Конфигурация HashiCorp

Обзор

В этом разделе объясняется, как настроить Zabbix для извлечения секретов из HashiCorp Vault KV Secrets Engine - Version 2.

Хранилище должно быть развёрнуто и настроено, как описано в официальной документации HashiCorp [en].

Чтобы узнать о настройке TLS в Zabbix, смотрите Хранение секретов.

Получение учетных данных базы данных

Чтобы успешно получить секрет с учетными данными базы данных, необходимо настроить оба компонента:

  • Zabbix сервер/прокси
  • Zabbix веб-интерфейс
Сервер/прокси

Чтобы настроить Zabbix сервер или прокси, укажите следующие параметры конфигурации в файле конфигурации:

  • Vault - какой поставщик vault следует использовать;
  • VaultToken - токен аутентификации vault (подробности см. в файле конфигурации Zabbix сервер/прокси);
  • VaultURL - HTTP[S]-URL сервера vault;
  • VaultDBPath - путь к секрету vault, содержащему учетные данные базы данных (этот параметр можно использовать только если не указаны DBUser и DBPassword); Zabbix сервер или прокси получит учетные данные по ключам "password" и "username";
  • VaultPrefix - пользовательский префикс для пути или запроса vault, в зависимости от vault; если не указан, будет использовано наиболее подходящее значение по умолчанию.

Параметры конфигурации Vault, VaultToken, VaultURL и VaultPrefix также используются для аутентификации в vault при обработке макросов secret vault Zabbix сервером (и Zabbix прокси, если настроен). Zabbix сервер и прокси не будут открывать макросы secret vault, которые содержат учетные данные БД из VaultDBPath.

Настоятельно рекомендуется использовать разные токены для разных прокси.

Zabbix сервер и Zabbix прокси считывают связанные с vault параметры конфигурации из zabbix_server.conf и zabbix_proxy.conf при запуске. Кроме того, Zabbix сервер и Zabbix прокси один раз при запуске считывают переменную окружения VAULT_TOKEN и затем удаляют ее, чтобы она не была доступна через порожденные скрипты; это ошибка, если параметры VaultToken и VAULT_TOKEN содержат значение одновременно.

Пример

  1. В zabbix_server.conf укажите следующие параметры:
Vault=HashiCorp
VaultToken=hvs.CAESIIG_PILmULFYOsEyWHxkZ2mF2a8VPKNLE8eHqd4autYGGh4KHGh2cy5aeTY0NFNSaUp3ZnpWbDF1RUNjUkNTZEg
VaultURL=https://127.0.0.1:8200
VaultDBPath=database
VaultPrefix=/v1/secret/data/zabbix/
  1. Выполните следующие команды CLI, чтобы создать необходимый секрет в vault:
# Включите точку монтирования "secret/", если она еще не включена; обратите внимание, что необходимо использовать "kv-v2".
vault secrets enable -path=secret/ kv-v2

# Добавьте новые секреты с ключами username и password в точку монтирования "secret/" и путь "zabbix/database".
vault kv put -mount=secret zabbix/database username=zabbix password=<password>

# Проверьте, что секрет успешно добавлен.
vault kv get secret/zabbix/database

# Наконец, проверьте с помощью Curl; обратите внимание, что "data" нужно добавить вручную после точки монтирования, а "/v1" - перед точкой монтирования, также см. параметр --capath.
curl --header "X-Vault-Token: <VaultToken>" https://127.0.0.1:8200/v1/secret/data/zabbix/database
  1. В результате сервер Zabbix будет получать следующие учетные данные для аутентификации в базе данных:
  • Имя пользователя: zabbix
  • Пароль: <password>
Веб-интерфейс

Веб-интерфейс Zabbix можно настроить для получения учётных данных базы данных из хранилища либо во время установки веб-интерфейса, либо путём обновления файла конфигурации веб-интерфейса (zabbix.conf.php).

Если учётные данные хранилища были изменены с момента предыдущей установки веб-интерфейса, перезапустите установку веб-интерфейса или обновите zabbix.conf.php. Смотрите также: Обновление существующей конфигурации.

Во время установки веб-интерфейса параметры конфигурации должны быть указаны на шаге Настройка соединения с базой данных (Configure DB Connection):

  • Установите параметр Хранить учетные данные в (Store credentials in) в значение «HashiCorp Vault».
  • Укажите параметры подключения:
Параметр Обязательный Значение по умолчанию Описание
API endpoint Хранилища
(Vault API endpoint)
да https://localhost:8200 Укажите URL для подключения к хранилищу в формате схема://хост:порт
Префикс Хранилища
(Vault prefix)
нет /v1/secret/data/ Укажите пользовательский префикс для пути или запроса хранилища. Если не указано, используется значение по умолчанию.
Пример: /v1/secret/data/zabbix/
Путь к секрету Хранилища
(Vault secret path)
нет Путь к секрету, из которого будут извлечены учётные данные для базы данных по ключам «password» и «username».
Пример: database
Токен аутентификации Хранилища
(Vault authentication token)
нет Предоставьте токен аутентификации для доступа только для чтения к секретному пути.
Смотрите документацию HashiCorp [en] для получения информации о создании токенов и политик хранилища.

Получение значений пользовательских макросов

Чтобы использовать HashiCorp Vault для хранения значений пользовательских макросов Vault secret, убедитесь, что:

  • Zabbix сервер/прокси настроен для работы с HashiCorp Vault.
  • Параметр Vault provider в Administration > General > Other установлен в значение "HashiCorp Vault" (по умолчанию).

Zabbix сервер (и Zabbix прокси, если настроен) требует доступа к значениям макросов Vault secret из хранилища. Веб-интерфейс Zabbix не нуждается в таком доступе.

Значение макроса должно содержать ссылочный путь (в виде path:key, например, macros:password). Токен аутентификации, указанный при настройке Zabbix сервер/прокси (с помощью параметра VaultToken), должен предоставлять доступ только для чтения к этому пути.

Подробную информацию о обработке значений макросов Zabbix см. в разделе Vault secret macros.

Синтаксис пути

Прямая косая черта («/») и двоеточие («:») являются зарезервированными символами.

Прямая косая черта может использоваться только для отделения точки монтирования от пути (например, secret/zabbix, где точка монтирования — «secret», а путь — «zabbix»). В случае макросов Хранилища двоеточие может использоваться только для отделения пути/запроса от ключа.

Можно использовать URL-кодирование символов косой черты и двоеточия, если необходимо создать точку монтирования с именем, разделённым косой чертой (например, foo/bar/zabbix, где точка монтирования — «foo/bar», а путь — «zabbix», можно закодировать как «foo%2Fbar/zabbix»), и если имя или путь точки монтирования должны содержать двоеточие.

Пример

  1. В Zabbix добавьте пользовательский макрос {$PASSWORD} с типом «Секрет Хранилища» и со значением macros:password

  1. Выполните следующие команды CLI, чтобы создать требуемый секрет в хранилище:
# Включите точку монтирования «secret/», если она еще не включена; обратите внимание, что нужно использовать «kv-v2».
vault secrets enable -path=secret/ kv-v2

# Поместите новый секрет с ключом password под точкой монтирования «secret/» и путём «secret/zabbix».
vault kv put -mount=secret zabbix/macros password=<пароль>

# Проверьте, что секрет успешно добавлен.
vault kv get secret/zabbix/macros

# Наконец, проверьте с помощью Curl, обратите внимание, что необходимо добавить вручную «data» после точки монтирования и «/v1» перед точкой монтирования, также смотрите параметр --capath.
curl --header "X-Vault-Token: <VaultToken>" https://127.0.0.1:8200/v1/secret/data/zabbix/macros
  1. В результате Zabbix раскроет макрос {$PASSWORD} в значение: <пароль>

Обновление существующей конфигурации

Чтобы обновить существующую конфигурацию для получения секретов из HashiCorp Vault:

  1. Обновите параметры файла конфигурации сервера или прокси Zabbix, как описано в разделе Database credentials.

  2. Обновите настройки подключения к БД, перенастроив веб-интерфейс Zabbix и указав требуемые параметры, как описано в разделе Frontend. Чтобы перенастроить веб-интерфейс Zabbix, откройте в браузере URL настройки веб-интерфейса:

  • для Apache: http://<server_ip_or_name>/zabbix/setup.php
  • для Nginx: http://<server_ip_or_name>/setup.php

В качестве альтернативы эти параметры можно задать в файле конфигурации веб-интерфейса (zabbix.conf.php):

$DB['VAULT']                    = 'HashiCorp';
$DB['VAULT_URL']                = 'https://localhost:8200';
$DB['VAULT_DB_PATH']            = 'database';
$DB['VAULT_TOKEN']              = '<mytoken>';
$DB['VAULT_CERT_FILE']          = '';
$DB['VAULT_KEY_FILE']           = '';
$DB['VAULT_PREFIX']             = '/v1/secret/data/zabbix/';
  1. При необходимости настройте пользовательские макросы, как описано в разделе User macro values.

Чтобы обновить существующую конфигурацию для получения секретов из CyberArk Vault, см. CyberArk configuration.