ステップ 3 - Vault にシークレットを追加する

3.1 Dynamic Group と IAM Policy を作成する​

Dynamic Group と IAM Policy を組み合わせることで、OKE クラスターノードに Vault シークレットを Kubernetes に同期する権限が付与されます。

<dynamic-group-name> と <iam-policy-name> を、ご利用の環境に適した値に置き換えてください。

oci iam dynamic-group create --name "<dynamic-group-name>" \
--description "Dynamic Group for OKE cluster nodes" \
--matching-rule "instance.compartment.id='${compartment_ocid}'"

oci iam policy create -c ${compartment_ocid} --name '<iam-policy-name>' \
--description "Oracle vault secrets access for OKE" \
--statements "[\"Allow dynamic-group <dynamic-group-name> to read secret-family in compartment <oracle-compartment-name> where target.vault.id='${vault_ocid}'\"]"

3.2 MongoDB パスワードを Vault シークレットに追加する​

注: policy を管理する予定がなく、Asynchronous API も使用しない場合は、この手順をスキップできます。

Glasswall Halo Policy Management API が MongoDB 内で policy を作成および管理できるようにし、Asynchronous API がリクエストを処理できるようにするには、MongoDB を Helm chart を使用してデプロイする必要があります。

MongoDB Helm chart は 2 つのユーザーを作成します。これらのユーザーのパスワードは Vault シークレットに保存する必要があります。

パスワードなどの機密データは、Vault シークレット内で JSON 形式のキーと値のペアとして保存する必要があります。

複数の手順のパスワードが必要な場合は、すべてのパスワードを含む単一の JSON オブジェクトを作成するか、既存の JSON オブジェクトに追加の値を加えて更新してください。

{
    "mongodb-cdrp-password": "",
    "mongodb-admin-password": ""
}

3.3 [任意] ReversingLabs 認証情報を追加する​

Halo を ReversingLabs と統合するには、ReversingLabs の認証情報を Key Vault に保存します。

{
    "reversinglabs_username": "",
    "reversinglabs_password": ""
}

3.4 [オプション] ICAP mTLS 証明書を追加​

ICAP サーバーは、mTLS 証明書を使用した相互クライアント認証用に設定できます。

証明書は Kubernetes secrets として ICAP サーバー pod にマウントされます。サーバー証明書と認証局証明書を Oracle Vault に追加して、Kubernetes secrets に同期できるようにします。

{ 
    "tls-server-cert": "<content of mtls-server-cert.pem>",
    "tls-server-key": "<content of mtls-server-key.pem>",
    "tls-cafile": "<content of mtls-ca-cert.pem>"
}