في هذه المقالة

المعاينة

المعلومات الجديدة والمتغيرة

بدء استخدام Hybrid Data Security

نظرة عامة على أمان البيانات الهجينة

بنية نطاق الأمان

نطاقات الفصل (بدون أمان البيانات الهجينة)

التعاون مع المؤسسات الأخرى

توقعات نشر Hybrid Data Security

عملية إعداد عالية المستوى

نموذج نشر Hybrid Data Security

الوضع التجريبي لأمن البيانات الهجينة

مركز البيانات الاحتياطي للتعافي من الكوارث

إعداد مركز البيانات الاحتياطي للتعافي من الكوارث

دعم البروكسي

جهز بيئتك

متطلبات أمان البيانات الهجينة

متطلبات ترخيص Cisco Webex

متطلبات سطح مكتب Docker

متطلبات شهادة X.509

متطلبات المضيف الظاهري

متطلبات خادم قاعدة البيانات

متطلبات الاتصال الخارجي

متطلبات الخادم الوكيل

أكمل المتطلبات الأساسية لأمن البيانات الهجينة

قم بإعداد مجموعة Hybrid Data Security

تدفق مهام نشر Hybrid Data Security

تنزيل ملفات التثبيت

قم بإنشاء ISO للتكوين لمضيفين HDS

تثبيت مضيف HDS OVA

إعداد Hybrid Data Security VM

تحميل ISO لتكوين HDS وتثبيته

تكوين عقدة HDS لتكامل الوكيل

تسجيل العقدة الأولى في المجموعة

إنشاء وتسجيل المزيد من العقد

تشغيل إصدار تجريبي والانتقال إلى الإنتاج

تدفق مهام الإصدار التجريبي إلى الإنتاج

تنشيط الإصدار التجريبي

اختبار نشر Hybrid Data Security الخاص بك

مراقبة صحة أمان البيانات الهجينة

إضافة أو إزالة المستخدمين من إصدارك التجريبي

الانتقال من الإصدار التجريبي إلى الإنتاج

إنهاء الفترة التجريبية دون الانتقال إلى الإنتاج

إدارة نشر HDS

تعيين جدول ترقية المجموعة

تغيير تكوين العقدة

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

إزالة عقدة

التعافي من الكوارث باستخدام مركز البيانات الاحتياطي

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

التنبيهات

المشاكل الشائعة وخطوات حلها

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

ملاحظات أخرى

المشاكل المعروفة لأمن البيانات الهجينة

استخدم OpenSSL لإنشاء ملف PKCS12

حركة المرور بين عُقد HDS والسحابة

تكوين وكلاء Squid لأمن البيانات الهجينة

لا يمكن ل Websocket الاتصال من خلال وكيل الحبار

دليل نشر Webex Hybrid Data Security

في هذه المقالة

هل لديك ملاحظات؟

المعاينة

المعلومات الجديدة والمتغيرة

التاريخ	التغييرات التي تم إجراؤها
20 أكتوبر 2023	تم تحديث المعلومات في متطلبات خادم قاعدة البيانات. تم إضافة إعداد مركز البيانات الاحتياطي للاسترداد من الكوارث. تم تحديث المعلومات في مركز البيانات الاحتياطي لاستعادة القدرة على العمل بعد الكوارث والتعافي من الكوارث باستخدام مركز البيانات الاحتياطي.
07 أغسطس 2023	تمت إضافة ملاحظة في تنزيل ملفات التثبيت. تمت إضافة ملاحظة في إنشاء ISO لتكوين لمضيفين HDS وتغيير تكوين العقدة.
