集成Grafana Hashicorp库
如果你管理你的秘密Hashicorp库,您可以使用它们配置和供应。
注意:可以在Grafana企业和Grafana云先进。
注意:如果你有Grafana建立了高可用性,那么我们建议不要使用动态配置文件的秘密。每个Grafana实例负责更新自己的租赁。数据源租约到期可能当你的一个Grafana服务器关闭。
配置
在使用库,您需要激活它通过提供一个URL,身份验证方法(目前只令牌),和一个令牌库服务。Grafana自动更新服务令牌,如果是可再生和建立一个有限的生命周期。
如果你使用短期租约,那么您还可以配置Grafana多久应该续签租赁和多长时间。我们建议保持默认设置,除非你遇到问题。
密钥存储库。库)#库服务器的位置;url = #库名称空间和多租户如果使用库;名称空间= #对库进行身份验证的方法。库是不活跃的,如果不设置这个选项#可能值:令牌;auth_method = #秘密令牌连接库auth_method令牌时,令牌= #之间的时间间隔检查如果有任何秘密,需要更新。;lease_renewal_interval = 5米#时间直到过期重新标记。应该有一个值高于lease_renewal_interval; lease_renewal_expires_within = 15米#重新标记的新时间。配置库可能忽略这个值和施加更严格的限制。;lease_renewal_increment = 1 h的例子库服务器- dev:
密钥存储库。库)的url = http://127.0.0.1:8200 HTTP只能用于本地测试auth_method =标记牌= s。sAZLyI0r7sFLMPq6MWtoOhAN #替换为你的关键使用库扩展器
在配置库之后,您必须配置或配置文件集你想使用库。库配置是一个扩展的配置变量扩展和遵循美元__vault{<参数>}语法。
的参数用冒号隔开拱顶由三部分组成:
- 第一部分指定应该使用哪个秘密引擎。
- 第二部分指定应该访问的秘密。
- 第三部分指定应该使用哪些字段的秘密。
例如,如果你把一个键/值的秘密Grafana admin用户秘密/ grafana / admin_defaults语法来访问它密码场会$ __vault {kv:秘密/ grafana / admin_defaults:密码}。
秘密引擎
库支持许多秘密引擎代表不同的方法来存储或由授权用户请求时生成的秘密。Grafana支持都是最有可能的一个子集Grafana安装有关。
键/值
Grafana支持库K / V版本2存储引擎用于存储和检索任意的秘密kv。
美元__vault {kv:秘密/ grafana / smtp:用户名}数据库
穹窿的数据库引擎秘密是一个家庭的秘密引擎共享一个相似的语法和授予用户动态访问数据库。您可以使用此设置Grafana的数据库访问和配置数据源。
$ __vault{数据库:数据库/信誉/ grafana:用户名}例子
配置
以下是部分的示例使用库建立Grafana配置文件的电子邮件和数据库凭证。指配置为更多的信息。
(smtp)启用主机= $ = true __vault {kv:秘密/ grafana / smtp主机名}:用户= 587 __vault {kv:秘密/ grafana / smtp:用户名}密码= $ __vault {kv:秘密/ grafana / smtp:密码}(数据库)类型= mysql主机= mysqlhost: name = grafana用户= 3306 __vault{数据库:数据库/信誉/ grafana:用户名}密码= $ __vault{数据库:数据库/信誉/ grafana:密码}供应
下面是一个完整的示例配置YAML文件设置一个MySQL数据源使用库的数据库引擎的秘密。指供应为更多的信息。
配置/ custom.yaml
apiVersion: 1数据源:名称:数据类型:mysql url: localhost: 3306数据库:统计用户:美元__vault{数据库:数据库/信誉/ ro /统计数据:用户名}secureJsonData:密码:$ __vault{数据库:数据库/信誉/ ro /统计:密码}