Chuyển đến nội dung chính

Bước 3 - Thêm secrets vào Key Vault

Chuỗi kết nối tài khoản lưu trữ

Để bật quyền truy cập của Glasswall Halo vào tài khoản lưu trữ báo cáo ('saname'), cần có chuỗi kết nối trong Key Vault.

Bạn có thể lấy chuỗi kết nối thông qua Azure Portal hoặc qua Azure CLI như minh họa trong ví dụ bên dưới. Chỉ cần nhớ nhập tài khoản lưu trữ và nhóm tài nguyên của bạn.

az storage account show-connection-string --name "${saname}" -g "${rgp}"

image.png

  • Nhập chuỗi kết nối của bạn (được tô sáng trong ảnh chụp màn hình) bằng cách thay thế ${saconnstring}, và nhập Key Vault của bạn bằng cách thay thế ${kvname} (như bên dưới).
az keyvault secret set --name "azure-storage-connectionstring" --vault-name "${kvname}" --value "${saconnstring}"

3.2A - Tùy chọn cơ sở dữ liệu 1 - Chuỗi kết nối MongoDB

Để bật kết nối của Halo tới Cơ sở dữ liệu, chuỗi kết nối của MongoDB phải được tạo trong Key Vault

  • Bạn có thể truy xuất chuỗi kết nối của CosmosDB (tương thích MongoDB) thông qua Azure Portal hoặc qua Azure CLI như minh họa trong ví dụ bên dưới.

Lưu ý: hãy nhớ nhập tên tài khoản CosmosDB và nhóm tài nguyên của bạn.

Lệnh này sẽ cung cấp danh sách gồm 4 chuỗi kết nối. Bạn có thể sử dụng bất kỳ một trong 2 chuỗi kết nối đầu tiên. Bạn không thể sử dụng các chuỗi kết nối chỉ đọc.

az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"
  • Nhập chuỗi kết nối của bạn (được tô sáng trong ảnh chụp màn hình) bằng cách thay thế ${mongodb_connstring}, và nhập Key Vault của bạn bằng cách thay thế ${kvname} (như bên dưới).
az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"

Thêm mật khẩu MongoDB vào Azure Key Vault dưới dạng secret

Lưu ý: nếu trước đó bạn đã cấu hình và thiết lập MongoDB trong Azure và đã tạo chuỗi kết nối MongoDB như liệt kê ở trên, bạn có thể bỏ qua bước này.

Nếu không, để bật Policy Management API của Glasswall Halo tạo và quản lý các policy trong MongoDB, và Asynchronous API tạo và quản lý các yêu cầu, MongoDB cần được triển khai bằng các Helm chart được liệt kê trong Bước 8.

Hai người dùng sẽ được tạo bởi MongoDB Helm chart và mật khẩu của người dùng tương ứng cần được đặt trong Vault secret.

az keyvault secret set --name "mongodb-cdrp-password" --vault-name "${kvname}" --value "<cdrp-user-password>"
az keyvault secret set --name "mongodb-admin-password" --vault-name "${kvname}" --value "<admin-user-password>"

3.2B - Tùy chọn cơ sở dữ liệu 2 - Chuỗi kết nối CosmosDB

Nếu CosmosDB được thiết lập thay cho MongoDB, chuỗi kết nối Cosmos cần được thêm vào Key Vault.

Bạn có thể lấy chuỗi kết nối của CosmosDB thông qua Azure Portal hoặc qua Azure CLI như minh họa trong ví dụ bên dưới. Chỉ cần nhớ nhập tên tài khoản Cosmos DB và resource group của bạn. Lệnh này sẽ cung cấp danh sách 4 chuỗi kết nối. Bạn có thể sử dụng bất kỳ một trong 2 chuỗi kết nối đầu tiên. Bạn không thể sử dụng các chuỗi kết nối chỉ đọc.

az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"

Nhập chuỗi kết nối của bạn (được tô sáng trong ảnh chụp màn hình) bằng cách thay thế ${mongodb_connstring}, và nhập Key Vault của bạn bằng cách thay thế ${kvname} (như bên dưới).

az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"

3.3 - Tùy chọn: Thêm thông tin xác thực ReversingLabs

Để tích hợp Halo với ReversingLabs, hãy thêm thông tin xác thực của ReversingLabs vào Key Vault. Thay thế ${reversinglabs_username}${reversinglabs_password} bằng tên người dùng và mật khẩu thực tế.

az keyvault secret set --name "halo-reversinglabs-username" --vault-name "${kvname}" --value "${reversinglabs_username}"
az keyvault secret set --name "halo-reversinglabs-password" --vault-name "${kvname}" --value "${reversinglabs_password}"

3.4 - Tùy chọn: Thêm chứng chỉ ICAP MTLS

Các máy chủ ICAP có thể được cấu hình để xác thực máy khách hai chiều bằng chứng chỉ MTLS.

Các chứng chỉ sẽ được mount vào các pod máy chủ ICAP bằng Kubernetes secrets. Hãy thêm chứng chỉ máy chủ và certificate authority vào Key Vault để chúng có thể được đồng bộ sang Kubernetes secrets.

az keyvault secret set --vault-name "${kvname}" --name tls-server-cert -f <path/to/mtls-server-cert.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-server-key -f <path/to/mtls-server-key.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-cafile -f <path/to/mtls-ca-cert.pem>

3.5 - Tùy chọn: Cấu hình giám sát lưu trữ cho M365

Để bật tích hợp giám sát lưu trữ M365, bạn sẽ cần thêm thông tin xác thực đăng ký ứng dụng Microsoft Entra của mình vào Key Vault.

Tích hợp này yêu cầu các giá trị sau:

  • Client ID
  • ID tenant
  • Client secret

Sử dụng các lệnh bên dưới để thêm các secret này vào Key Vault của bạn:

az keyvault secret set --name "graphapi-clientid" --vault-name "${kvname}" --value "<client_id>"
az keyvault secret set --name "graphapi-tenantid" --vault-name "${kvname}" --value "<tenant_id>"
az keyvault secret set --name "graphapi-clientsecret" --vault-name "${kvname}" --value "<client_secret>"

Nếu bạn chưa có các giá trị này, hãy tham khảo Hướng dẫn thiết lập Storage Monitoring M365 của chúng tôi để biết cách lấy chúng.

Tiếp tục

Cần trợ giúp?

Cập nhật lần cuối vào