Lumaktaw sa pangunahing nilalaman

Hakbang 3 - Magdagdag ng mga secret sa Key Vault

String ng koneksyon ng storage account

Upang paganahin ang access ng Glasswall Halo sa reporting storage account ('saname'), kailangan ang connection string sa Key Vault.

Maaari mong kunin ang connection string sa pamamagitan ng Azure Portal o sa Azure CLI gaya ng ipinapakita sa halimbawa sa ibaba. Tandaan lamang na ilagay ang iyong storage account at resource group.

az storage account show-connection-string --name "${saname}" -g "${rgp}"

image.png

  • Ilagay ang iyong connection string (na naka-highlight sa screenshot) sa pamamagitan ng pagpapalit sa ${saconnstring}, at ilagay ang iyong Key Vault sa pamamagitan ng pagpapalit sa ${kvname} (gaya ng nasa ibaba).
az keyvault secret set --name "azure-storage-connectionstring" --vault-name "${kvname}" --value "${saconnstring}"

3.2A - Opsyon sa database 1 - MongoDB connection string

Upang paganahin ang koneksyon ng Halo sa Database, dapat gawin ang connection string ng MongoDB sa Key Vault

  • Maaari mong kunin ang connection string ng CosmosDB (MongoDB compatible) sa pamamagitan ng Azure Portal o sa Azure CLI gaya ng ipinapakita sa halimbawa sa ibaba.

Tandaan: tandaan na ilagay ang iyong CosmosDB account name at resource group.

Magbibigay ang command ng listahan ng 4 na connection string. Maaari mong gamitin ang alinman sa unang 2 connection string. Hindi mo maaaring gamitin ang mga read-only na connection string.

az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"
  • Ilagay ang iyong connection string (na naka-highlight sa screenshot) sa pamamagitan ng pagpapalit sa ${mongodb_connstring}, at ilagay ang iyong Key Vault sa pamamagitan ng pagpapalit sa ${kvname} (gaya ng nasa ibaba).
az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"

Idagdag ang mga password ng MongoDB sa Azure Key Vault bilang isang secret

Tandaan: kung dati mo nang na-configure at na-set up ang MongoDB sa loob ng Azure at nagawa mo na ang iyong MongoDB connection string gaya ng nakalista sa itaas, maaari mong laktawan ang hakbang na ito.

Kung hindi, upang paganahin ang Policy Management API ng Glasswall Halo na gumawa at mamahala ng mga policy sa MongoDB, at ang Asynchronous API na gumawa at mamahala ng mga request, kailangang i-deploy ang MongoDB gamit ang mga Helm chart na nakalista sa Hakbang 8.

Dalawang user ang gagawin ng MongoDB Helm chart at ang password ng kaukulang user ay kailangang itakda sa Vault secret.

az keyvault secret set --name "mongodb-cdrp-password" --vault-name "${kvname}" --value "<cdrp-user-password>"
az keyvault secret set --name "mongodb-admin-password" --vault-name "${kvname}" --value "<admin-user-password>"

3.2B - Opsyon sa database 2 - CosmosDB connection string

Kung naka-set up ang CosmosDB sa halip na MongoDB, dapat idagdag ang Cosmos connection string sa Key Vault.

Maaari mong kunin ang connection string ng CosmosDB sa pamamagitan ng Azure Portal o gamit ang Azure CLI gaya ng ipinapakita sa halimbawa sa ibaba. Tandaan lamang na ilagay ang pangalan ng iyong Cosmos DB account at resource group. Magbibigay ang command ng listahan ng 4 na connection string. Maaari mong gamitin ang alinman sa unang 2 connection string. Hindi mo maaaring gamitin ang mga read-only na connection string.

az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"

Ilagay ang iyong connection string (na naka-highlight sa screenshot) sa pamamagitan ng pagpapalit sa ${mongodb_connstring}, at ilagay ang iyong Key Vault sa pamamagitan ng pagpapalit sa ${kvname} (gaya ng nasa ibaba).

az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"

3.3 - Opsyonal: Magdagdag ng mga credential ng ReversingLabs

Upang maisama ang Halo sa ReversingLabs, idagdag ang mga credential ng ReversingLabs sa Key Vault. Palitan ang ${reversinglabs_username} at ${reversinglabs_password} ng aktuwal na username at password.

az keyvault secret set --name "halo-reversinglabs-username" --vault-name "${kvname}" --value "${reversinglabs_username}"
az keyvault secret set --name "halo-reversinglabs-password" --vault-name "${kvname}" --value "${reversinglabs_password}"

3.4 - Opsyonal: Magdagdag ng mga certificate ng ICAP MTLS

Maaaring i-configure ang mga ICAP server para sa mutual client authentication gamit ang mga certificate ng MTLS.

Ang mga certificate ay imu-mount sa mga pod ng ICAP server gamit ang mga Kubernetes secret. Idagdag ang mga certificate ng server at certificate authority sa Key Vault upang ma-sync ang mga ito sa mga Kubernetes secret.

az keyvault secret set --vault-name "${kvname}" --name tls-server-cert -f <path/to/mtls-server-cert.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-server-key -f <path/to/mtls-server-key.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-cafile -f <path/to/mtls-ca-cert.pem>

3.5 - Opsyonal: I-configure ang storage monitoring para sa M365

Upang paganahin ang integration ng M365 storage monitoring, kakailanganin mong idagdag ang mga credential ng iyong Microsoft Entra app registration sa Key Vault.

Kinakailangan ng integration na ito ang mga sumusunod na value:

  • Client ID
  • ID ng Tenant
  • Lihim ng client

Gamitin ang mga command sa ibaba upang idagdag ang mga lihim na ito sa iyong Key Vault:

az keyvault secret set --name "graphapi-clientid" --vault-name "${kvname}" --value "<client_id>"
az keyvault secret set --name "graphapi-tenantid" --vault-name "${kvname}" --value "<tenant_id>"
az keyvault secret set --name "graphapi-clientsecret" --vault-name "${kvname}" --value "<client_secret>"

Kung wala ka pa ng mga halagang ito, sumangguni sa aming Storage Monitoring M365 Setup Guide para sa mga tagubilin kung paano makuha ang mga ito.

Magpatuloy

Kailangan ng tulong?

Huling na-update noong