Bevor Sie beginnen

• Sie müssen über eine vorhandene Salt-Umgebung verfügen, die aus einem Salt-Master und mindestens einem Salt-Minion besteht. Jeder Salt-Minion muss bereits mit einem Salt-Master verbunden sein. Informationen zum Installieren oder Aktualisieren der Salt-Master- und Salt-Minion-Dienste auf Ihren Knoten finden Sie unter Installieren oder Aktualisieren von Salt (vor der Installation).
• Sie müssen Version 8.10.1.2 oder höher des Master-Plug-Ins auf jedem Salt-Master installieren.
• Sie müssen die PyJWT- und Pika Python-Bibliotheken auf Ihrem Salt-Master mit den folgenden Befehlen installieren:

  pip3 install pika==1.2.0
  pip3 install pyjwt==2.3.0

• Sie müssen über die folgenden CSP-Rollen verfügen:
  • Organisationsrolle: Organisationsbesitzer oder Organisationsadministrator
  • Dienstrolle: Superuser für den SaltStack Config-Dienst in CSP
• Stellen Sie als Standardorganisation die Organisation mit Zugriff auf den SaltStack Config-Cloud-Dienst ein.

Generieren eines API-Tokens

Bevor Sie Ihren Salt-Master mit SaltStack Config-Cloud verbinden können, müssen Sie ein API-Token mithilfe der CSP-Konsole generieren. Dieses Token wird zum Authentifizieren Ihres Salt-Masters mit CSP verwendet.

So generieren Sie ein API-Token:

1. Klicken Sie auf der Symbolleiste der Cloud Services-Konsole auf Ihren Benutzernamen und wählen Sie Mein Konto > API-Token aus.
2. Klicken Sie auf Token generieren.

   

3. Füllen Sie das Formular aus.

   

   1. Geben Sie einen Namen für das Token ein.
   2. Wählen Sie die Time to Live (TTL) des Tokens aus. Die Standarddauer beträgt sechs Monate.
      Hinweis: Ein nicht ablaufendes Token kann ein Sicherheitsrisiko darstellen, wenn es manipuliert wird. Ist dies der Fall, müssen Sie das Token widerrufen.
   3. Definieren Sie Geltungsbereiche für das Token.

      Geltungsbereich	Beschreibung
      Organisationsrollen	Organisationsrollen bestimmen den Zugriff eines Benutzers auf die Ressourcen der Organisation. Um auf den SaltStack Config-Cloud-Dienst zugreifen zu können, müssen Sie die Rolle Organisationsadministrator oder Organisationsbesitzer auswählen.
      Dienstrollen	Dienstrollen sind integrierte, vordefinierte Berechtigungssätze, die Zugriff auf VMware Cloud Services gewähren. Um auf den SaltStack Config-Cloud-Dienst zuzugreifen, suchen Sie den SaltStack Config-Dienst und wählen Sie die Salt Master-Dienstrolle aus.

   4. (Optional) Legen Sie eine E-Mail-Einstellung fest, um eine Erinnerung zu erhalten, wenn Ihr Token in Kürze abläuft.
   5. Klicken Sie auf Generieren.

      Das neu generierte API-Token wird im Fenster Generiertes Token angezeigt.

4. Speichern Sie die Token-Anmeldedaten an einem sicheren Ort.

   Nachdem Sie das Token generiert haben, können Sie nur den Namen des Tokens auf der Seite API-Token sehen, aber nicht die Anmeldedaten. Um das Token erneut zu generieren, klicken Sie auf Neu generieren.

5. Klicken Sie auf Weiter.

Verbinden Ihres Salt-Masters mit SaltStack Config-Cloud

Nachdem Sie ein API-Token generiert haben, können Sie es verwenden, um Ihren Salt-Master mit SaltStack Config-Cloud zu verbinden.

So verbinden Sie Ihren Salt-Master:

1. Melden Sie sich bei Ihrem Salt-Master an und stellen Sie sicher, dass die /etc/salt/master.d/raas.conf-Datei vorhanden ist.

