关于saltstack的文档似乎不清楚salt-master需要哪些端口 - >盐奴才(显然没有必要)。 它表明只需要从盐区打开端口 - >盐主。 (见:http://docs.saltstack.com/en/latest/topics/tutorials/firewall.html)
然而,如果命令是在针对小兵的salt-master上远程执行的,那么主人必须能够将其推入小兵中,因此需要网络打开才能允许这样做。
因此我的问题是,是否需要在两个方向上打开saltstack端口(4505和4506),或者是否通过其他协议触发了远程命令?
[有点背景:我的团队希望盐堆设置在相当严格的网络中管理服务器环境,其中需要在安全概念中请求每个单独的网络路由。这不受我们公司控制,我需要明确要求所有必需的路线和每个方向。]
答案 0 :(得分:4)
Salt使用zeromq pub / sub接口与minions进行通信。实际上,您只需要在主防火墙上打开端口4505和4506。
仆从在主人的一个端口上听,这是" pub" port,然后将结果返回给另一个端口上的master。
主人从来没有真正地推动"对仆从的命令。小兵听取发布在pub端口上的命令。这就是为什么你不需要打开你的小兵的任何传入端口。