Pour configurer et vérifier votre instance de Automation Config, installez Salt et le plug-in master sur votre master Salt, générez un jeton d'API dans la console Cloud Services, puis connectez votre master Salt à Automation Config. Vous pouvez connecter des masters Salt sur site ou dans le cloud.
Conditions préalables
- Vérifiez que vous disposez des rôles suivants dans VMware Cloud Services :
- Rôle d'organisation : propriétaire de l'organisation ou administrateur de l'organisation
- Rôle de service : master Salt
- Définissez votre organisation par défaut sur l'organisation disposant d'un accès au service Automation Config.
Présentation de la configuration
La configuration de Automation Config inclut les tâches suivantes.
- Installez Salt sur votre master Salt et les nœuds que vous prévoyez de gérer à l'aide de Automation Config. Consultez Étape 1 : installer Salt pour plus d'informations.
- Installez ou mettez à niveau le plug-in master sur les masters Salt qui doivent communiquer avec Automation Config. Consultez Étape 2 : installer et configurer le plug-in master pour plus d'informations.
- Générez un jeton d'API pour permettre à vos masters Salt de se connecter à Automation Config. Consultez Étape 3 : générer un jeton d'API pour plus d'informations.
- Connectez vos masters Salt à Automation Config. Consultez Étape 4 : connectez vos masters Salt à Automation Config pour plus d'informations.
- Acceptez les clés du master Salt dans l'interface utilisateur de Automation Config. Consultez Étape 5 : accepter les clés du master Salt pour plus d'informations.
Étape 1 : installer Salt
Vous devez installer le service de master Salt et le service de minion Salt sur votre master Salt avant de pouvoir utiliser Automation Config.
Les instructions suivantes installent la dernière version de Salt sur RHEL 8. Pour plus d'informations sur l'installation de Salt sur d'autres systèmes d'exploitation, reportez-vous au Guide d'installation de Salt.
- Si vous installez Salt dans un environnement hors ligne ou sécurisé, vous devez configurer un proxy réseau permettant d'accéder aux URL suivantes nécessaires à l'installation de Salt.
- https://repo.saltproject.io
- https://pypi.org
- https://python.org
- Dans le terminal du master Salt, exécutez les commandes suivantes pour installer le référentiel et la clé du projet Salt :
sudo rpm --import https://repo.saltproject.io/py3/redhat/8/x86_64/latest/SALTSTACK-GPG-KEY.pub curl -fsSL https://repo.saltproject.io/salt/py3/redhat/8/x86_64/latest.repo | sudo tee /etc/yum.repos.d/salt.repo
- Exécutez
sudo yum clean expire-cache
. - Installez le service salt-minion et le service salt-master sur votre master Salt :
sudo yum install salt-master sudo yum install salt-minion
- Créez un fichier
master.conf
dans le répertoire/etc/salt/minion.d
.touch master.conf
- Dans ce fichier
master.conf
, définissez l'adresse IP du master Salt pour qu'elle pointe vers elle-même :master: localhost
- Démarrez le service de master Salt et le service de minion Salt :
sudo systemctl enable salt-master && sudo systemctl start salt-master sudo systemctl enable salt-minion && sudo systemctl start salt-minion
- Si vous utilisez un proxy réseau, définissez les variables
HTTP_PROXY
etHTTPS_PROXY
en conséquence pour vos paramètres réseau.- Si vous utilisez
systemd
pour gérer votre service master Salt, ajoutez les variables d'environnementHTTP_PROXY
etHTTPS_PROXY
à votre fichiersalt-master.service
. - Exécutez
systemctl daemon-reload
. - Exécutez la commande
systemctl restart salt-master
pour redémarrer le service master Salt.
- Si vous utilisez
Étape 2 : installer et configurer le plug-in master
Après avoir installé Salt sur votre infrastructure, vous devez installer et configurer le plug-in master, ce qui permet à vos masters Salt de communiquer avec Automation Config.
Si vous disposez déjà d'un master Salt, mettez à niveau le plug-in master vers la dernière version disponible avant de connecter votre master Salt à Automation Config. Pour plus d'informations, reportez-vous à la section Utilisation des plug-ins master.
Pour installer et configurer le plug-in master :
- Connectez-vous à votre master Salt.
- Téléchargez la dernière version du plug-in master de l'espace de travail Plug-ins master. La version du plug-in master se compose généralement de quatre nombres, tels que 8.12.1.2.
Important :
La version du plug-in master doit correspondre aux trois premiers chiffres de la version de Automation Config. Par exemple, si la version de Automation Config est la version 8.12.1, la version du plug-in master doit être la version 8.12.1.0 ou une version ultérieure. Vous trouverez la version d'Automation Config dans l'espace de travail Plug-ins.
- Installez le plug-in master en installant manuellement le fichier wheel Python. Utilisez l'exemple de commande, en remplaçant le nom exact du fichier wheel :
salt-call --local pip.install /path/to/SSEAPE-file-name.whl
Pour les environnements non isolés, les dépendances sont installées automatiquement si elles ne sont pas déjà présentes lorsque vous exécutez cette commande. Pour les environnements isolés, reportez-vous à l'article Installer le plug-in master Salt sur des systèmes isolés de la base de connaissances.
- Générez les paramètres de configuration du master.
- Vérifiez que le répertoire
/etc/salt/master.d
existe ou créez-le. - Exécutez la commande suivante pour générer le fichier de configuration maître.
sudo sseapi-config --all > /etc/salt/master.d/raas.conf
Si l'exécution de cette commande provoque une erreur, reportez-vous à la section Dépannage de Automation Config.
- Vérifiez que le répertoire
- Redémarrez le service du master Salt.
sudo systemctl restart salt-master
Étape 3 : générer un jeton d'API
Avant de pouvoir connecter votre master Salt à Automation Config, vous devez générer un jeton d'API à l'aide de la console Cloud Services. Ce jeton est utilisé pour authentifier votre master Salt dans VMware Cloud Services.
Si vous ne disposez pas du rôle Administrateur d'organisation, contactez le propriétaire de l'organisation.
Pour générer un jeton d'API :
- Dans la console Cloud Services, cliquez sur votre nom d'utilisateur et sélectionnez .
- Cliquez sur Générer le jeton.
- Remplissez le formulaire.
- Entrez un nom pour le jeton.
- Sélectionnez la durée de vie du jeton. La durée par défaut est de six mois.
Note : Un jeton sans date d'expiration peut être un risque de sécurité s'il est compromis. Si cela se produit, vous devez révoquer le jeton.
- Définissez les étendues du jeton.
Portée Description Rôles d'organisation Les rôles d'organisation déterminent l'accès d'un utilisateur aux ressources de l'organisation. Pour accéder au service Automation Config, vous devez sélectionner le rôle Administrateur d'organisation ou Propriétaire d'organisation.
Rôles de service Les rôles de service sont des ensembles prédéfinis et intégrés qui accordent l'accès à VMware Cloud Services. Pour accéder au service Automation Config, recherchez le service VMware Aria Automation.
Cliquez sur la flèche déroulante en regard du service Configuration, puis sélectionnez le rôle de service Master Salt.
- (Facultatif) Définissez une préférence d'e-mail pour recevoir un rappel lorsque votre jeton est sur le point d'expirer.
- Cliquez sur Générer.
Le jeton d'API récemment généré s'affiche dans la fenêtre Jeton généré.
- Enregistrez les informations d'identification du jeton dans un emplacement sécurisé.
Après avoir généré le jeton, vous pourrez uniquement voir le nom du jeton sur la page Jetons de l'API, pas les informations d'identification. Pour régénérer le jeton, cliquez sur Régénérer.
