ピラー ワークスペースでは、SaltStack Config 内にネイティブに保存されるピラー データを作成および管理できます。ピラーは、Salt マスターで定義されるデータの構造であり、ターゲットを使用して 1 台以上のミニオンに渡されます。これにより、機密のターゲット データを関連するミニオンにのみ安全に送信できます。ピラーは、プライベート データへのユーザーのアクセスを制限するのに役立ちます。たとえば、ピラーを使用することで、ユーザーがこれらのデータの認証情報にアクセスせずに、外部サービスへの認証が必要なジョブを実行することが可能になります。この場合、ユーザーには特定のジョブとターゲットへのアクセス権を割り当てますが、機密性の高い認証情報が含まれるピラーへのアクセス権は割り当てません。
ピラー データは SaltStack Config データベース内で暗号化され、プレーン テキストの状態では保存されません。転送中のピラー データは暗号化され、ピラー ターゲット設定で指定されたミニオンのみに可視化されます。ターゲットへのピラーの割り当ての詳細については、ピラーの割り当てを参照してください。
ターゲットは 1 つ以上の Salt マスター上に構成されるミニオンのグループで、これに対してジョブの Salt コマンドが適用されます。Salt マスターもミニオンのように管理でき、ミニオン サービスを実行している場合はターゲットにすることができます。ミニオンは minion サービスが実行されるノードであり、Salt マスターからのコマンドをリッスンして、要求されたタスクを実行できます。詳細については、ミニオンを参照してください。
ピラー データは、以下のいずれかの場所に保存できます。
- ピラー ワークスペースのプライベート ピラー
- ジョブの設定
- API (RaaS) サーバの他のピラー ルート
ジョブへのアクセス権限を持つユーザーはピラー データも表示できるため、ジョブ内に保存されたピラー データの安全性は、標準のピラー内のデータよりも低くなります。ジョブは、リモート実行タスクの実行、状態の適用、Salt ランナーの起動に使用されます。詳細については、ジョブを参照してください。
Salt のピラーの詳細については、Salt のピラーに関するチュートリアルを参照してください。
ピラー ワークスペースでは、新しいピラーを作成し、ピラーをターゲットに割り当てることができます。ピラーをターゲットに割り当てる際に、ピラーの更新も選択できます。
ピラー ワークスペースへのアクセス
ピラー ワークスペースを使用するには、サイド メニューの [設定] > [ピラー] をクリックします。
ピラーの作成
新しいピラーを作成するには、次の手順に従います。
- ピラー ワークスペースで、[作成] をクリックします。
- JSON 形式でピラー データを入力し、[保存] をクリックします。
ピラーの割り当て
特定のターゲットにピラーを割り当てるには、次の手順に従います。
-
ピラー ワークスペースで、ピラーを選択します。
-
[ターゲットの更新] をクリックします。
-
ダイアログで、ピラーを適用するターゲットを選択します。
ターゲットの選択に加え、[ピラーの更新] を選択して、そのピラーを選択したターゲットですぐに使用できるようにします。
-
[保存] をクリックします。
これで、ピラー データを選択したターゲット内のすべてのミニオンで使用できます。
ピラーと [すべてのミニオン] ターゲット
[すべてのミニオン] ターゲットは読み取り専用であり、ピラー データを割り当てることはできません。すべてのミニオンにピラー データを割り当てるには、すべてのミニオンに一致する新しいターゲット (*
) を作成します。詳細については、ミニオンを参照してください。
値の優先順位
同じピラー データが複数のソースで定義されている場合、SaltStack Config では以下の優先順位で適用するデータが選択されます。
- ジョブで直接渡される値
- SaltStack Config ユーザー インターフェイスの値(ピラー ワークスペース内)
- その他のピラー ルートの値
この動作は、Salt マスター構成で pillar_roots
の順序を調整することによって変更できます。
ピラー データ形式
外部ピラー データは JSON 形式にする必要があります。現在、YAML はサポートされていません。
ピラーの依存関係
[ファイル]
ピラー データは、状態、リアクタ、および他のタイプのファイルにデータを渡すのに役立ちます。ピラー データを作成または更新する際は、対応するファイルのピラー参照も必ず更新してください。ファイル サーバを参照してください。
[ターゲット]
ターゲットに適用されたピラー データは、関連付けられたジョブのターゲットでの実行時に使用されます。ピラー データを更新する際は、関連付けられたターゲット上のピラーも必ず更新してください。ピラーの割り当てを参照してください。