23 مايو 2023	تم حذف معلومات من متطلبات خادم قاعدة البيانات تطلب تمكين الميزة عن طريق الاتصال بفريق الحساب. تم تحديث المعلومات في متطلبات الاتصال الخارجي وإضافة كندا إلى جدول مضيفين CI. تمت إضافة ملاحظة في توقعات نشر أمان البيانات الهجينة تتعلق بعدم توفر الآليات اللازمة لنقل المفاتيح مرة أخرى إلى السحابة.
06 ديسمبر 2022	يتم الآن استضافة صور أداة إعداد HDS في مستودع `ciscocitg` dockerhub. تم تحديث موضوعات إنشاء ISO لتكوين مضيفين HDS وتغيير تكوين العقدة لإعادة صياغة التغييرات في الأوامر.
23 نوفمبر 2022	يمكن الآن لعقد HDS استخدام مصادقة Windows ضد Microsoft SQL Server. تم تحديث موضوع متطلبات خادم قاعدة البيانات بمتطلبات إضافية لوضع المصادقة هذا. تم تحديث إنشاء ISO لتكوين مضيفين HDS من خلال إجراء تكوين مصادقة Windows على العقد. تم تحديث موضوع متطلبات خادم قاعدة البيانات مع الحد الأدنى الجديد من الإصدارات المطلوبة (PostgreSQL 10).
13 تشرين الأول/أكتوبر 2021	يحتاج Docker Desktop إلى تشغيل برنامج الإعداد قبل أن تتمكن من تثبيت عُقد HDS. ارجع إلى متطلبات سطح مكتب Docker.
21 يونيو 2020	لاحظ أنه يمكنك إعادة استخدام ملف المفتاح الخاص وCSR لطلب شهادة أخرى. ارجع إلى استخدام OpenSSL لإنشاء ملف PKCS12 لمعرفة التفاصيل.
30 أبريل 2021	تم تغيير متطلبات VM لمساحة القرص الصلب المحلية إلى 30 جيجابايت. ارجع إلى متطلبات المضيف الظاهري لمعرفة التفاصيل.
24 فبراير 2021	يمكن أن تعمل أداة إعداد HDS الآن خلف وكيل. للحصول على مزيد من التفاصيل، ارجع إلى إنشاء ISO لتكوين مضيفين HDS .
2 فبراير 2021	يمكن تشغيل HDS الآن دون ملف ISO مثبت. ارجع إلى (اختياري) إلغاء تثبيت ISO بعد تكوين HDS لمعرفة التفاصيل.
11 يناير 2021	تم إضافة معلومات عن أداة إعداد HDS والوكلاء من أجل إنشاء ISO لتكوين لمضيفين HDS.
13 أكتوبر 2020	تم تحديث تنزيل ملفات التثبيت.
8 أكتوبر 2020	تم تحديث إنشاء ISO لتكوين لمضيفين HDS وتغيير تكوين العقدة باستخدام الأوامر لبيئات FedRAMP.
14 أغسطس عام 2020	تم تحديث إنشاء ISO لتكوين لمضيفين HDS وتغيير تكوين العقدة مع إجراء تغييرات على عملية تسجيل الدخول.
5 أغسطس 2020	تم تحديث اختبار نشر Hybrid Data Security الخاص بك من أجل إجراء تغييرات على رسائل السجل. تم تحديث متطلبات المضيف الظاهري لإزالة الحد الأقصى لعدد المضيفين.
16 يونيو 2020	تم تحديث إزالة عقدة للتغييرات التي تمت في واجهة مستخدم Control Hub.
4 يونيو 2020	تم تحديث إنشاء ISO لتكوين مضيفين HDS من أجل التغييرات التي قد تقوم بتعيينها في الإعدادات المتقدمة.
29 مايو 2020	تم تحديث إنشاء ISO لتكوين مضيفين HDS لإظهار أنه يمكنك أيضًا استخدام TLS مع قواعد بيانات خادم SQL، وتغييرات واجهة المستخدم، وغيرها من التوضيحات.
5 مايو 2020	تم تحديث متطلبات المضيف الظاهري لإظهار المتطلبات الجديدة لـ ESXi 6.5.
