13 密钥存储

概述

Zabbix 可以配置为从安全 vault 中检索敏感信息。支持以下密钥管理服务:HashiCorp Vault KV Secrets Engine - Version 2、CyberArk Vault CV12。

密钥可用于检索:

Zabbix 提供对 vault 中密钥的只读访问,前提是这些密钥由其他人进行管理。

有关特定保管库提供程序的配置信息,请参见:

密钥值的缓存

Vault 密钥宏值会在每次刷新配置数据时由 Zabbix 服务器检索,然后存储在配置缓存中。Zabbix proxy 会在每次配置同步时从 Zabbix 服务器接收 vault 密钥宏的值,并将其存储在自身的配置缓存中。

Zabbix 服务器和 proxy 之间必须启用加密;否则会记录一条服务器警告消息。

要手动触发从 vault 刷新已缓存的密钥值,请使用 'secrets_reload' 命令行 选项

对于 Zabbix 前端,数据库凭据缓存默认处于禁用状态,但可以通过在 zabbix.conf.php 中设置选项 $DB['VAULT_CACHE'] = true 来启用。凭据将使用文件系统临时文件目录存储在本地缓存中。web 服务器必须允许在私有临时文件夹中写入(例如,对于 Apache,必须设置配置选项 PrivateTmp=True)。要控制数据缓存刷新的/失效的频率,请使用 ZBX_DATA_CACHE_TTL 常量

TLS配置

要为 Zabbix 组件与 vault 之间的通信配置 TLS,请将由证书颁发机构 (CA) 签署的证书添加到系统范围的默认 CA 存储中。 要使用其他位置,请在SSLCALocation Zabbix server/proxy 配置参数中指定目录, 将证书 file 放入该目录中,然后 run 命令行界面(CLI)command

c_rehash .