Étape 4 : connectez vos masters Salt à Automation Config
Après avoir généré un jeton d'API, vous pouvez l'utiliser pour connecter votre master Salt à Automation Config.
Pour connecter votre master Salt :
- Dans le terminal du master Salt, enregistrez votre jeton d'API en tant que variable d'environnement.
export CSP_API_TOKEN=<api token value>
- Exécutez la commande
sseapi-config join
pour connecter votre master Salt à Automation Config.- Si vous connectez votre master Salt à Automation Config pour la première fois, exécutez la commande suivante, en remplaçant les valeurs
ssc-url
etcsp-url
par des URL spécifiques à votre région.sseapi-config join --ssc-url <SSC URL> --csp-url <CSP URL>
- Si vous utilisez
sudo
, exécutez la commande suivante :sudo CSP_API_TOKEN=<api token value> sseapi-config join --ssc-url <SSC URL> --csp-url <CSP URL>
- Si vous devez réexécuter le processus de connexion, exécutez à nouveau la commande
sseapi-config join
et transmettez l'indicateur--override-oauth-app
.sseapi-config join --ssc-url <SSC URL> --csp-url <CSP URL> --override-oauth-app
L'indicateur
--override-oauth-app
supprime l'application OAuth utilisée pour obtenir un jeton d'accès et la recrée.
Tableau 1. URL régionales pour Automation Config Région URL de Automation Config URL de Cloud Services US (États-Unis) https://ssc-gateway.mgmt.cloud.vmware.com https://console.cloud.vmware.com Allemagne https://de.ssc-gateway.mgmt.cloud.vmware.com https://console.cloud.vmware.com Inde https://in.ssc-gateway.mgmt.cloud.vmware.com https://console.cloud.vmware.com Canada https://ca.ssc-gateway.mgmt.cloud.vmware.com https://console.cloud.vmware.com Australie https://au.ssc-gateway.mgmt.cloud.vmware.com https://console.cloud.vmware.com UK https://uk.ssc-mgmt.cloud.vmware.com https://console.cloud.vmware.com L'exemple de code suivant montre un exemple de réponse réussie dans la région US.2022-08-16 21:28:26 [INFO] SSEAPE joining SSC Cloud... v8.9.1.1 2022-08-16T15:28:12 2022-08-16 21:28:26 [INFO] Retrieving CSP auth token. 2022-08-16 21:28:27 [INFO] Creating new oauth app. 2022-08-16 21:28:27 [INFO] Finished with oauth app [Salt Master App for master id:my-salt-master] in org [6bh70973-b1g2-716c-6i21-i9974a6gdc85]. 2022-08-16 21:28:29 [INFO] Added service role [saltstack:master] for oauth app [Salt Master App for master id:my-salt-master]. 2022-08-16 21:28:29 [INFO] Created pillar [CSP_AUTH_TOKEN]. 2022-08-16 21:28:29 [INFO] Updated master config. Please restart master for config changes to take effect. 2022-08-16 21:28:29 [INFO] Updated master cloud.conf. 2022-08-16 21:28:29 [INFO] Validating connectivity to SaltStack Cloud instance [https://ssc-gateway.mgmt.cloud.vmware.com] 2022-08-16 21:28:29 [INFO] Successfully validated connectivity to SaltStack Cloud instance [https://ssc-gateway.mgmt.cloud.vmware.com]. Response: {'version': 'v8.9.0.5', 'vipVersion': '8.9.0'} 2022-08-16 21:28:29 [INFO] Finished SSEAPE joining SSC Cloud... v8.9.1.1 2022-08-16T15:28:12
Si l'exécution de cette commande provoque une erreur, reportez-vous à la section Dépannage de Automation Config.
- Si vous connectez votre master Salt à Automation Config pour la première fois, exécutez la commande suivante, en remplaçant les valeurs
- Redémarrez le service du master Salt.
systemctl restart salt-master
- Répétez ce processus pour chaque master Salt.
