Какие открытые порты необходимы для брандмауэра, чтобы разрешить удаленное выполнение солевого стека?

Question

Документация по соляной раковине, по-видимому, неясна в отношении того, какие порты необходимы от соляного мастера -> соляной миньон (по-видимому, не требуется). Предполагается, что порты должны быть открыты только из соленого миньона -> соляной мастер. (См: http://docs.saltstack.com/en/latest/topics/tutorials/firewall.html)

Если же команды выполняются на удаленной соленом мастере, адресованного миньон, конечно, хозяин должен быть в состоянии выдвинуть это в миньон и поэтому требует открытий сети, чтобы учесть это.

Поэтому мой вопрос в том, следует ли открывать порты соляной раковины (4505 & 4506) в обоих направлениях или запускаться ли удаленные команды по другому протоколу?

[Немного фона: Моя команда хочет установить конфигурацию соляного стека, чтобы управлять ландшафтом сервера в довольно ограничительной сети, где каждый конкретный маршрут сети должен быть запрошен в концепции безопасности. Это не контролируется нашей компанией, и мне нужно явно запросить все необходимые маршруты и в каждом направлении.]

Answer 1

Соль использует паб/sub-интерфейс zeromq для связи с миньонами. Действительно, вам нужно только открыть порты 4505 и 4506 на брандмауэре мастера.

Миньоны слушают на одном порту мастера, который является портом «pub», а затем возвращают результаты мастеру на другом порту.

Мастер никогда фактически не «нажимает» команды миньонам. Миньоны слушают команды, опубликованные в паб-порту. Вот почему вам не нужно открывать какие-либо входящие порты ваших миньонов.