13 存储密钥
概述
Zabbix 可以配置为从安全保险库中检索敏感信息。支持以下秘密管理服务:HashiCorp Vault KV Secrets Engine - Version 2,CyberArk Vault CV12。
秘密可用于检索以下内容:
- 用户宏值
- 数据库访问凭据
Zabbix 提供对保险库中秘密的只读访问,假设秘密由其他人管理。
有关特定保险库提供者配置的信息,请参阅以下链接:
秘密值的缓存
Vault 秘密宏值由 Zabbix server在每次刷新配置数据时检索,并存储在配置缓存中。Zabbix proxy在每次配置同步时从 Zabbix server 接收 vault 秘密宏值,并将其存储在自己的配置缓存中。
必须在 Zabbix server 和proxy 之间启用加密;否则在server 日志中会有一条警告消息。
要手动触发从保险库中刷新缓存的秘密值,请使用 ‘secrets_reload’ 命令行 选项。
对于 Zabbix 前端数据库凭据,缓存默认情况下是禁用的,但可以通过在 zabbix.conf.php 中设置选项 $DB['VAULT_CACHE'] = true
来启用。凭据将存储在本地缓存中,使用文件系统的临时文件目录。Web 服务器必须允许在私有临时文件夹中写入(例如,对于 Apache,必须设置配置选项 PrivateTmp=True
)。要控制数据缓存刷新/失效的频率,请使用 ZBX_DATA_CACHE_TTL 常量。
TLS 配置
为了在 Zabbix 组件和保险库之间的通信中配置 TLS,请将由证书颁发机构(CA)签名的证书添加到系统范围的默认 CA 存储中。 如果要使用其他位置,请在 Zabbix server/proxy 的 SSLCALocation 配置参数中指定目录,将证书文件放置在该目录中,然后运行 CLI 命令:
c_rehash .