拒绝之后就会放到Rejected Keys中
salt-key -r # 拒绝指定minion的key
salt-key -R # 拒绝所有未接受的key

拒绝key与恢复

如果master拒绝了minion的公钥

在master上删除这个公钥，然后重启minion
以open mode重启master（不推荐）

删除master上的密钥
salt-key -R
ls /etc/salt/pki/master/minions_rejected/
minion1  minion2  minion3
rm -rf /etc/salt/pki/master/minions_rejected/*

这一步minion进程就自杀了
所以需要重启所有的minion服务
systemctl restart salt-minion

key的接受与自动接受

手动接受

salt-key -a # 接受单个key
salt-key -A # 接受所有key

salt-key -a minion1
salt-key -L
Accepted Keys:
minion1
Denied Keys:
Unaccepted Keys:
minion2
minion3
Rejected Keys:

netstat -tunp |grep salt
tcp        0      0 10.163.2.100:4505       10.163.2.128:59678      ESTABLISHED 13762/salt-master P
tcp        0      0 10.163.2.100:4506       10.163.2.128:50734      ESTABLISHED 13768/salt-master R
tcp        0      0 10.163.2.100:4506       10.163.2.102:57206      ESTABLISHED 13768/salt-master R
tcp        0      0 10.163.2.100:4506       10.163.2.129:59850      ESTABLISHED 13768/salt-master R

