Langkah 3 - Tambah rahsia dalam Key Vault

Rentetan sambungan akaun storan

Untuk membolehkan akses Glasswall Halo kepada akaun storan pelaporan ('saname'), rentetan sambungan diperlukan dalam Key Vault.

Anda boleh mendapatkan rentetan sambungan melalui Azure Portal atau melalui Azure CLI seperti yang ditunjukkan dalam contoh di bawah. Hanya ingat untuk memasukkan akaun storan dan kumpulan sumber anda.

az storage account show-connection-string --name "${saname}" -g "${rgp}"

Masukkan connection string anda (diserlahkan dalam tangkapan skrin) dengan menggantikan ${saconnstring}, dan masukkan Key Vault anda dengan menggantikan ${kvname} (seperti di bawah).

az keyvault secret set --name "azure-storage-connectionstring" --vault-name "${kvname}" --value "${saconnstring}"

3.2A - Pilihan pangkalan data 1 - MongoDB connection string

Untuk mendayakan sambungan Halo ke Database, connection string MongoDB perlu dicipta dalam Key Vault

Anda boleh mendapatkan semula connection string bagi CosmosDB (serasi dengan MongoDB) melalui Azure Portal atau melalui Azure CLI seperti yang ditunjukkan dalam contoh di bawah.

Nota: ingat untuk memasukkan nama akaun CosmosDB dan resource group anda.

Arahan ini akan memberikan senarai 4 connection string. Anda boleh menggunakan mana-mana satu daripada 2 connection string yang pertama. Anda tidak boleh menggunakan connection string baca sahaja.

az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"

Masukkan connection string anda (diserlahkan dalam tangkapan skrin) dengan menggantikan ${mongodb_connstring}, dan masukkan Key Vault anda dengan menggantikan ${kvname} (seperti di bawah).

az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"

Tambahkan kata laluan MongoDB ke Azure Key Vault sebagai secret

Nota: jika anda sebelum ini telah mengkonfigurasi dan menyediakan MongoDB dalam Azure serta mencipta MongoDB connection string anda seperti yang disenaraikan di atas, anda boleh melangkau langkah ini.

Jika tidak, untuk membolehkan Policy Management API Glasswall Halo mencipta dan mengurus policy dalam MongoDB, dan Asynchronous API mencipta serta mengurus permintaan, MongoDB perlu digunakan menggunakan Helm charts yang disenaraikan dalam Langkah 8.

Dua pengguna akan dicipta oleh MongoDB Helm chart dan kata laluan pengguna yang sepadan perlu ditetapkan dalam Vault secret.

az keyvault secret set --name "mongodb-cdrp-password" --vault-name "${kvname}" --value "<cdrp-user-password>"
az keyvault secret set --name "mongodb-admin-password" --vault-name "${kvname}" --value "<admin-user-password>"

3.2B - Pilihan pangkalan data 2 - rentetan sambungan CosmosDB

Jika CosmosDB disediakan dan bukannya MongoDB, rentetan sambungan Cosmos perlu ditambahkan ke Key Vault.

Anda boleh mendapatkan semula rentetan sambungan CosmosDB melalui Azure Portal atau melalui Azure CLI seperti yang ditunjukkan dalam contoh di bawah. Hanya ingat untuk memasukkan nama akaun Cosmos DB dan kumpulan sumber anda. Perintah itu akan memberikan senarai 4 rentetan sambungan. Anda boleh menggunakan mana-mana satu daripada 2 rentetan sambungan yang pertama. Anda tidak boleh menggunakan rentetan sambungan baca sahaja.

az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"

Masukkan connection string anda (diserlahkan dalam tangkapan skrin) dengan menggantikan ${mongodb_connstring}, dan masukkan Key Vault anda dengan menggantikan ${kvname} (seperti di bawah).

az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"

3.3 - Pilihan: Tambah kelayakan ReversingLabs

Untuk menyepadukan Halo dengan ReversingLabs, tambahkan kelayakan ReversingLabs ke Key Vault. Gantikan ${reversinglabs_username} dan ${reversinglabs_password} dengan nama pengguna dan kata laluan sebenar.

az keyvault secret set --name "halo-reversinglabs-username" --vault-name "${kvname}" --value "${reversinglabs_username}"
az keyvault secret set --name "halo-reversinglabs-password" --vault-name "${kvname}" --value "${reversinglabs_password}"

3.4 - Pilihan: Tambah sijil ICAP MTLS

Pelayan ICAP boleh dikonfigurasikan untuk pengesahan klien bersama menggunakan sijil MTLS.

Sijil akan dipasang pada pod pelayan ICAP menggunakan Kubernetes secrets. Tambahkan sijil pelayan dan autoriti sijil ke Key Vault supaya ia boleh disegerakkan ke Kubernetes secrets.

az keyvault secret set --vault-name "${kvname}" --name tls-server-cert -f <path/to/mtls-server-cert.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-server-key -f <path/to/mtls-server-key.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-cafile -f <path/to/mtls-ca-cert.pem>

3.5 - Pilihan: Konfigurasikan pemantauan storan untuk M365

Untuk mendayakan integrasi pemantauan storan M365, anda perlu menambahkan kelayakan pendaftaran aplikasi Microsoft Entra anda ke Key Vault.

Integrasi ini memerlukan nilai berikut:

Client ID
ID Tenant
Rahsia klien

Gunakan arahan di bawah untuk menambah rahsia ini ke Key Vault anda:

az keyvault secret set --name "graphapi-clientid" --vault-name "${kvname}" --value "<client_id>"
az keyvault secret set --name "graphapi-tenantid" --vault-name "${kvname}" --value "<tenant_id>"
az keyvault secret set --name "graphapi-clientsecret" --vault-name "${kvname}" --value "<client_secret>"

Jika anda belum mempunyai nilai ini, rujuk Panduan Persediaan Pemantauan Storan M365 kami untuk arahan tentang cara mendapatkannya.

Teruskan

Perlukan bantuan?

Rentetan sambungan akaun storan​

3.2A - Pilihan pangkalan data 1 - MongoDB connection string​

Tambahkan kata laluan MongoDB ke Azure Key Vault sebagai secret​

3.2B - Pilihan pangkalan data 2 - rentetan sambungan CosmosDB​

3.3 - Pilihan: Tambah kelayakan ReversingLabs​

3.4 - Pilihan: Tambah sijil ICAP MTLS​

3.5 - Pilihan: Konfigurasikan pemantauan storan untuk M365​