Prima di iniziare

• È necessario disporre di un ambiente Salt esistente costituito da un Salt Master e da almeno un Salt Minion. Ogni Salt Minion deve essere già connesso a un Salt Master. Vedere Installazione o aggiornamento di Salt (pre-installazione) per informazioni sull'installazione dei servizi dei Salt Minion e Salt Master nei nodi.
• È necessario installare la versione 8.10.1.2 o successiva del plug-in Master in ogni Salt Master.
• È necessario installare le librerie PyJWT e Pika Python nel Salt Master utilizzando i comandi seguenti:

  pip3 install pika==1.2.0
  pip3 install pyjwt==2.3.0

• È necessario disporre dei seguenti ruoli CSP:
  • Ruolo organizzazione: Proprietario dell'organizzazione o Amministratore dell'organizzazione
  • Ruolo di servizio: Utente con privilegi avanzati per il servizio SaltStack Config in CSP
• Impostare l'organizzazione predefinita in modo da poter accedere al servizio SaltStack Config Cloud.

Generazione di un token API

Prima di connettere il Salt Master SaltStack Config Cloud, è necessario generare un token API utilizzando la console CSP. Questo token viene utilizzato per eseguire l'autenticazione del Salt Master con CSP.

Per generare un token API:

1. Nella barra degli strumenti di Cloud Services Console, fare clic sul proprio nome utente e selezionare Il mio account > Token API.
2. Fare clic su Genera Token.

   

3. Compilare il modulo.

   

   1. Immettere un nome per il token.
   2. Selezionare il Time to Live (TTL) del token. La durata predefinita è sei mesi.
      Nota: Un token che non ha scadenza può essere un rischio per la sicurezza se compromesso. In questo caso, è necessario revocare il token.
   3. Definire gli ambiti per il token.

      Scope	Descrizione
      Ruoli dell'organizzazione	I ruoli dell'organizzazione determinano l'accesso di un utente alle risorse dell'organizzazione. Per accedere al servizio SaltStack Config Cloud, è necessario selezionare i ruoli Amministratore dell'organizzazione e Proprietario dell'organizzazione.
      Ruoli di servizio	I ruoli di servizio sono set di autorizzazioni predefiniti che concedono l'accesso a VMware Cloud Services. Per accedere al servizio SaltStack Config Cloud, selezionare il ruolo di servizio SaltStack Config e selezionare il ruolo di servizio Salt Master.

   4. (Facoltativo) Impostare una preferenza e-mail per ricevere un promemoria quando il token sta per scadere.
   5. Fare clic su Genera.

      Il token API appena generato viene visualizzato nella finestra Token generato.

4. Salvare le credenziali del token in una posizione sicura.

   Dopo aver generato il token, sarà possibile visualizzare il nome del token solo nella pagina Token API e non le credenziali. Per rigenerare il token, fare clic su Rigenera.

5. Fare clic su Continua.

Connettere il Salt Master a SaltStack Config Cloud

Dopo aver generato un token API, è possibile utilizzarlo per connettere il Salt Master a SaltStack Config Cloud.

Per connettere il Salt Master:

1. Accedere al Salt Master e verificare che il file /etc/salt/master.d/raas.conf esista.

   Se non esiste, è necessario installare e configurare il plug-in Master.

2. Nel terminale del Salt Master, salvare il token dell'API come variabile di ambiente.

   export CSP_API_TOKEN=<api token value>

3. Se nel Salt Master viene eseguita la versione 8.9.0 o precedente del plug-in Master, è necessario registrare nuovamente il Salt Master con SaltStack Config Cloud. Per ulteriori informazioni, vedere Come riconnettere i Salt Master a SaltStack Config Cloud.
4. Se nel Salt Master viene eseguita la versione 8.9.1 o successiva del plug-in Master, eseguire il comando seguente per connettere il Salt Master a SaltStack Config Cloud sostituendo i valori ssc-url e csp-url con gli URL specifici della regione.

   sseapi-config join --ssc-url <SSC URL> --csp-url <CSP URL>

   Nome regione	URL SSC	URL CSP
   US	https://ssc-gateway.mgmt.cloud.vmware.com	https://console.cloud.vmware.com
   DE (Germania)	https://de.ssc-gateway.mgmt.cloud.vmware.com	https://console.cloud.vmware.com
   IN (India)	https://in.ssc-gateway.mgmt.cloud.vmware.com	https://console.cloud.vmware.com

   Il seguente esempio di codice mostra una risposta corretta di esempio nella regione US.

