Langkau ke kandungan utama

Langkah 3 - Tambah rahsia ke Vault

3.1 Cipta Dynamic Group dan IAM Policy

Dynamic Group dan IAM Policy bersama-sama memberikan nod kluster OKE kebenaran untuk menyegerakkan rahsia Vault ke Kubernetes.

Gantikan <dynamic-group-name> dan <iam-policy-name> dengan nilai yang sesuai untuk persekitaran anda.

oci iam dynamic-group create --name "<dynamic-group-name>" \
--description "Dynamic Group for OKE cluster nodes" \
--matching-rule "instance.compartment.id='${compartment_ocid}'"

oci iam policy create -c ${compartment_ocid} --name '<iam-policy-name>' \
--description "Oracle vault secrets access for OKE" \
--statements "[\"Allow dynamic-group <dynamic-group-name> to read secret-family in compartment <oracle-compartment-name> where target.vault.id='${vault_ocid}'\"]"

3.2 Tambah kata laluan MongoDB ke rahsia Vault

Nota: jika anda tidak merancang untuk mengurus policy atau menggunakan Asynchronous API, anda boleh melangkau langkah ini.

Untuk membolehkan Glasswall Halo Policy Management API mencipta dan mengurus policy dalam MongoDB, dan Asynchronous API memproses permintaan, MongoDB mesti digunakan menggunakan carta Helm.

Carta Helm MongoDB mencipta dua pengguna. Kata laluan untuk pengguna ini mesti disimpan dalam rahsia Vault.

Data sensitif, seperti kata laluan, mesti disimpan sebagai pasangan nilai kunci dalam format JSON di dalam rahsia Vault.

Jika kata laluan daripada berbilang langkah diperlukan, cipta satu objek JSON yang mengandungi semua kata laluan atau kemas kini objek JSON sedia ada dengan nilai tambahan.

{
    "mongodb-cdrp-password": "",
    "mongodb-admin-password": ""
}

3.3 [Pilihan] Tambah kelayakan ReversingLabs

Untuk menyepadukan Halo dengan ReversingLabs, simpan kelayakan ReversingLabs dalam Key Vault.

{
    "reversinglabs_username": "",
    "reversinglabs_password": ""
}

3.4 [Pilihan] Tambah sijil ICAP mTLS

Pelayan ICAP boleh dikonfigurasikan untuk pengesahan klien bersama menggunakan sijil mTLS.

Sijil dipasang pada pod pelayan ICAP sebagai rahsia Kubernetes. Tambahkan sijil pelayan dan sijil pihak berkuasa sijil ke Oracle Vault supaya ia boleh disegerakkan ke rahsia Kubernetes.

{ 
    "tls-server-cert": "<content of mtls-server-cert.pem>",
    "tls-server-key": "<content of mtls-server-key.pem>",
    "tls-cafile": "<content of mtls-ca-cert.pem>"
}

Teruskan

Perlukan bantuan?

Terakhir dikemas kini pada