自动接受（不推荐）

如果配置了自动接受key，就认为网络环境绝对安全

配置文件/etc/salt/master

自动接受开关
auto_accept: False

白名单
autosign_file: /etc/salt/autosign.conf

黑名单
autoreject_file: /etc/salt/autoreject.conf

原文作者：王盛

原文链接：https://akemi.zj.cn/2025/09/04/SaltStack-install/

发表日期：September 4th 2025, 7:30:11 pm

更新日期：September 4th 2025, 7:38:14 pm

Next Post

Kubespray部署多节点k8s集群v1.27.5
Previous Post

ISCSI+共享LVM搭建GFS2提供httpd

CATALOG

1. salt安装部署
2. salt安全通信
1. 2.1. salt认证过程
2. 2.2. 实现master与minion通信
3. salt-key操作

Total : 262

2025

09/11 Kubespray使用HAProxy+keepalived做集群高可用
09/10 Kubespray部署多节点k8s集群v1.27.5
09/04 SaltStack部署与key操作
09/03 ISCSI+共享LVM搭建GFS2提供httpd
08/29 百T目录并行删除
08/27 Ubuntu管理网络的不同方式
08/26 DRBD+Pacemaker+提供高可用NFS
08/25 iSCSI+多路径存储使用HA-LVM
08/19 多路径存储dm-multipath
08/18 Pacemaker双节点问题与仲裁部署
08/12 云环境主机根分区扩容
08/07 Pacemaker组件介绍与部署
08/07 Pacemaker节点管理与仲裁机制
08/06 使用NFS-Ganesha挂载cephFS
07/28 Helm集成Cronjob备份mysql
07/23 新增虚拟网卡导致的calico组件报错
07/14 MGR进行集群监控和维护
07/14 Ceph-OSD更换
07/10 部署CephFS与挂载
07/10 RGW部署与awscli连接
07/08 Ceph-Import-Export
07/08 RBD mirror参数与配置介绍
07/08 RBD镜像快照与克隆--COW/COR
07/08 RADOS提供块存储RBD
07/04 管理Ceph的StorageMap--CRUSH MAP与OSD MAP
07/03 Ceph用户认证
07/03 Ceph的存储池Pool
07/02 OSD存储后端BlueStore介绍与生成OSD
07/01 Ceph集群MON、Network配置
07/01 Ceph集群配置方式介绍
06/30 Helm部署nvidia-pulgin
06/30 nfs与nfs供应商快速部署
06/30 Nivdia驱动安装
06/27 Cephadm部署Ceph集群与扩容
06/25 Helm labels渲染bug
06/23 Ceph组件
06/20 使用kubeadm的k8s IP地址改变-单主节点集群
06/17 kubeadm安装k8s 1.30集群
06/16 VCSA-Cluster集群特性
06/13 Helm渲染顺序bug
06/12 VCSA-DVS创建与使用LACP
06/12 编译安装kubeadm—修改初始证书时长
06/11 Docker缓存污染报错
06/11 VCSA—DVS分布式虚拟交换机创建与迁移
06/06 VCSA的部署与基本使用
06/04 ESXI存储--使用NFS与ISCSI提供存储
06/04 Linux虚拟化调优
05/30 Linux网络调优
05/28 Linux文件系统调优
05/28 Python-fastapi框架
05/27 FIO工具与存储诊断思路
05/27 I/O调优--多队列IO调度器
05/27 磁盘RAID调优简介
05/26 Linux内存调优
05/21 CPU缓存介绍
05/20 CPU亲和性与平衡中断
05/19 Linux进程优先级
04/29 系统性能追踪工具perf/strace
04/29 系统性能追踪工具systemtap/eBPF
04/25 Tuned系统调优服务
04/25 资源限制ulimit/systemd-cgroupv1/v2
04/24 Linux内核参数与模块调整
04/23 内核监控dmesg/lstopo/lshw
04/22 将镜像仓库信息保存到Secret与反向解密
04/22 Jenkins从节点并发构建数改0消失故障
04/22 sysstat性能监控
04/17 iSCSI协议
04/17 Samba多用户挂载
04/15 Python自动化调整Jenkins从节点并发数
04/15 SMB文件共享协议--在linux上通过SMB实现共享
04/15 SMB文件共享协议--在windows上通过SMB实现共享
04/11 HAProxy代理后端服务器
04/10 Varnish缓存加速
04/10 制作适用于EVE-NG的操作系统镜像win与centos
04/09 Apache虚拟主机
04/08 k8s剩余资源计算脚本
04/08 Postfix搭建send-only邮件服务器
04/08 Postfix搭建内网环境邮件服务器
04/03 CUPS服务管理打印机
04/02 DHCPv4服务器搭建
04/01 BIND搭建主从DNS权威服务器
03/31 DNS排查
03/28 Unbound搭建DNS缓存服务器
03/28 Unbound假装自己是DNS权威服务器
03/25 Linux网卡绑定
03/24 使用RHEL System Roles管理网络
03/22 使用cronjob自动化巡检k8s告警
03/22 systemd Unit及其配置文件
03/11 通过Let's Encrypt生成免费SSL证书
03/07 ESXi 网络组件与功能介绍
03/07 CKS认证题目与解法（2025版）
03/07 CKA认证题目与解法（2024版）
02/28 Apache配置文件详解与性能调优
02/28 使用Apache搭建能够传输大文件的web文件服务器
02/28 高效使用Linux-执行命令的不同方式
02/26 高效使用Linux-父与子shell环境
02/26 git仓库使用cherry-pick进行单独代码合并
02/24 win10使用代理docker拉取外网镜像
02/24 高效使用Linux-文本处理
02/21 Python-pytest框架
02/21 高效使用Linux-文件系统目录
02/20 使用rclone进行对象存储迁移-R2→OSS
02/19 RHAAP红帽Ansible自动化平台
02/19 高效使用Linux-历史记录操作
02/19 基于ECS的网站访问速度与nginx优化
02/19 高效使用Linux-shell环境与运算
02/13 SSH跳板
02/13 高效使用Linux-管道与组合命令
02/13 Helm接管生产环境数据库
02/08 修改网络接口命名规则
02/06 使用kind快速部署多节点k8s
02/06 使用Minikube快速部署k8s
02/05 docker拉取gcr.io镜像
02/05 k8s证书延长有效期
01/17 Python-Django框架入门学习
01/16 Helm定义规范与模板全解析
01/15 Gitlab+Jenkins+argo+k8s CICD
01/14 博客从github page迁移到ECS
01/13 前端入门--JS
01/13 jenkins插件Generic Webhook Trigger
01/13 jenkins流水线与git凭证报错
01/03 前端入门--CSS选择器
01/03 前端入门--CSS样式

