3단계 - Vault에 시크릿 추가

3.1 Dynamic Group 및 IAM Policy 생성​

Dynamic Group와 IAM Policy는 함께 OKE 클러스터 노드에 Vault 시크릿을 Kubernetes에 동기화할 수 있는 권한을 부여합니다.

<dynamic-group-name> 및 <iam-policy-name>을(를) 환경에 맞는 값으로 바꾸십시오.

oci iam dynamic-group create --name "<dynamic-group-name>" \
--description "Dynamic Group for OKE cluster nodes" \
--matching-rule "instance.compartment.id='${compartment_ocid}'"

oci iam policy create -c ${compartment_ocid} --name '<iam-policy-name>' \
--description "Oracle vault secrets access for OKE" \
--statements "[\"Allow dynamic-group <dynamic-group-name> to read secret-family in compartment <oracle-compartment-name> where target.vault.id='${vault_ocid}'\"]"

3.2 MongoDB 비밀번호를 Vault 시크릿에 추가​

참고: policy를 관리하거나 Asynchronous API를 사용할 계획이 없다면 이 단계를 건너뛸 수 있습니다.

Glasswall Halo Policy Management API가 MongoDB에서 policy를 생성하고 관리하고, Asynchronous API가 요청을 처리할 수 있도록 하려면 MongoDB를 Helm 차트를 사용해 배포해야 합니다.

MongoDB Helm 차트는 두 명의 사용자를 생성합니다. 이 사용자들의 비밀번호는 Vault 시크릿에 저장해야 합니다.

비밀번호와 같은 민감한 데이터는 Vault 시크릿 내에 JSON 형식의 키-값 쌍으로 저장해야 합니다.

여러 단계의 비밀번호가 필요한 경우, 모든 비밀번호를 포함하는 단일 JSON 객체를 생성하거나 기존 JSON 객체를 추가 값으로 업데이트하십시오.

{
    "mongodb-cdrp-password": "",
    "mongodb-admin-password": ""
}

3.3 [선택 사항] ReversingLabs 자격 증명 추가​

Halo를 ReversingLabs와 통합하려면 ReversingLabs 자격 증명을 Key Vault에 저장합니다.

{
    "reversinglabs_username": "",
    "reversinglabs_password": ""
}

3.4 [선택 사항] ICAP mTLS 인증서 추가​

ICAP 서버는 mTLS 인증서를 사용한 상호 클라이언트 인증으로 구성할 수 있습니다.

인증서는 Kubernetes secret으로 ICAP 서버 pod에 마운트됩니다. 서버 인증서와 인증 기관 인증서를 Oracle Vault에 추가하여 Kubernetes secret으로 동기화할 수 있도록 합니다.

{ 
    "tls-server-cert": "<content of mtls-server-cert.pem>",
    "tls-server-key": "<content of mtls-server-key.pem>",
    "tls-cafile": "<content of mtls-ca-cert.pem>"
}