   Wenn sie nicht vorhanden ist, müssen Sie das Master-Plug-In installieren und konfigurieren.

2. Speichern Sie im Salt-Master-Terminal Ihr API-Token als Umgebungsvariable.

   export CSP_API_TOKEN=<api token value>

3. Wenn auf Ihrem Salt-Master Version 8.9.0 oder früher des Master-Plug-Ins ausgeführt wird, müssen Sie Ihren Salt-Master erneut bei SaltStack Config Cloud registrieren. Weitere Informationen finden Sie unter Vorgehensweise zum erneuten Verbinden von Salt-Mastern mit SaltStack Config Cloud.
4. Wenn auf Ihrem Salt-Master Version 8.9.1 oder höher des Master-Plug-Ins ausgeführt wird, führen Sie den folgenden Befehl aus, um Ihren Salt-Master mit SaltStack Config Cloud zu verbinden. Ersetzen Sie dabei die Werte ssc-url und csp-url durch Ihre regionsspezifischen URLs.

   sseapi-config join --ssc-url <SSC URL> --csp-url <CSP URL>

   Name der Region	SSC-URL	CSP-URL
   US (USA)	https://ssc-gateway.mgmt.cloud.vmware.com	https://console.cloud.vmware.com
   DE (Deutschland)	https://de.ssc-gateway.mgmt.cloud.vmware.com	https://console.cloud.vmware.com
   IN (Indien)	https://in.ssc-gateway.mgmt.cloud.vmware.com	https://console.cloud.vmware.com

   Das folgende Codebeispiel veranschaulicht eine erfolgreiche Antwort in der Region „US“ (USA).

   2022-08-16 21:28:26 [INFO] SSEAPE joining SSC Cloud... v8.9.1.1 2022-08-16T15:28:12
   2022-08-16 21:28:26 [INFO] Retrieving CSP auth token.
   2022-08-16 21:28:27 [INFO] Creating new oauth app.
   2022-08-16 21:28:27 [INFO] Finished with oauth app [Salt Master App for master id:my-salt-master] in org [6bh70973-b1g2-716c-6i21-i9974a6gdc85].
   2022-08-16 21:28:29 [INFO] Added service role [saltstack:master] for oauth app [Salt Master App for master id:my-salt-master].
   2022-08-16 21:28:29 [INFO] Created pillar [CSP_AUTH_TOKEN].
   2022-08-16 21:28:29 [INFO] Updated master config. Please restart master for config changes to take effect.
   2022-08-16 21:28:29 [INFO] Updated master cloud.conf.
   2022-08-16 21:28:29 [INFO] Validating connectivity to SaltStack Cloud instance [https://ssc-gateway.mgmt.cloud.vmware.com]
   2022-08-16 21:28:29 [INFO] Successfully validated connectivity to SaltStack Cloud instance [https://ssc-gateway.mgmt.cloud.vmware.com]. Response: {'version': 'v8.9.0.5', 'vipVersion': '8.9.0'}
   2022-08-16 21:28:29 [INFO] Finished SSEAPE joining SSC Cloud... v8.9.1.1 2022-08-16T15:28:12
   

5. Starten Sie den Salt-Master-Dienst neu.

   systemctl restart salt-master

6. Wiederholen Sie diesen Vorgang für jeden Salt-Master.

Nachdem Sie den Befehl sseapi-config ausgeführt haben, wird für jeden Salt-Master eine OAuth-App in Ihrer CSP-Organisation erstellt. Salt-Master verwenden die OAuth-App, um ein CSP-Zugriffstoken zu erhalten, das an jede Anforderung an SaltStack Config-Cloud angehängt wird. Sie können die Details der OAuth-App anzeigen, indem Sie Organisation > OAuth-Apps auswählen.

Mit dem Befehl werden auch Pfeilerdaten erstellt, die auf dem Salt-Master als CSP_AUTH_TOKEN bezeichnet werden. Pfeiler sind Strukturen von Daten, die auf dem Salt-Master gespeichert und an ein oder mehrere Minions weitergegeben werden, die für den Zugriff auf diese Daten berechtigt sind. Die Pfeilerdaten werden in /srv/pillar/csp.sls gespeichert und enthalten die Client-ID, den geheimen Schlüssel, Ihre Organisations-ID und die CSP-URL.