2024

12/30 前端入门--HTML基础标签
12/17 Helm父子chart的关系与实战
12/12 常用的对象存储连接方式
12/11 Shell脚本-添加Openvpn账号密码
12/10 Python-tk库—图形化管理httpd服务
12/09 Python-tk库—图形化管理tomcat服务
12/09 argoCD介绍，部署与对接代码仓库
12/08 CRD自定义API资源介绍与使用官方案例
12/08 无敌的镜像加速器地址
12/08 使用Mongodb-Kubernetes-Operator部署mongodb集群
12/05 OpenVPN原理与证书类型
12/05 Helm部署minIO-单点与分布式
12/04 Helm部署mysql8
12/04 Helm部署redis5与使用local-path-provisioner
12/01 镜像管理工具skopeo部署与实战
12/01 Python-tk库—图形化管理nginx服务
12/01 k3s两节点测试环境快速部署
12/01 ubuntu20.04桌面版快速部署单点k8s
11/19 Python基于多种方式检测linux服务运行状态(进程筛选、systemctl、API)
11/17 Python使用mysql-connector-python库实现CRUD
11/16 Python-kubernetes模块案例—根据不同ns更新pod副本数
11/16 Python-kubernetes模块—k8s集群资源管理方法
11/13 Python socket模块案例—简单网络编程
11/13 Python boto3模块—访问S3风格API
11/11 Python Flask框架—快速开发API
11/10 Python request模块常用方法
11/09 Python json模块案例—提取与交换json数据
11/09 Python yaml模块案例——提取与修改k8s配置文件
11/08 Python fabric模块案例—更方便使用ssh
11/07 Python paramiko模块案例—创建SSH、SFTP连接
11/07 Python logging模块案例—切割日志与告警发送
11/05 Python psutil模块案例—获取系统硬件状态
11/03 Python subprocess模块案例—执行系统命令与创建子进程
11/01 面对锁表，他的选择是……监控锁状态与查看死锁
11/01 面对锁表，他的选择是……查询锁源
11/01 面对主从延时，他的选择是……主从性能优化
10/31 Python案例——备份文件，清理过期日志，批量重命名文件
10/29 博客迁移小记——从github page迁移到cloudflare page
10/16 Kafka集群搭建
10/15 jenkins构建pipeline项目到k8s
10/13 K8s二进制安装
10/10 Jenkins构建pipeline项目到docker
10/08 Jenkins yum部署与k8s容器化部署
10/08 Jenkins主从架构
10/08 Jenkins构建maven项目
10/08 Jenkins构建自由风格项目——拉取gitlab代码、使用脚本上传代码
10/05 使用Dockerfile打包与发布一个tomcat博客
10/01 Git与Gitlab使用知识整理
09/26 Ansible项目
09/24 Redis集群主从关系优化
09/24 Redis ASK机制、cluster-node-timeout参数
09/24 Redis-Cluster集群模式
09/24 Redis-Cluster扩容与缩容
09/22 Redis主从复制
09/22 Redis哨兵模式
09/19 Redis事务
09/19 Redis部署与参数
09/19 Redis持久化
09/19 Redis数据类型与常用操作
09/18 zabbix自定义报警——mysql主从复制状态检查
09/17 Zabbix-Proxy
09/17 Zabbix自动注册
09/16 Zabbix自动发现
09/16 zabbix监控——JMX客户端
09/14 Zabbix企业微信报警
09/13 Zabbix邮件报警
09/12 Zabbix自定义监控
09/12 Zabbix自定义模板
09/12 Zabbix5.0安装与部署
09/10 Mycat与keepalived高可用
09/10 Mycat部署与读写分离
09/08 MySQL高可用之MHA
09/05 MySQL高可用之主从复制(已更新)
09/04 MySQL高可用之双主+keepalived
09/03 MySQL高可用方案介绍
09/03 MySQL元数据与information_schema
09/02 SQL语句详解
08/31 MySQL多实例
08/27 Shell实战
08/23 Tomcat综合案例
08/21 Tomcat基础知识
08/18 Nginx综合案例
08/15 lnmp搭建笔记
08/14 Nginx案例
08/13 logrotate服务
08/13 使用mailx发送到企业邮箱
08/11 Rsync数据备份工具
08/09 Linux系统Firewalld使用
07/26 Mysql备份
07/26 Mysql-Federate远程链接数据库
07/24 mysql安全审计之Mcafee Mysql-Audit
07/22 Mysql用户权限与密码管理、角色管理
07/22 Mysql-Linux环境部署
07/18 Mysql-InnoDB存储引擎、InnoDB事务
07/15 Shell零碎知识
06/28 Iptables使用
06/28 Linux环境初始化
06/28 Linux零碎常识
06/28 Linux常见报错记录
06/28 Nginx详解
06/23 虚拟化基础知识
06/18 Docker-compose部署lnmp
06/18 临时容器ephemeralcontainers
06/13 k8s可视化UI界面Kuboard
06/13 k8s部署MongoDB主从集群
06/12 k8s部署Redis高可用集群
06/04 Playbook实战案例
06/04 Rook部署ceph
06/02 EFK日志处理平台-2
06/01 k8s自动扩缩容HPA VPA KPA
06/01 Python代码封装至k8s中运行
06/01 将SpringCloud项目迁移至k8s
05/17 EFK日志处理平台
05/15 Linux单机监控
05/14 Docker管理
05/06 linux screen与tmux
05/06 DevOps工具链
05/06 Helm
05/06 Istio微服务网格
05/06 Prometheus普罗米修斯
05/06 k8s可视化UI界面Rancher
05/01 Gitlab
05/01 ceph对接k8s
05/01 Git代码管理工具
05/01 go代码封装到k8s中运行
05/01 VMware I2I迁移至PVE 小记
04/26 ESXi物理机安装踩坑汇总
04/26 Ansible笔记集合
04/23 根分区扩容小记
03/16 CEPH分布式存储
02/27 本地部署harbor私有镜像仓库
02/27 k8s基础知识
02/06 Python学习笔记
02/06 虚拟化系统PVE物理机快速安装指南
02/02 使用1panel搭建Hexo博客

2023