Note : Après avoir connecté chaque master Salt à Automation Config, vous pouvez supprimer le jeton d'API. Cela est requis uniquement pour connecter votre master Salt à Automation Config.
Après avoir exécuté la commande sseapi-config
, une application OAuth est créée dans votre organisation pour chaque master Salt. Les masters Salt utilisent l'application OAuth pour obtenir un jeton d'accès qui est ajouté à chaque demande à Automation Config. Vous pouvez afficher les détails de l'application OAuth en sélectionnant .
La commande crée également des données de Pillar appelées CSP_AUTH_TOKEN
sur le master Salt. Les Pillars sont des structures de données stockées sur le master Salt et transmises à un ou plusieurs minions autorisés à accéder à ces données. Les données de Pillar sont stockées dans /srv/pillar/csp.sls
et contiennent l'ID client, le secret, votre ID d'organisation et l'URL CSP. Si vous devez changer votre secret, vous pouvez exécuter à nouveau la commande sseapi-config join
.
Exemple de données de Pillar :
CSP_AUTH_TOKEN: csp_client_id: kH8wIvNxMJEGGmk7uCx4MBfPswEw7PpLaDh csp_client_secret: ebH9iuXnZqUOkuWKwfHXPjyYc5Umpa00mI9Wx3dpEMlrUWNy95 csp_org_id: 6bh70973-b1g2-716c-6i21-i9974a6gdc85 csp_url: https://console.cloud.vmware.com
Étape 5 : accepter les clés du master Salt
Après avoir connecté votre master Salt à Automation Config, vous devez accepter la clé du master Salt dans l'interface utilisateur de Automation Config.
Vous devez disposer du rôle Superutilisateur dans Automation Config pour accepter la clé du master Salt. Pour plus d'informations, reportez-vous à la section Définition des rôles d'utilisateur.
Pour accepter la clé du master Salt :
- Connectez-vous à l'interface utilisateur de Automation Config.
- Dans la barre de navigation supérieure gauche, cliquez sur Menu, puis sélectionnez Administration pour accéder à l'espace de travail Administration. Cliquez sur l'onglet Clés de master.
Si vous ne voyez pas la clé de master, reportez-vous à la section Dépannage de Automation Config.
Note : Vous pouvez vérifier qu'une clé de master en attente provient du master Salt correct en vérifiant l'empreinte digitale de la clé. Sur votre master Salt, exécutezsseapi-config auth
pour afficher l'empreinte digitale de la clé, puis vérifiez qu'elle est identique à celle que vous voyez dans l'onglet Clés de master. - Cochez la case en regard de la clé du master pour la sélectionner. Cliquez ensuite sur Accepter la clé.
- Si vous avez déjà connecté vos minions Salt à votre master Salt, une alerte s'affiche et indique que vous avez des clés de minion en attente à accepter. Pour accepter ces clés de minion, accédez à
- Cochez les cases en regard de vos minions pour les sélectionner. Cliquez ensuite sur Accepter la clé.
La clé est maintenant acceptée. Au bout de quelques secondes, le minion s'affiche sous l'onglet Accepté et dans l'espace de travail Cibles.
.
Vous pouvez vérifier que votre master Salt et vos minions Salt communiquent en exécutant une commande test.ping dans l'interface de Automation Config. Pour plus d'informations, reportez-vous à la section Exécution d'une tâche ad hoc depuis l'espace de travail Cibles.
Pour ajouter d'autres minions Salt sur différents nœuds, suivez l'étape 1 de cette procédure et omettez toutes les commandes pour installer ou activer salt-master
, puis modifiez master.conf
pour pointer vers le nom d'hôte ou l'adresse IP du master Salt. Pour plus d'informations, reportez-vous à la section Configuration du minion Salt.
Si le master Salt et les minions Salt ne communiquent pas, reportez-vous à la section Dépannage de Automation Config.