SaltStack Master 与 Minion 通信端口完整详解：4505、4506 作用、防火墙配置与排错教程

SaltStack 自动化运维平台依靠固定端口完成主控 Master 与被控 Minion 节点指令下发、文件传输、结果回传大量部署人员开放端口不全、防火墙拦截导致节点失联、执行命令无响应。核心通信端口为4505、4506两个端口分工完全独立缺一不可本文拆解两个端口底层作用、TCP 通信逻辑、防火墙放行配置、端口自定义修改方法、端口不通典型故障排查覆盖 Linux、Windows Minion 全平台部署规范。一、核心结论一句话吃透Salt Master 与 Minion 之间通信依赖两个固定 TCP 端口4505 端口为发布订阅 Pub/Sub 消息端口4506 端口为 Minion 返回结果、文件传输 RPC 端口两端必须双向放行 TCP 4505、4506仅开放单一端口会出现节点离线、指令执行失败、文件分发报错等问题。二、两个核心端口分工与底层通信原理2.1 TCP 4505Pub/Sub 发布订阅端口Master 监听服务角色Master 持续监听 4505作为消息广播总线数据流方向Master 主动向外广播任务、状态执行指令、事件信息所有 Minion 保持长连接订阅该端口核心业务场景salt state、salt cmd.run 等指令下发定时高 state、事件总线 EventBus 推送全局配置、pillar 数据广播推送连接特性Minion 开机后主动建立长连接至 Master 4505全程保持连接无频繁重连。简单理解4505 是Master 发指令给 Minion 的通道。2.2 TCP 4506RPC 返回 / 文件传输端口Master 监听服务角色Master 监听 4506接收 Minion 主动发起的请求与返回数据数据流方向Minion 主动连接 Master 4506回传执行结果、请求拉取文件核心业务场景Minion 执行完命令把输出结果传回 MasterMinion 请求同步 saltstack file 服务文件、模板、静态资源Minion 上报硬件信息、grains 数据、认证密钥请求连接特性任务执行时临时建立短连接任务结束释放高频文件分发会持续复用连接。简单理解4506 是Minion 回传结果、拉取文件的通道。2.3 通信整体流程完整示例执行命令salt * cmd.run df -hMaster 通过 4505 端口向所有在线 Minion 广播执行指令各 Minion 收到指令本地执行磁盘查询Minion 主动连接 Master 4506将 df 执行输出结果回传给主控Master 汇总所有节点返回数据并打印输出。 若 4506 端口拦截指令能下发但 Master 收不到任何执行返回界面卡死无输出。三、端口协议与访问规则规范协议仅 TCP 协议无 UDP 流量监听端Salt Master 服务器监听 0.0.0.0:4505、0.0.0.0:4506访问方向所有 Minion 节点出站访问 Master 的 4505、4506Master 无需主动向 Minion 开放入站端口网络架构跨网段、跨机房部署时防火墙仅需放行 Minion 访问 Master 两个端口的出站流量Minion 本机无需开放端口。四、主流防火墙放行配置实操4.1 Linux firewalldCentOS/RHEL 7/8/9# 永久放行4505、4506 TCP端口 firewall-cmd --permanent --add-port4505/tcp firewall-cmd --permanent --add-port4506/tcp # 重载防火墙生效 firewall-cmd --reload # 验证端口开放列表 firewall-cmd --list-ports4.2 Linux iptables 通用规# 允许所有客户端访问Salt Master双端口 iptables -A INPUT -p tcp --dport 4505 -j ACCEPT iptables -A INPUT -p tcp --dport 4506 -j ACCEPT service iptables save4.3 Windows Minion 配套 Windows 防火墙登录 Master 服务器高级防火墙添加入站规则TCP 4505、4506 允许任意远程 IP 访问Windows Minion 客户端无需配置入站规则仅出站访问主控。五、自定义修改 Salt 通信端口方法特殊环境端口被占用时可修改 Master 与 Minion 配置文件更换端口两端必须同步修改否则通信中断。Master 配置文件/etc/salt/master修改参数publish_port: 45005 # 替换原4505 ret_port: 45006 # 替换原4506所有 Minion 配置/etc/salt/minion同步新增master_publish_port: 45005 master_ret_port: 45006重启服务生效# Master端 systemctl restart salt-master # Minion端 systemctl restart salt-minion六、端口不通故障现象与排查命令6.1 典型故障表现salt-key -L 看不到 Minion 节点节点无法完成密钥认证执行 salt 远程命令长时间卡死无返回输出salt-file 文件分发任务报错无法同步模板与静态文件Minion 日志持续提示Failed to connect to master publish port。6.2 连通性检测命令Minion 节点执行# 测试4505端口连通 telnet MasterIP 4505 # 测试4506端口连通 telnet MasterIP 4506 # 使用nc工具检测端口 nc -zv MasterIP 4505 nc -zv MasterIP 45066.3 服务监听状态检查Master 端# 查看salt-master是否正常监听双端口 ss -tlnp | grep salt-master正常输出会同时显示 4505、4506 端口监听进程。七、高频误区避坑指南误区 1只放行 4505 一个端口就能正常使用 Salt纠正4506 负责结果回传与文件同步缺少该端口指令有去无回执行任务直接卡死。误区 2需要在 Minion 节点开放 4505/4506 入站端口纠正通信为 Minion 主动出站连接 MasterMinion 本机无需开放任何端口仅 Master 防火墙放行入站流量。误区 3端口支持 UDP 协议可以混用 TCP/UDP 放行纠正Salt 底层 ZeroMQ 通信仅使用 TCP放行 UDP 无任何作用。误区 4修改 Master 端口后不用同步 Minion 配置纠正发布端口、返回端口两端配置必须完全一致否则 Minion 无法建立长连接。误区 54505 和 4506 端口可以互换使用纠正两个端口服务逻辑独立互换会导致 Pub 订阅、RPC 返回流程完全失效。八、全文总结SaltStack Master 与 Minion 标准通信双端口分工清晰TCP 4505 为 Pub/Sub 指令下发广播端口TCP 4506 为 RPC 结果回传、文件传输端口两个端口缺一不可。 网络部署时仅需在 Master 防火墙放行 4505、4506 TCP 入站流量所有 Minion 节点主动出站连接主控端口冲突场景可同步修改 master 与 minion 配置文件更换自定义端口。日常节点离线、命令无返回、文件同步失败故障优先使用 telnet/nc 工具检测双端口连通性快速定位防火墙拦截、端口监听异常问题。