Chuyển đến nội dung chính

Bước 3 - Thêm secret vào Vault

3.1 Tạo Dynamic Group và IAM Policy

Dynamic Group và IAM Policy cùng nhau cấp cho các node của cụm OKE quyền đồng bộ secret từ Vault sang Kubernetes.

Thay thế <dynamic-group-name><iam-policy-name> bằng các giá trị phù hợp với môi trường của bạn.

oci iam dynamic-group create --name "<dynamic-group-name>" \
--description "Dynamic Group for OKE cluster nodes" \
--matching-rule "instance.compartment.id='${compartment_ocid}'"

oci iam policy create -c ${compartment_ocid} --name '<iam-policy-name>' \
--description "Oracle vault secrets access for OKE" \
--statements "[\"Allow dynamic-group <dynamic-group-name> to read secret-family in compartment <oracle-compartment-name> where target.vault.id='${vault_ocid}'\"]"

3.2 Thêm mật khẩu MongoDB vào secret Vault

Lưu ý: nếu bạn không có kế hoạch quản lý policy hoặc sử dụng Asynchronous API, bạn có thể bỏ qua bước này.

Để cho phép Glasswall Halo Policy Management API tạo và quản lý các policy trong MongoDB, đồng thời Asynchronous API xử lý các yêu cầu, MongoDB phải được triển khai bằng Helm charts.

MongoDB Helm chart tạo hai người dùng. Mật khẩu của những người dùng này phải được lưu trữ trong một Vault secret.

Dữ liệu nhạy cảm, chẳng hạn như mật khẩu, phải được lưu trữ dưới dạng các cặp khóa-giá trị ở định dạng JSON trong Vault secret.

Nếu cần mật khẩu từ nhiều bước, hãy tạo một đối tượng JSON duy nhất chứa tất cả mật khẩu hoặc cập nhật đối tượng JSON hiện có với các giá trị bổ sung.

{
    "mongodb-cdrp-password": "",
    "mongodb-admin-password": ""
}

3.3 [Tùy chọn] Thêm thông tin xác thực ReversingLabs

Để tích hợp Halo với ReversingLabs, hãy lưu trữ thông tin xác thực ReversingLabs trong Key Vault.

{
    "reversinglabs_username": "",
    "reversinglabs_password": ""
}

3.4 [Tùy chọn] Thêm chứng chỉ ICAP mTLS

Các máy chủ ICAP có thể được cấu hình để xác thực máy khách hai chiều bằng chứng chỉ mTLS.

Các chứng chỉ được gắn vào các pod máy chủ ICAP dưới dạng Kubernetes secrets. Thêm chứng chỉ máy chủ và chứng chỉ của certificate authority vào Oracle Vault để chúng có thể được đồng bộ thành Kubernetes secrets.

{ 
    "tls-server-cert": "<content of mtls-server-cert.pem>",
    "tls-server-key": "<content of mtls-server-key.pem>",
    "tls-cafile": "<content of mtls-ca-cert.pem>"
}

Tiếp tục

Cần trợ giúp?

Cập nhật lần cuối vào