设置数据代理组以使用外部HashiCorp存储
在创建需要Amazon S3、Azure或Google Cloud凭据的同步关系时、您需要通过BlueXP副本和同步用户界面或API指定这些凭据。另一种方法是设置数据代理组,以便直接从外部 HashiCorp 存储访问凭据(或 sects )。
此功能可通过具有需要Amazon S3、Azure或Google Cloud凭据的同步关系的BlueXP副本和同步API来支持。
通过设置 URL 来准备存储以向数据代理组提供凭据。存储中的机密 URL 必须以 _Creds_结尾 。
通过修改组中每个数据代理的本地配置文件,使数据代理组做好准备,以便从外部存储提取凭据。
设置完所有内容后,您可以发送 API 调用来创建同步关系,以使用存储获取密码。
准备存储
您需要提供BlueXP副本、并使用URL同步存储中的机密信息。通过设置这些 URL 来准备存储。您需要为计划创建的同步关系中的每个源和目标的凭据设置 URL 。
必须按如下所示设置 URL :
` /<path>/<RequestId>/<Endpoint-protocol>Creds`
- 路径
-
密钥的前缀路径。这可以是您独有的任何值。
- 请求 ID
-
需要生成的请求 ID 。创建同步关系时,您需要在 API POST 请求中的一个标题中提供 ID 。
- 端点协议
-
定义的以下协议之一 "在关系后 v2 文档中": S3 , Azure 或 GCP (每个都必须大写)。
- 创建
-
URL 必须以 _Creds_结尾 。
示例
以下示例显示了指向机密的 URL 。
- 源凭据的完整 URL 和路径示例
-
http://example.vault.com:8200/my-path/all-secrets/hb312vdasr2/S3Creds
如示例中所示,前缀路径为 //my-path/all-sects/ ,请求 ID 为 hb312vdasr2 ,源端点为 S3 。
- 目标凭据的完整 URL 和路径示例
-
http://example.vault.com:8200/my-path/all-secrets/n32hcbnejk2/AZURECreds
前缀路径为 //my-path/all-sections/_ ,请求 ID 为 n32hcbnejk2 ,目标端点为 Azure 。
准备数据代理组
通过修改组中每个数据代理的本地配置文件,使数据代理组做好准备,以便从外部存储提取凭据。
-
通过 SSH 连接到组中的数据代理。
-
编辑 /opt/netapp/databroker/config 中的 local.json 文件。
-
将 enable 设置为 * true * ,并按如下所示在 external-积分 .hashashicorp 下设置配置参数字段:
- enabled
-
-
有效值: true/false
-
类型:布尔值
-
默认值: false
-
true :数据代理从您自己的外部 HashiCorp Vault 获取机密
-
false :数据代理将凭据存储在其本地存储中
-
- url
-
-
键入: string
-
value :外部存储的 URL
-
- path
-
-
键入: string
-
value :使用凭据将路径前缀为密钥
-
- 拒绝 - 未授权
-
-
确定是否希望数据代理拒绝未经授权的外部存储
-
类型:布尔值
-
默认值: false
-
- auth-method
-
-
数据代理从外部存储访问凭据时应使用的身份验证方法
-
键入: string
-
有效值: "AWS-iam"/"role-app"/"GCP-iam"
-
- 角色名称
-
-
键入: string
-
您的角色名称(如果您使用 AWS-iam 或 GCP-iam )
-
- Secretid 和 rootid
-
-
type : string (如果使用 app-role )
-
- 命名空间
-
-
键入: string
-
命名空间(如果需要,则为 X-Vault-Namespace 标头)
-
-
对组中的任何其他数据代理重复上述步骤。
AWS 角色身份验证示例
GCP-iam 身份验证示例
使用存储中的密钥创建新的同步关系
设置完所有内容后,您可以发送 API 调用来创建同步关系,以使用存储获取密码。
使用BlueXP副本发布关系并同步REST API。
Headers: Authorization: Bearer <user-token> Content-Type: application/json x-account-id: <accountid> x-netapp-external-request-id-src: request ID as part of path for source credentials x-netapp-external-request-id-trg: request ID as part of path for target credentials Body: post relationship v2 body
-
要获取用户令牌和您的BlueXP帐户ID、 "请参见文档中的此页面"。
-
为您的后关系构建实体, "请参见 relationships-v2 API 调用"。
示例
POST 请求示例: