ขั้นตอนที่ 3 - เพิ่ม secrets ใน Key Vault

Storage account connection string

เพื่อเปิดใช้งานการเข้าถึงของ Glasswall Halo ไปยัง reporting storage account ('saname') จำเป็นต้องมี connection string ใน Key Vault

คุณสามารถดึง connection string ได้ผ่าน Azure Portal หรือผ่าน Azure CLI ดังที่แสดงในตัวอย่างด้านล่าง เพียงอย่าลืมป้อน storage account และ resource group ของคุณ

az storage account show-connection-string --name "${saname}" -g "${rgp}"

ป้อน connection string ของคุณ (ที่ไฮไลต์ไว้ในภาพหน้าจอ) โดยแทนที่ ${saconnstring} และป้อน Key Vault ของคุณโดยแทนที่ ${kvname} (ดังตัวอย่างด้านล่าง)

az keyvault secret set --name "azure-storage-connectionstring" --vault-name "${kvname}" --value "${saconnstring}"

3.2A - ตัวเลือกฐานข้อมูล 1 - MongoDB connection string

เพื่อเปิดใช้งานการเชื่อมต่อของ Halo กับฐานข้อมูล ควรสร้าง connection string ของ MongoDB ใน Key Vault

คุณสามารถดึง connection string ของ CosmosDB (ที่เข้ากันได้กับ MongoDB) ผ่าน Azure Portal หรือผ่าน Azure CLI ดังที่แสดงในตัวอย่างด้านล่าง

หมายเหตุ: อย่าลืมป้อนชื่อบัญชี CosmosDB และ resource group ของคุณ

คำสั่งนี้จะแสดงรายการ connection string จำนวน 4 รายการ คุณสามารถใช้ connection string ใดก็ได้จาก 2 รายการแรก คุณไม่สามารถใช้ connection string แบบอ่านอย่างเดียวได้

az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"

ป้อน connection string ของคุณ (ที่ไฮไลต์ไว้ในภาพหน้าจอ) โดยแทนที่ ${mongodb_connstring} และป้อน Key Vault ของคุณโดยแทนที่ ${kvname} (ดังตัวอย่างด้านล่าง)

az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"

เพิ่มรหัสผ่าน MongoDB ไปยัง Azure Key Vault เป็น secret

หมายเหตุ: หากคุณได้กำหนดค่าและตั้งค่า MongoDB ภายใน Azure ไว้ก่อนหน้านี้ และได้สร้าง MongoDB connection string ตามที่ระบุไว้ข้างต้นแล้ว คุณสามารถข้ามขั้นตอนนี้ได้

หากยังไม่ได้ดำเนินการ เพื่อให้ Policy Management API ของ Glasswall Halo สามารถสร้างและจัดการ policy ใน MongoDB และเพื่อให้ Asynchronous API สามารถสร้างและจัดการคำขอได้ จำเป็นต้อง deploy MongoDB โดยใช้ Helm charts ที่ระบุไว้ในขั้นตอนที่ 8

ผู้ใช้สองรายจะถูกสร้างโดย MongoDB Helm chart และจำเป็นต้องตั้งรหัสผ่านของผู้ใช้ที่เกี่ยวข้องไว้ใน Vault secret

az keyvault secret set --name "mongodb-cdrp-password" --vault-name "${kvname}" --value "<cdrp-user-password>"
az keyvault secret set --name "mongodb-admin-password" --vault-name "${kvname}" --value "<admin-user-password>"

3.2B - ตัวเลือกฐานข้อมูล 2 - สตริงการเชื่อมต่อ CosmosDB

หากตั้งค่า CosmosDB แทน MongoDB ควรเพิ่มสตริงการเชื่อมต่อของ Cosmos ลงใน Key Vault