   2022-08-16 21:28:26 [INFO] SSEAPE joining SSC Cloud... v8.9.1.1 2022-08-16T15:28:12
   2022-08-16 21:28:26 [INFO] Retrieving CSP auth token.
   2022-08-16 21:28:27 [INFO] Creating new oauth app.
   2022-08-16 21:28:27 [INFO] Finished with oauth app [Salt Master App for master id:my-salt-master] in org [6bh70973-b1g2-716c-6i21-i9974a6gdc85].
   2022-08-16 21:28:29 [INFO] Added service role [saltstack:master] for oauth app [Salt Master App for master id:my-salt-master].
   2022-08-16 21:28:29 [INFO] Created pillar [CSP_AUTH_TOKEN].
   2022-08-16 21:28:29 [INFO] Updated master config. Please restart master for config changes to take effect.
   2022-08-16 21:28:29 [INFO] Updated master cloud.conf.
   2022-08-16 21:28:29 [INFO] Validating connectivity to SaltStack Cloud instance [https://ssc-gateway.mgmt.cloud.vmware.com]
   2022-08-16 21:28:29 [INFO] Successfully validated connectivity to SaltStack Cloud instance [https://ssc-gateway.mgmt.cloud.vmware.com]. Response: {'version': 'v8.9.0.5', 'vipVersion': '8.9.0'}
   2022-08-16 21:28:29 [INFO] Finished SSEAPE joining SSC Cloud... v8.9.1.1 2022-08-16T15:28:12
   

5. Riavviare il servizio Salt Master.

   systemctl restart salt-master

6. Ripetere il processo per ogni Salt Master.

Se si esegue il comando sseapi-config, nell'organizzazione CSP viene creata un'app OAuth per ogni Salt Master. I Salt Master utilizzano l'app OAuth per ottenere un token di accesso CSP che viene aggiunto a ogni richiesta di SaltStack Config Cloud. È possibile visualizzare i dettagli dell'app OAuth selezionando Organizzazione > App OAuth.

Il comando crea anche dati del pillar denominati CSP_AUTH_TOKEN nel Salt Master. I pillar sono strutture di dati archiviati nel Salt Master e passati a uno o più minion che sono stati autorizzati ad accedere a tali dati. I dati del pillar vengono archiviati in /srv/pillar/csp.sls e contengono l'ID client, il segreto, l'ID dell'organizzazione e l'URL del CSP.

CSP_AUTH_TOKEN:
   csp_client_id: kH8wIvNxMJEGGmk7uCx4MBfPswEw7PpLaDh
   csp_client_secret: ebH9iuXnZqUOkuWKwfHXPjyYc5Umpa00mI9Wx3dpEMlrUWNy95
   csp_org_id: 6bh70973-b1g2-716c-6i21-i9974a6gdc85
   csp_url: https://console.cloud.vmware.com

Se è necessario ruotare il segreto, è possibile eseguire nuovamente il comando sseapi-config join.

Per ulteriori informazioni sui dati del pillar, vedere Come creare file di stato e dati dei pillar.

Accettare la chiave del Salt Master

Durante l'avvio del Salt Master (a meno che non si utilizzi l'autenticazione con password) viene generato un file di chiave pubblica. Il Master inizierà a funzionare, ma la comunicazione con SaltStack Config Cloud non riuscirà finché la chiave non verrà accettata.

Per accettare la chiave del Salt Master:

1. Accedere all'interfaccia utente di SaltStack Config.
2. Nella barra di navigazione in alto a sinistra, fare clic sull'icona Menu , quindi selezionare Amministrazione per accedere all'area di lavoro Amministrazione. Fare clic sulla scheda Chiavi Master.
3. Dal menu laterale, fare clic su In sospeso per visualizzare l'elenco di tutte le chiavi del Master in sospeso.

   Se la chiave master non viene visualizzata, vedere Risoluzione dei problemi di SaltStack Config Cloud.

4. Selezionare la casella accanto alla chiave del Master per selezionarla. Fare quindi clic su Accetta chiave.
5. Dopo aver accettato la chiave del Master, viene visualizzato un avviso che indica che sono presenti chiavi in sospeso da accettare. Per accettare queste chiavi dei minion, passare a Chiavi minion > In sospeso.
6. Selezionare le caselle accanto ai minion per selezionarli. Fare quindi clic su Accetta chiave.
7. Fare clic su Accetta nella finestra di dialogo di conferma.

La chiave è ora accettata. Dopo diversi secondi, il minion viene visualizzato nella scheda Accettati e nell'area di lavoro Destinazioni.

È possibile verificare che il Salt Master e i minion Salt comunichino eseguendo un comando test.ping nell'interfaccia utente di SaltStack Config. Per ulteriori informazioni, vedere Esecuzione di un processo ad hoc dall'area di lavoro Destinazioni.

Operazioni successive

Dopo aver eseguito correttamente il comando test.ping, è possibile iniziare a utilizzare SaltStack Config Cloud per eseguire il provisioning, la configurazione e la distribuzione di software nelle macchine virtuali su qualsiasi scala, utilizzando l'automazione basata su eventi.

È inoltre possibile integrare SaltStack Config Cloud con Cloud Assembly per distribuire minion Salt e file di stato utilizzando i modelli cloud.

Nella seguente tabella sono elencate alcune risorse utili per ulteriori informazioni.