読者です 読者をやめる 読者になる 読者になる

Saltマスターの鍵の削除忘れについて

確認バージョン:

マスター、ミニオンともに
# salt --version
  salt 2016.11.3 (Carbon)


Saltはマスター、ミニオンともに公開鍵を交換して認証する。
ミニオンを再インストールした時は鍵の再登録が必要。

# salt-key -d ミニオン名

このことは知ってたけれど、マスターの鍵のことを忘れてて、
マスターを再インストールした際にミニオンがジョブを受け付けてくれなくなってビビった。

salt-masterを再インストールした時に必要なこと

マスターを作り直すと下記のようにミニオンが応答しなくなる

# salt 'minion1' test.ping
  minion1:
      Minion did not return. [No response]


ミニオンで下記のログが出てる。

# tail /var/log/salt/minion  
   2017-03-28 02:36:12,418 [salt.crypt       ][ERROR   ][10371] The master key has changed, the salt master could have been subverted, verify salt master's public key
   2017-03-28 02:36:12,418 [salt.crypt       ][CRITICAL][10371] The Salt Master server's public key did not authenticate!
   The master may need to be updated if it is a version of Salt lower than 2015.5.10, or
   If you are confident that you are connecting to a valid Salt Master, then remove the master public key and restart the Salt Minion.
   The master public key can be found at:
   /etc/salt/pki/minion/minion_master.pub   ←これ消して再起動しろとのこと


ミニオンがマスターの公開鍵をキャッシュしてるので、それをいっぺん消してやる必要がある。
その後、 ミニオンを再起動する。

 salt-minionで
 # rm /etc/salt/pki/minion/minion_master.pub  ←マスターの鍵を削除
 # systemctl restart salt-minion


改めてジョブを発行してみる。

 salt-masterで
 # salt 'minion1' test.ping
   minion1:
       True