13. Хранение секретов
Обзор
Zabbix можно настроить для получения конфиденциальной информации из защищенного хранилища. Поддерживаются следующие службы управления секретами: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.
Секреты можно использовать для получения:
- значений пользовательских макросов
- учетных данных для доступа к базе данных
Zabbix предоставляет доступ только для чтения к секретам в хранилище, предполагая, что управление секретами осуществляется кем-то другим.
Информацию о настройках конкретного поставщика хранилища смотрите в разделах:
Кэширование секретных значений
По умолчанию значения макросов секретов vault извлекаются сервером Zabbix при каждом обновлении данных конфигурации и затем сохраняются в кэше конфигурации. Прокси Zabbix получает значения макросов секретов vault от сервера Zabbix при каждой синхронизации конфигурации и сохраняет их в собственном кэше конфигурации.
Между сервером Zabbix и прокси должно быть включено шифрование; в противном случае в журнале будет записано предупреждающее сообщение сервера.
Также можно настроить так, чтобы значения макросов извлекались сервером Zabbix и прокси Zabbix независимо друг от друга.
Чтобы вручную запустить обновление кэшированных секретных значений из vault, используйте командную опцию secrets_reload.
Для учетных данных базы данных веб-интерфейса Zabbix кэширование по умолчанию отключено, но его можно включить, установив в zabbix.conf.php параметр $DB['VAULT_CACHE'] = true. Учетные данные будут храниться в локальном кэше с использованием каталога временных файлов файловой системы. Веб-сервер должен разрешать запись в частную временную папку (например, для Apache необходимо задать параметр конфигурации PrivateTmp=True). Чтобы управлять тем, как часто кэш данных обновляется или становится недействительным, используйте константу ZBX_DATA_CACHE_TTL constant.
Конфигурация TLS
Чтобы настроить TLS для связи между компонентами Zabbix и хранилищем, добавьте сертификат, подписанный центром сертификации (CA), в системное хранилище CA по умолчанию.
Чтобы использовать другое расположение, укажите каталог в параметре конфигурации Zabbix server/proxy SSLCALocation,
поместите файл сертификата в этот каталог, затем выполните CLI command:
c_rehash .