а есть какая то лайзека , что бы собирать grains с minion2 с syndic1  подключенного к другому syndic2 ?

master
——-
syndic1  syndic2
-------
minion1 minion2

или както ограничить доступ юзера на master что бы он мог работать только со своим списком minion ?

кто то разъяснит что такое peer в понимании salt ?
https://docs.saltstack.com/en/latest/ref/peer.html

Не оно ли случайно ?

https://docs.saltstack.com/en/latest/topics/eauth/access_control.html

потестил   уже

$ salt '*' test.ping
[WARNING ] Failed to open log file, do you have permission to write to /var/log/salt/master?
Authorization error occurred.

 salt 'salt-minion' grains.item id
[WARNING ] Failed to open log file, do you have permission to write to /var/log/salt/master?
salt-minion:
    ----------
    id:
        salt-minion

вот так разешил

publisher_acl:
  # Allow thatch to execute anything.
  thatch:
    - .*
  # Allow fred to use test and pkg, but only on "web*" minions.
  saltuser:
    - salt*:
      - test.*
      - grains.*

наверно нужно разбираться с ролями группами..

про peer пока не раздуплил 😞

я тоже

я так понимаю  , если указать  на minion peer-инг, то они будут "ходить" друг на друга...  пока хз что им разрешено.

например один миньон может выступать в качестве CA и подписывать сертификаты для других миньонов

блин потестил peer на minion  , подключенные к разным syndic но одному мастерумастеров.

test-tools-salt-3:/etc/salt/minion.d# salt-call publish.publish \* grains.item ipv4
local:
    ----------
    salt-minion:
        ----------
        ipv4:
            - 10.233.60.136
            - 127.0.0.1
            - 192.168.200.2
    test-tools-salt-4:
        ----------
        ipv4:
            - 10.233.60.137
            - 127.0.0.1

а как он это сделал ?

мониторил event на mofm  , получается через мастера ?

salt/job/20200526134421172733/ret/salt-minion   {
    "_stamp": "2020-05-26T13:44:21.174016",
    "arg": [
        "*",
        "grains.item",
        "ipv4"
    ],
    "cmd": "_return",
    "fun": "publish.publish",
    "fun_args": [
        "*",
        "grains.item",
        "ipv4"
    ],
    "id": "salt-minion",
    "jid": "20200526134421172733",
    "retcode": 0,
    "return": {
        "salt-minion": {
            "ipv4": [
                "10.233.60.136",
                "127.0.0.1",
                "192.168.200.2"
            ]
        },
        "test-tools-salt-4": {
            "ipv4": [
                "10.233.60.137",
                "127.0.0.1"
            ]
        }
    },
    "tgt": "salt-minion",
    "tgt_type": "glob"
}

закидал портянками

а можно тоже самое сделать с syndic ?

а что в понимании salt  одноранговая ?
я увидел minion на другом syndic и в другом окружении, но одной подсети

Одноранговая система предоставляет способ выбора миньонов
отправлять команды через мастера другим миньонам. Список команд может
также быть ограниченным.

потестил вариант когда minion зареген на mofm,  он видит всех.
если minion зареген на syndic то он не видит minon на другом syndic
p.s. тут обсуждали как это сделать через общую шину

https://github.com/saltstack/salt/issues/39680

А как можно миньёном отслеживать обновление имейджа докера и при наличии нового имейджа его выкачивать и перезагружать композер?

ты про что вообще ?

композер - docker-compose или пыхыпы композер?