CSP_AUTH_TOKEN:
   csp_client_id: kH8wIvNxMJEGGmk7uCx4MBfPswEw7PpLaDh
   csp_client_secret: ebH9iuXnZqUOkuWKwfHXPjyYc5Umpa00mI9Wx3dpEMlrUWNy95
   csp_org_id: 6bh70973-b1g2-716c-6i21-i9974a6gdc85
   csp_url: https://console.cloud.vmware.com

Wenn Sie Ihren geheimen Schlüssel rotieren müssen, können Sie den Befehl sseapi-config join erneut ausführen.

Weitere Informationen zu Pfeilerdaten finden Sie unter Vorgehensweise zum Erstellen von Statusdateien und Pfeilerdaten.

Akzeptieren des Salt-Master-Schlüssels

Während des Starts des Salt-Masters (sofern keine Kennwortauthentifizierung verwendet wird) wird eine Datei mit einem öffentlichen Schlüssel generiert. Der Master wird gestartet, aber die Kommunikation mit SaltStack Config-Cloud schlägt fehl, bis der Schlüssel akzeptiert wird.

So akzeptieren Sie den Salt-Master-Schlüssel:

1. Melden Sie sich bei der SaltStack Config-Benutzeroberfläche an.
2. Klicken Sie in der oberen linken Navigationsleiste auf das Menü und wählen Sie dann Administration aus, um auf die Arbeitsumgebung „Administration“ zuzugreifen. Klicken Sie auf die Registerkarte Master-Schlüssel.
3. Klicken Sie im Seitenmenü auf Ausstehend, um eine Liste aller ausstehenden Master-Schlüssel aufzurufen.

   Wenn der Masterschlüssel nicht angezeigt wird, finden Sie weitere Informationen unter Fehlerbehandlung von SaltStack Config Cloud.

4. Aktivieren Sie das Kontrollkästchen neben dem Master-Schlüssel, um ihn auszuwählen. Klicken Sie dann auf Schlüssel akzeptieren.
5. Nachdem Sie den Master-Schlüssel akzeptiert haben, wird eine Warnung eingeblendet, in der Sie darüber informiert werden, dass Sie über ausstehende Schlüssel verfügen, die Sie akzeptieren müssen. Um diese Minion-Schlüssel zu akzeptieren, wechseln Sie zu Minion-Schlüssel > Ausstehend.
6. Aktivieren Sie die Kontrollkästchen neben Ihren Minions, um sie auszuwählen. Klicken Sie dann auf Schlüssel akzeptieren.
7. Klicken Sie im Bestätigungsdialogfeld auf Akzeptieren.

Der Schlüssel ist jetzt akzeptiert. Nach einigen Sekunden wird der Minion auf der Registerkarte Akzeptiert und im Arbeitsbereich Ziele angezeigt.

Sie können sicherstellen, dass Ihr Salt-Master und Ihre Salt-Minions kommunizieren, indem Sie einen test.ping-Befehl in der SaltStack Config-Benutzeroberfläche ausführen. Weitere Informationen finden Sie unter Ausführen eines Ad-hoc-Auftrags über den Arbeitsbereich „Ziele“.

Nächste Schritte

Nachdem Sie einen erfolgreichen test.ping-Befehl ausgeführt haben, können Sie mithilfe von SaltStack Config Cloud unter Verwendung von ereignisgesteuerter Automatisierung Software für Ihre virtuellen Maschinen in beliebiger Skalierung provisionieren, konfigurieren und bereitstellen.

Sie können auch SaltStack Config Cloud mit Cloud Assembly integrieren, um Salt-Minions und Statusdateien mithilfe von Cloud-Vorlagen bereitzustellen.

Die folgende Tabelle enthält einige hilfreiche Ressourcen mit weiteren Informationen.