Lewati ke konten utama

Langkah 3 - Tambahkan secret ke Vault

3.1 Buat Dynamic Group dan IAM Policy

Dynamic Group dan IAM Policy bersama-sama memberikan izin kepada node cluster OKE untuk menyinkronkan secret Vault ke Kubernetes.

Ganti <dynamic-group-name> dan <iam-policy-name> dengan nilai yang sesuai untuk environment Anda.

oci iam dynamic-group create --name "<dynamic-group-name>" \
--description "Dynamic Group for OKE cluster nodes" \
--matching-rule "instance.compartment.id='${compartment_ocid}'"

oci iam policy create -c ${compartment_ocid} --name '<iam-policy-name>' \
--description "Oracle vault secrets access for OKE" \
--statements "[\"Allow dynamic-group <dynamic-group-name> to read secret-family in compartment <oracle-compartment-name> where target.vault.id='${vault_ocid}'\"]"

3.2 Tambahkan kata sandi MongoDB ke secret Vault

Catatan: jika Anda tidak berencana mengelola policy atau menggunakan Asynchronous API, Anda dapat melewati langkah ini.

Untuk memungkinkan Glasswall Halo Policy Management API membuat dan mengelola policy di MongoDB, serta Asynchronous API memproses permintaan, MongoDB harus di-deploy menggunakan Helm chart.

MongoDB Helm chart membuat dua pengguna. Kata sandi untuk pengguna ini harus disimpan dalam secret Vault.

Data sensitif, seperti kata sandi, harus disimpan sebagai pasangan key-value dalam format JSON di dalam secret Vault.

Jika kata sandi dari beberapa langkah diperlukan, buat satu objek JSON yang berisi semua kata sandi atau perbarui objek JSON yang ada dengan nilai tambahan.

{
    "mongodb-cdrp-password": "",
    "mongodb-admin-password": ""
}

3.3 [Opsional] Tambahkan kredensial ReversingLabs

Untuk mengintegrasikan Halo dengan ReversingLabs, simpan kredensial ReversingLabs di Key Vault.

{
    "reversinglabs_username": "",
    "reversinglabs_password": ""
}

3.4 [Opsional] Tambahkan sertifikat mTLS ICAP

Server ICAP dapat dikonfigurasi untuk autentikasi klien timbal balik menggunakan sertifikat mTLS.

Sertifikat dipasang ke pod server ICAP sebagai secret Kubernetes. Tambahkan sertifikat server dan sertifikat certificate authority ke Oracle Vault agar dapat disinkronkan ke secret Kubernetes.

{ 
    "tls-server-cert": "<content of mtls-server-cert.pem>",
    "tls-server-key": "<content of mtls-server-key.pem>",
    "tls-cafile": "<content of mtls-ca-cert.pem>"
}

Lanjutkan

Butuh bantuan?

Terakhir diperbarui pada