SaltStack:是否可以只允许 state.apply 用于 minions?
SaltStack: is it possible to allow only state.apply for minions?
我知道 salt-minions (https://docs.saltstack.com/en/latest/topics/blackout/index.html) 有停电模式,但它是在主端配置的。我的需要是将 minion 配置为不 运行 来自 salt-master 的任何命令(我的意思是 salt '*' test.ping 或 salt '*' file.mkdir "/tmp/foobar" 之类的任何命令)并且只允许 运行 salt '*' state.apply 与本地状态文件。
可能吗?
当我发现 Salt 的代码库时,我发现上游有解决我的问题的方法。我发现他们不仅向支柱添加了 minion_blackout 配置到 grains,所以现在我可以在我的 minion 上配置它并且只允许 state.apply 在 minion_blackout_whitelist 配置.
我知道 salt-minions (https://docs.saltstack.com/en/latest/topics/blackout/index.html) 有停电模式,但它是在主端配置的。我的需要是将 minion 配置为不 运行 来自 salt-master 的任何命令(我的意思是 salt '*' test.ping 或 salt '*' file.mkdir "/tmp/foobar" 之类的任何命令)并且只允许 运行 salt '*' state.apply 与本地状态文件。
可能吗?
当我发现 Salt 的代码库时,我发现上游有解决我的问题的方法。我发现他们不仅向支柱添加了 minion_blackout 配置到 grains,所以现在我可以在我的 minion 上配置它并且只允许 state.apply 在 minion_blackout_whitelist 配置.