Cómo conectar mis maestros de Salt a SaltStack Config Cloud

Después de recibir acceso a la instancia de SaltStack Config Cloud, puede conectar los maestros de Salt a SaltStack Config Cloud. Puede conectar maestros de Salt que sean locales o que se encuentren en la nube.

Cada maestro de Salt debe tener autorización para conectarse a la instancia de SaltStack Config Cloud. Si desea autorizar al maestro de Salt, debe generar un token de API desde la página de su cuenta en VMware Cloud Services Platform (CSP). A continuación, exporte el token de API como una variable de entorno en el maestro de Salt y ejecute un comando para conectar el maestro de Salt a SaltStack Config Cloud.

Antes de comenzar

Debe tener un entorno de Salt existente, compuesto por un maestro de Salt y, al menos, un minion de Salt. Cada minion de Salt ya debe estar conectado a un maestro de Salt. Consulte Instalar o actualizar Salt (preinstalación) para obtener información sobre la instalación del maestro de Salt y los servicios de minion de Salt en los nodos.
Debe instalar la versión 8.10.1.2 o posterior del complemento principal en cada maestro de Salt.
Debe instalar las bibliotecas de PyJWT y Pika Python en el maestro de Salt mediante los siguientes comandos:
```
pip3 install pika==1.2.0
pip3 install pyjwt==2.3.0
```
Debe tener las siguientes funciones de CSP:
- Función de organización: Propietario de organización o Administrador de organización
- Función de servicio: Superusuario para el servicio de SaltStack Config en CSP
Establezca la organización predeterminada como la organización con acceso al servicio de SaltStack Config Cloud.

Generar un token de API

Antes de poder conectar el maestro de Salt a SaltStack Config Cloud, debe generar un token de API mediante la consola de CSP. Este token se utiliza para autenticar el maestro de Salt con CSP.

Para generar un token de API:

En la barra de herramientas de la consola de Cloud Services, haga clic en el nombre de usuario y seleccione Mi cuenta > Tokens de API.
Haga clic en Generar token.

Complete el formulario.

Generar formulario de token en CSP

Introduzca un nombre para el token.
Seleccione el tiempo de vida (TTL) del token. La duración predeterminada es de seis meses.
Nota: Un token que no caduca puede representar un riesgo de seguridad si se encuentra comprometido. Si esto sucede, debe revocar el token.

Defina los ámbitos del token.


Ámbito	Descripción
Funciones de organización	Las funciones de organización determinan el acceso de un usuario a los recursos de la organización. Para acceder al servicio de SaltStack Config Cloud, debe seleccionar las funciones de Administrador de organización o Propietario de organización.
Funciones de servicio	Las funciones de servicio son conjuntos de permisos integrados y predefinidos que conceden acceso a VMware Cloud services. Para acceder al servicio de SaltStack Config Cloud, busque el servicio de SaltStack Config y seleccione la función de servicio Maestro de Salt.

(Opcional) Establezca un correo electrónico de preferencia para recibir un recordatorio cuando el token esté a punto de caducar.
Haga clic en Generar.
El token de API recién generado aparece en la ventana Token generado.

Guarde las credenciales del token en una ubicación segura.
Después de generar el token, solo podrá ver su nombre en la página Tokens de API y no las credenciales. Para volver a generar el token, haga clic en Regenerar.
Haga clic en Continuar.

Conectar el maestro de Salt a SaltStack Config Cloud

Después de generar un token de API, puede utilizarlo para conectar el maestro de Salt a SaltStack Config Cloud.

Para conectar el maestro de Salt:

Inicie sesión en el maestro de Salt y compruebe que exista el archivo /etc/salt/master.d/raas.conf.
Si no existe, debe instalar y configurar el complemento principal.
En el terminal del maestro de Salt, guarde el token de API como una variable de entorno.
```
export CSP_API_TOKEN=<api token value>
```
Si el maestro de Salt ejecuta la versión 8.9.0 o una versión anterior del complemento principal, debe volver a registrar el maestro de Salt en SaltStack Config Cloud. Para obtener más información, consulte Cómo conectar mis maestros de Salt a SaltStack Config Cloud.

Si el maestro de Salt ejecuta la versión 8.9.1 o una versión posterior del complemento principal, ejecute el siguiente comando para conectar el maestro de Salt a SaltStack Config Cloud, y reemplace los valores ssc-url y csp-url por las URL específicas de la región.

sseapi-config join --ssc-url <SSC URL> --csp-url <CSP URL>


Nombre de la región	URL de SSC	URL de CSP
Estados Unidos	https://ssc-gateway.mgmt.cloud.vmware.com	https://console.cloud.vmware.com
Alemania	https://de.ssc-gateway.mgmt.cloud.vmware.com	https://console.cloud.vmware.com
India	https://in.ssc-gateway.mgmt.cloud.vmware.com	https://console.cloud.vmware.com

En el siguiente ejemplo de código, se muestra un ejemplo de una respuesta exitosa en la región de Estados Unidos.

2022-08-16 21:28:26 [INFO] SSEAPE joining SSC Cloud... v8.9.1.1 2022-08-16T15:28:12
2022-08-16 21:28:26 [INFO] Retrieving CSP auth token.
2022-08-16 21:28:27 [INFO] Creating new oauth app.
2022-08-16 21:28:27 [INFO] Finished with oauth app [Salt Master App for master id:my-salt-master] in org [6bh70973-b1g2-716c-6i21-i9974a6gdc85].
2022-08-16 21:28:29 [INFO] Added service role [saltstack:master] for oauth app [Salt Master App for master id:my-salt-master].
2022-08-16 21:28:29 [INFO] Created pillar [CSP_AUTH_TOKEN].
2022-08-16 21:28:29 [INFO] Updated master config. Please restart master for config changes to take effect.
2022-08-16 21:28:29 [INFO] Updated master cloud.conf.
2022-08-16 21:28:29 [INFO] Validating connectivity to SaltStack Cloud instance [https://ssc-gateway.mgmt.cloud.vmware.com]
2022-08-16 21:28:29 [INFO] Successfully validated connectivity to SaltStack Cloud instance [https://ssc-gateway.mgmt.cloud.vmware.com]. Response: {'version': 'v8.9.0.5', 'vipVersion': '8.9.0'}
2022-08-16 21:28:29 [INFO] Finished SSEAPE joining SSC Cloud... v8.9.1.1 2022-08-16T15:28:12

Reinicie el servicio maestro de Salt.
```
systemctl restart salt-master
```
Repita este proceso para cada maestro de Salt.

Nota: Luego de conectar cada maestro de Salt a SaltStack Config Cloud, puede eliminar el token de API. Solo es necesario para conectar el maestro de Salt a SaltStack Config Cloud.

Después de ejecutar el comando sseapi-config, se crea una aplicación de OAuth en la organización de CSP para cada maestro de Salt. Los maestros de Salt utilizan la aplicación de OAuth para obtener un token de acceso de CSP que se anexa a cada solicitud realizada a SaltStack Config Cloud. Para ver los detalles de la aplicación de OAuth, seleccione Organización > Aplicaciones de OAuth.

El comando también crea datos del pilar denominados CSP_AUTH_TOKEN en el maestro de Salt. Los pilares son estructuras de datos almacenadas en el maestro de Salt y que se transmiten a uno o varios minions que tienen autorización para acceder a esos datos. Los datos del pilar se almacenan en /srv/pillar/csp.sls y contienen el identificador de cliente, el secreto, el identificador de organización y la URL de CSP.

Ejemplo de datos del pilar:

CSP_AUTH_TOKEN:
   csp_client_id: kH8wIvNxMJEGGmk7uCx4MBfPswEw7PpLaDh
   csp_client_secret: ebH9iuXnZqUOkuWKwfHXPjyYc5Umpa00mI9Wx3dpEMlrUWNy95
   csp_org_id: 6bh70973-b1g2-716c-6i21-i9974a6gdc85
   csp_url: https://console.cloud.vmware.com

Si necesita rotar el secreto, puede volver a ejecutar el comando sseapi-config join.

Para obtener más información al respecto, consulte Cómo crear archivos de estado y datos del pilar.

Aceptar la clave de maestro de Salt

Durante el inicio del maestro de Salt (a menos que se utilice la autenticación con contraseña), se generará un archivo de clave pública. El maestro comenzará a ejecutarse, pero se producirá un error en la comunicación con SaltStack Config Cloud hasta que se acepte la clave.

Para aceptar la clave de maestro de Salt:

Inicie sesión en la interfaz de usuario de SaltStack Config.
En la barra de navegación superior izquierda, haga clic en Menú y seleccione Administración para acceder al área de trabajo Administración. Haga clic en la pestaña Claves maestras.
En el menú lateral, haga clic en Pendientes para ver una lista de todas las claves de maestro pendientes.
Si no ve la clave de maestro, consulte Solución de problemas de SaltStack Config Cloud.
Seleccione la casilla situada junto a la clave de maestro para seleccionarla. A continuación, haga clic en Aceptar clave.
Después de aceptar la clave de maestro, aparece una alerta que indica que tiene claves pendientes para aceptar. Para aceptar estas claves de minion, vaya a Claves de minion > Pendientes.
Marque las casillas junto a sus minions para seleccionarlas. A continuación, haga clic en Aceptar clave.
Haga clic en Aceptar en el cuadro de diálogo de confirmación.

La clave se aceptó. Después de varios segundos, el minion aparece en la pestaña Aceptados en el área de trabajo Destinos.

Puede comprobar que el maestro y los minions de Salt se están comunicando. Para ello, ejecute un comando test.ping en la interfaz de usuario de SaltStack Config. Consulte Ejecución de un trabajo ad-hoc desde el área de trabajo Destinos para obtener más información.

Próximos pasos

Después de ejecutar correctamente un comando test.ping, puede empezar a utilizar SaltStack Config Cloud para aprovisionar, configurar e implementar software en las máquinas virtuales a cualquier escala mediante la automatización basada en eventos.

También puede integrar SaltStack Config Cloud con Cloud Assembly para implementar minions de Salt y archivos de estado mediante plantillas de nube.

En la siguiente tabla, se enumeran algunos recursos útiles para obtener más información.


Para obtener más información sobre cómo...	Consulte
Administrar el acceso de los usuarios para SaltStack Config Cloud	Cómo administrar usuarios en mi organización Cómo administrar funciones y permisos
Integrar SaltStack Config Cloud con Cloud Assembly	Crear una integración de SaltStack Config en vRealize Automation Cloud
Funciones clave de SaltStack Config	Introducción a SaltStack Config