คุณสามารถดึงสตริงการเชื่อมต่อของ CosmosDB ได้ผ่าน Azure Portal หรือผ่าน Azure CLI ตามที่แสดงในตัวอย่างด้านล่าง เพียงอย่าลืมป้อนชื่อบัญชี Cosmos DB และ resource group ของคุณ คำสั่งนี้จะแสดงรายการสตริงการเชื่อมต่อ 4 รายการ คุณสามารถใช้สตริงการเชื่อมต่อใดก็ได้จาก 2 รายการแรก คุณไม่สามารถใช้สตริงการเชื่อมต่อแบบอ่านอย่างเดียวได้

az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"

ป้อน connection string ของคุณ (ที่ไฮไลต์ไว้ในภาพหน้าจอ) โดยแทนที่ ${mongodb_connstring} และป้อน Key Vault ของคุณโดยแทนที่ ${kvname} (ดังตัวอย่างด้านล่าง)

az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"

3.3 - ไม่บังคับ: เพิ่มข้อมูลรับรอง ReversingLabs

หากต้องการผสานรวม Halo กับ ReversingLabs ให้เพิ่มข้อมูลรับรองของ ReversingLabs ลงใน Key Vault แทนที่ ${reversinglabs_username} และ ${reversinglabs_password} ด้วยชื่อผู้ใช้และรหัสผ่านจริง

az keyvault secret set --name "halo-reversinglabs-username" --vault-name "${kvname}" --value "${reversinglabs_username}"
az keyvault secret set --name "halo-reversinglabs-password" --vault-name "${kvname}" --value "${reversinglabs_password}"

3.4 - ไม่บังคับ: เพิ่มใบรับรอง ICAP MTLS

สามารถกำหนดค่าเซิร์ฟเวอร์ ICAP สำหรับการยืนยันตัวตนร่วมกันของไคลเอนต์โดยใช้ใบรับรอง MTLS ได้

ใบรับรองจะถูกเมานต์ไปยัง ICAP server pods โดยใช้ Kubernetes secrets เพิ่มใบรับรองเซิร์ฟเวอร์และ certificate authority ลงใน Key Vault เพื่อให้สามารถซิงค์ไปยัง Kubernetes secrets ได้

az keyvault secret set --vault-name "${kvname}" --name tls-server-cert -f <path/to/mtls-server-cert.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-server-key -f <path/to/mtls-server-key.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-cafile -f <path/to/mtls-ca-cert.pem>

3.5 - ไม่บังคับ: กำหนดค่าการตรวจสอบที่เก็บข้อมูลสำหรับ M365

หากต้องการเปิดใช้งานการผสานรวมการตรวจสอบที่เก็บข้อมูล M365 คุณจะต้องเพิ่มข้อมูลรับรอง app registration ของ Microsoft Entra ลงใน Key Vault

การผสานรวมนี้ต้องใช้ค่าต่อไปนี้:

Client ID
Tenant ID
Client secret

ใช้คำสั่งด้านล่างเพื่อเพิ่ม secrets เหล่านี้ไปยัง Key Vault ของคุณ:

az keyvault secret set --name "graphapi-clientid" --vault-name "${kvname}" --value "<client_id>"
az keyvault secret set --name "graphapi-tenantid" --vault-name "${kvname}" --value "<tenant_id>"
az keyvault secret set --name "graphapi-clientsecret" --vault-name "${kvname}" --value "<client_secret>"

หากคุณยังไม่มีค่าเหล่านี้ โปรดดูStorage Monitoring M365 Setup Guideของเราสำหรับคำแนะนำเกี่ยวกับวิธีรับค่าเหล่านี้

ดำเนินการต่อ

ต้องการความช่วยเหลือ?

Storage account connection string​

3.2A - ตัวเลือกฐานข้อมูล 1 - MongoDB connection string​

เพิ่มรหัสผ่าน MongoDB ไปยัง Azure Key Vault เป็น secret​

3.2B - ตัวเลือกฐานข้อมูล 2 - สตริงการเชื่อมต่อ CosmosDB​

3.3 - ไม่บังคับ: เพิ่มข้อมูลรับรอง ReversingLabs​

3.4 - ไม่บังคับ: เพิ่มใบรับรอง ICAP MTLS​

3.5 - ไม่บังคับ: กำหนดค่าการตรวจสอบที่เก็บข้อมูลสำหรับ M365​