Scénario #22026
E6-2: Liaison entre un “minion” Saltstack et un “Server” Zéphir
100%
Description
Contexte¶
L'application Zéphir devrait avoir un lien logique entre les instances de server et les machines ("minions") appairées avec le processus salt-master.
Il existe plusieurs cinématiques possibles :
- le serveur génère la clé : https://docs.saltstack.com/en/latest/topics/tutorials/walkthrough.html#using-salt-key
- le Zéphir génère la clé : https://docs.saltstack.com/en/latest/topics/tutorials/preseed_key.html
Proposition¶
Statuer sur la procédure d'appairage via Salt d'une machine avec Zéphir puis implémenter la solution retenue.
Possibilité 1 le serveur génère la clé¶
- L'utilisateur configure sur sa nouvelle machine son "minion" SaltStack et le fait pointer vers la machine Zéphir (ou le salt-master utilisé par Zéphir)
- Le "minion" envoie sa clé publique au salt-master et attend son approbation
- Sur le Zéphir, l'utilisateur crée un nouveau server sur Zéphir (avec le bon server-model associé)
- L'utilisateur "appaire" manuellement son instance server avec une des clés publiques de "minion" en attente d'approbation
- La machine "minion" est désormais pilotable via le Zéphir
Ce mode de fonctionnement pose la question de l'affichage des demandes d'approbation. Quid du filtrage en fonction des droits d'accès ?
L'étape 4 devrait concentrer la majeure partie du travail de réflexion/développement.-
Possibilité 2 le Zéphir génère la clé¶
- Sur le Zéphir, l'utilisateur créait un nouveau server sur Zéphir (avec le bon server-model associé)
- Le service saltmaster réagit à la création de ce nouveau server et créait un paire de clés cryptographiques à destination du minion. La paire de clé est dédiée/liée au server.
- L'utilisateur récupère cette paire de clés et la déploie manuellement sur la machine avec le minion
Une partie du traitement pourrait être automatisé via un script (comme c'est le cas dans le Zéphir actuel). Cette solution permet de garantir que la personne qui appaire le serveur à vraiment le droit de le faire mais nécessite un ensemble d'action non automatisé par Salt.
Critères d'acceptation¶
- On peut appairer un server sur l'application Zéphir et faire le lien entre un "minion" et un server.
Sous-tâches
Demandes liées
Révisions associées
Another process for server registration.
Ref #22026
Correct process 3 to avoid message broker use outside controller.
Ref #22026
Sequence diagram for proposition 2.
Ref #22026
Fake services for demo
ref #22026
Historique
#1 Mis à jour par Gilles Grandgérard il y a plus de 6 ans
- Copié depuis Scénario #22025: E6-1: Implémentation d’un service de gestion des entités “Server” ajouté
#2 Mis à jour par Gilles Grandgérard il y a plus de 6 ans
- Copié vers Scénario #22027: E6-3: Exécution de commandes sur les serveurs enregistrés ajouté
#3 Mis à jour par Gilles Grandgérard il y a plus de 6 ans
- Release mis à Zéphir-livraison-1
#4 Mis à jour par William Petit il y a plus de 6 ans
- Sujet changé de Epic 6 : Création automatique d'un serveur lors de l'enregistrement d'un machine avec le salt-master à E6-2: Liaison entre un “minion” Saltstack et un “Server” Zéphir
- Description mis à jour (diff)
#5 Mis à jour par William Petit il y a plus de 6 ans
- Description mis à jour (diff)
#6 Mis à jour par William Petit il y a plus de 6 ans
- Echéance mis à 22/12/2017
- Version cible mis à sprint 2017 49-51 Equipe MENSR
- Début mis à 04/12/2017
#7 Mis à jour par Emmanuel GARETTE il y a plus de 6 ans
- Description mis à jour (diff)
#8 Mis à jour par William Petit il y a plus de 6 ans
- Points de scénarios mis à 8.0
#9 Mis à jour par Scrum Master il y a plus de 6 ans
- Assigné à mis à Fabrice Barconnière
Binôme Benjamin
#11 Mis à jour par Joël Cuissinat il y a plus de 6 ans
- Statut changé de Nouveau à Terminé (Sprint)