मुख्य सामग्री पर जाएँ

चरण 3 - Vault में secrets जोड़ें

3.1 Dynamic Group और IAM Policy बनाएँ

Dynamic Group और IAM Policy मिलकर OKE cluster nodes को Vault secrets को Kubernetes में sync करने की अनुमति देते हैं।

<dynamic-group-name> और <iam-policy-name> को अपने environment के अनुसार उपयुक्त मानों से बदलें।

oci iam dynamic-group create --name "<dynamic-group-name>" \
--description "Dynamic Group for OKE cluster nodes" \
--matching-rule "instance.compartment.id='${compartment_ocid}'"

oci iam policy create -c ${compartment_ocid} --name '<iam-policy-name>' \
--description "Oracle vault secrets access for OKE" \
--statements "[\"Allow dynamic-group <dynamic-group-name> to read secret-family in compartment <oracle-compartment-name> where target.vault.id='${vault_ocid}'\"]"

3.2 Vault secret में MongoDB passwords जोड़ें

नोट: यदि आप policies को manage करने या Asynchronous API का उपयोग करने की योजना नहीं बना रहे हैं, तो आप इस चरण को छोड़ सकते हैं।

Glasswall Halo Policy Management API को MongoDB में policies बनाने और manage करने, और Asynchronous API को requests process करने की अनुमति देने के लिए, MongoDB को Helm charts का उपयोग करके deploy किया जाना चाहिए।

MongoDB Helm chart दो users बनाता है। इन users के passwords को Vault secret में संग्रहीत किया जाना चाहिए।

संवेदनशील डेटा, जैसे passwords, को Vault secret के भीतर JSON format में key value pairs के रूप में संग्रहीत किया जाना चाहिए।

यदि कई चरणों के passwords आवश्यक हों, तो सभी passwords वाला एक single JSON object बनाएँ या अतिरिक्त मानों के साथ मौजूदा JSON object को update करें।

{
    "mongodb-cdrp-password": "",
    "mongodb-admin-password": ""
}

3.3 [वैकल्पिक] ReversingLabs credentials जोड़ें

Halo को ReversingLabs के साथ एकीकृत करने के लिए, ReversingLabs credentials को Key Vault में संग्रहीत करें।

{
    "reversinglabs_username": "",
    "reversinglabs_password": ""
}

3.4 [वैकल्पिक] ICAP mTLS certificates जोड़ें

ICAP servers को mTLS certificates का उपयोग करके mutual client authentication के लिए कॉन्फ़िगर किया जा सकता है।

Certificates को Kubernetes secrets के रूप में ICAP server pods पर माउंट किया जाता है। Server certificates और certificate authority certificates को Oracle Vault में जोड़ें ताकि उन्हें Kubernetes secrets में sync किया जा सके।

{ 
    "tls-server-cert": "<content of mtls-server-cert.pem>",
    "tls-server-key": "<content of mtls-server-key.pem>",
    "tls-cafile": "<content of mtls-ca-cert.pem>"
}

जारी रखें

मदद चाहिए?

अंतिम बार अपडेट किया गया को