3단계 - Key Vault에 시크릿 추가
스토리지 계정 연결 문자열
보고용 스토리지 계정('saname')에 대한 Glasswall Halo의 액세스를 활성화하려면 Key Vault에 연결 문자열이 필요합니다.
Azure Portal 또는 아래 예시와 같이 Azure CLI를 통해 연결 문자열을 가져올 수 있습니다. 스토리지 계정과 리소스 그룹을 입력하는 것을 잊지 마세요.
az storage account show-connection-string --name "${saname}" -g "${rgp}"
- 스크린샷에서 강조 표시된 연결 문자열을
${saconnstring}로 바꾸어 입력하고, Key Vault는${kvname}로 바꾸어 입력합니다(아래 참조).
az keyvault secret set --name "azure-storage-connectionstring" --vault-name "${kvname}" --value "${saconnstring}"
3.2A - 데이터베이스 옵션 1 - MongoDB 연결 문자열
Halo의 데이터베이스 연결을 활성화하려면 MongoDB의 연결 문자열을 Key Vault에 생성해야 합니다
- 아래 예시와 같이 Azure Portal 또는 Azure CLI를 통해 CosmosDB(MongoDB 호환)의 연결 문자열을 가져올 수 있습니다.
참고: CosmosDB 계정 이름과 리소스 그룹을 입력해야 합니다.
이 명령은 4개의 연결 문자열 목록을 제공합니다. 처음 2개의 연결 문자열 중 아무 것이나 사용할 수 있습니다. 읽기 전용 연결 문자열은 사용할 수 없습니다.
az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"
- 스크린샷에서 강조 표시된 연결 문자열을
${mongodb_connstring}로 바꾸어 입력하고, Key Vault는${kvname}로 바꾸어 입력합니다(아래 참조).
az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"
MongoDB 비밀번호를 Azure Key Vault에 secret으로 추가
참고: Azure 내에서 MongoDB를 이미 구성 및 설정했고 위에 나열된 대로 MongoDB 연결 문자열도 생성했다면 이 단계는 건너뛸 수 있습니다.
그렇지 않은 경우, Glasswall Halo의 Policy Management API가 MongoDB에서 policy를 생성하고 관리하고, Asynchronous API가 요청을 생성하고 관리할 수 있도록 하려면 8단계에 나열된 Helm chart를 사용하여 MongoDB를 배포해야 합니다.
MongoDB Helm chart에 의해 두 명의 사용자가 생성되며, 해당 사용자의 비밀번호를 Vault secret에 설정해야 합니다.
az keyvault secret set --name "mongodb-cdrp-password" --vault-name "${kvname}" --value "<cdrp-user-password>"
az keyvault secret set --name "mongodb-admin-password" --vault-name "${kvname}" --value "<admin-user-password>"
3.2B - 데이터베이스 옵션 2 - CosmosDB 연결 문자열
MongoDB 대신 CosmosDB를 설정한 경우, Cosmos 연결 문자열을 Key Vault에 추가해야 합니다.
아래 예시와 같이 Azure Portal 또는 Azure CLI를 통해 CosmosDB의 연결 문자열을 가져올 수 있습니다. Cosmos DB 계정 이름과 리소스 그룹을 입력해야 한다는 점만 기억하세요. 이 명령은 4개의 연결 문자열 목록을 제공합니다. 처음 2개의 연결 문자열 중 아무 것이나 사용할 수 있습니다. 읽기 전용 연결 문자열은 사용할 수 없습니다.
az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"
스크린샷에서 강조 표시된 연결 문자열을 ${mongodb_connstring}로 바꾸어 입력하고, Key Vault는 ${kvname}로 바꾸어 입력합니다(아래 참조).
az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"
3.3 - 선택 사항: ReversingLabs 자격 증명 추가
Halo를 ReversingLabs와 통합하려면 ReversingLabs의 자격 증명을 Key Vault에 추가하세요. ${reversinglabs_username} 및 ${reversinglabs_password}를 실제 사용자 이름과 비밀번호로 바꾸세요.
az keyvault secret set --name "halo-reversinglabs-username" --vault-name "${kvname}" --value "${reversinglabs_username}"
az keyvault secret set --name "halo-reversinglabs-password" --vault-name "${kvname}" --value "${reversinglabs_password}"
3.4 - 선택 사항: ICAP MTLS 인증서 추가
ICAP 서버는 MTLS 인증서를 사용한 상호 클라이언트 인증으로 구성할 수 있습니다.
인증서는 Kubernetes secrets를 사용하여 ICAP 서버 pod에 마운트됩니다. Kubernetes secrets로 동기화할 수 있도록 서버 인증서와 인증 기관을 Key Vault에 추가하세요.
az keyvault secret set --vault-name "${kvname}" --name tls-server-cert -f <path/to/mtls-server-cert.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-server-key -f <path/to/mtls-server-key.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-cafile -f <path/to/mtls-ca-cert.pem>
3.5 - 선택 사항: M365용 스토리지 모니터링 구성
M365 스토리지 모니터링 통합을 활성화하려면 Microsoft Entra 앱 등록 자격 증명을 Key Vault에 추가해야 합니다.
이 통합에는 다음 값이 필요합니다:
- 클라이언트 ID
- 테넌트 ID
- 클라이언트 암호
아래 명령을 사용하여 이러한 비밀을 Key Vault에 추가합니다:
az keyvault secret set --name "graphapi-clientid" --vault-name "${kvname}" --value "<client_id>"
az keyvault secret set --name "graphapi-tenantid" --vault-name "${kvname}" --value "<tenant_id>"
az keyvault secret set --name "graphapi-clientsecret" --vault-name "${kvname}" --value "<client_secret>"
아직 이러한 값을 가지고 있지 않다면, 획득 방법에 대한 지침은 Storage Monitoring M365 Setup Guide를 참조하세요.