密钥的存储

概述

Zabbix 可配置为从安全保管库中检索敏感信息。支持以下密钥管理服务:HashiCorp Vault KV Secrets Engine - Version 2、CyberArk Vault CV12。

密钥可用于获取:

Zabbix 对保管库中的密钥提供只读访问,前提是这些密钥由其他人管理。

有关特定保险库提供者配置的信息,请参阅以下链接:

密钥值缓存

默认情况下,vault 密钥宏值会在每次配置数据刷新时由 Zabbix 服务器检索,然后存储在配置缓存中。Zabbix proxy 会在每次配置同步时从 Zabbix 服务器接收 vault 密钥宏的值,并将其存储在自己的配置缓存中。

Zabbix 服务器和 proxy 之间必须启用加密;否则会记录一条服务器警告消息。

也可以配置为由 Zabbix 服务器和 Zabbix proxy 独立检索宏值。

要手动触发从 vault 刷新已缓存的密钥值,请使用 secrets_reload 命令行选项

对于 Zabbix 前端数据库凭据,默认情况下缓存是禁用的,但可以在 zabbix.conf.php 中设置选项 $DB['VAULT_CACHE'] = true 来启用。凭据将使用文件系统临时文件目录存储在本地缓存中。Web 服务器必须允许在私有临时文件夹中写入(例如,对于 Apache,必须设置配置选项 PrivateTmp=True)。要控制数据缓存刷新的/失效的频率,请使用 ZBX_DATA_CACHE_TTL 常量

TLS 配置

要为 Zabbix 组件与 vault 之间的通信配置 TLS,请将由证书颁发机构(CA)签名的证书添加到系统范围的默认 CA 存储中。
如需使用其他位置,请在 SSLCALocation Zabbix server/proxy 配置参数中指定该目录,
将证书文件放入该目录,然后运行 CLI command

c_rehash .