防火墙需要哪些开放端口才能允许 salt-stack 远程执行?
What open ports are required on firewall to allow for salt-stack remote execution?
关于 saltstack 的文档似乎不清楚 salt-master -> salt-minion 需要哪些端口(显然 none 是必需的)。
它表明端口只需要从 salt-minion -> salt-master 打开。
(参见:http://docs.saltstack.com/en/latest/topics/tutorials/firewall.html)
但是,如果命令是在针对 minion 的 salt-master 上远程执行的,那么 master 肯定需要能够将其推送到 minion 中,因此需要开放网络才能执行此操作。
因此我的问题是是否需要双向打开 saltstack 端口(4505 和 4506),或者是否通过其他协议触发远程命令?
[一些背景知识:我的团队希望 salt-stack 设置能够在相当受限的网络中管理服务器环境,在安全概念中需要请求每个单独的网络路由。这不受我们公司控制,我需要明确请求所有必需的路线和每个方向。]
Salt 使用 zeromq pub/sub 接口与 minions 进行通信。确实,你只需要在master的防火墙上开放4505和4506端口即可。
minions 监听 master 的一个端口,也就是 "pub" 端口,然后 return 结果到另一个端口上的 master。
主人从不真正"pushes"向仆从发号施令。 minions 监听在 pub 端口上发布的命令。这就是为什么您不需要在 minions 上打开任何传入端口的原因。
关于 saltstack 的文档似乎不清楚 salt-master -> salt-minion 需要哪些端口(显然 none 是必需的)。 它表明端口只需要从 salt-minion -> salt-master 打开。 (参见:http://docs.saltstack.com/en/latest/topics/tutorials/firewall.html)
但是,如果命令是在针对 minion 的 salt-master 上远程执行的,那么 master 肯定需要能够将其推送到 minion 中,因此需要开放网络才能执行此操作。
因此我的问题是是否需要双向打开 saltstack 端口(4505 和 4506),或者是否通过其他协议触发远程命令?
[一些背景知识:我的团队希望 salt-stack 设置能够在相当受限的网络中管理服务器环境,在安全概念中需要请求每个单独的网络路由。这不受我们公司控制,我需要明确请求所有必需的路线和每个方向。]
Salt 使用 zeromq pub/sub 接口与 minions 进行通信。确实,你只需要在master的防火墙上开放4505和4506端口即可。
minions 监听 master 的一个端口,也就是 "pub" 端口,然后 return 结果到另一个端口上的 master。
主人从不真正"pushes"向仆从发号施令。 minions 监听在 pub 端口上发布的命令。这就是为什么您不需要在 minions 上打开任何传入端口的原因。