21 أبريل 2020	تم تحديث متطلبات الاتصال الخارجي مع مضيفين CI الجدد في Americas.
1 أبريل 2020	تم تحديث متطلبات الاتصال الخارجي مع معلومات عن مضيفين CI الإقليميين.
20 فبراير 2020	تم تحديث إنشاء ISO لتكوين لمضيفين HDS مع معلومات عن شاشة الإعدادات المتقدمة الاختيارية الجديدة في أداة إعداد HDS.
4 فبراير 2020	تم تحديث متطلبات الخادم الوكيل.
16 ديسمبر 2019	تم توضيح متطلبات وضع تحليل DNS الخارجي المحظور للعمل في متطلبات الخادم الوكيل.
19 نوفمبر 2019	تم إضافة معلومات حول وضع تحليل DNS الخارجي المحظور في الأقسام التالية: دعم البروكسي تكوين عقدة HDS لتكامل الوكيل إيقاف تشغيل وضع دقة DNS الخارجي المحظور
8 نوفمبر 2019	يمكنك الآن تكوين إعدادات الشبكة لعقدة أثناء نشر OVA بدلاً من بعد ذلك. تم تحديث الأقسام التالية وفقًا لذلك: تدفق مهام نشر Hybrid Data Security تثبيت مضيف HDS OVA إعداد Hybrid Data Security VM تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 6.5. قد لا يكون الخيار متاحًا في الإصدارات السابقة.
6 سبتمبر 2019	تم إضافة معيار خادم SQL Server إلى متطلبات خادم قاعدة البيانات.
29 أغسطس 2019	تم إضافة ملحق تكوين وكلاء Squid لأمن البيانات الهجينة يتضمن إرشادات حول تكوين وكلاء Squid لتجاهل حركة مرور websocket للتشغيل المناسب.
20 أغسطس 2019	تم إضافة الأقسام وتحديثها لتغطية دعم الوكيل لاتصالات عُقدة Hybrid Data Security إلى Webex على السحابة. دعم البروكسي متطلبات الخادم الوكيل تكوين عقدة HDS لتكامل الوكيل للوصول فقط إلى محتوى دعم الوكيل لعملية نشر حالية، ارجع إلى مقالة التعليمات دعم الوكيل لأمن البيانات الهجينة وشبكة فيديو Webex .
13 يونيو 2019	تم تحديث تدفق مهام الإصدار التجريبي إلى الإنتاج باستخدام تذكير لمزامنة كائن مجموعة `HdsTrialGroup` قبل بدء الإصدار التجريبي إذا كانت مؤسستك تستخدم مزامنة الدليل.
6 مارس 2019	انقل المتطلبات والمتطلبات إلى فصل منفصل، إعداد بيئتك. تمت إضافة نظرة عامة على تدفق مهام نشر Hybrid Data Security في الفصل إعداد مجموعة Hybrid Data Security. لاحظ أنه حتى تبدأ الإصدار التجريبي (باستخدام الإرشادات الواردة في الفصل التالي) تقوم العقد الخاصة بك بإنشاء تنبيه يشير إلى أن الخدمة الخاصة بك لم يتم تنشيطها بعد. تمت إضافة تدفق مهام الإصدار التجريبي إلى الإنتاج في الفصل تشغيل إصدار تجريبي والانتقال إلى الإنتاج.
27 فبراير عام 2020	صحح مقدار مساحة القرص الصلب المحلية لكل خادم التي يجب أن تضعها جانبًا عند إعداد المضيفين الظاهريين الذين يصبحون عُقد Hybrid Data Security، من 50 جيجابايت إلى 20 جيجابايت، لتعكس حجم القرص الذي ينشئه OVA.
26 فبراير 2019	تدعم عُقد Hybrid Data Security الآن الاتصالات المشفرة بخوادم قاعدة بيانات PostgreSQL، واتصالات التسجيل المشفرة بخادم سجل نظام بتمكين من TLS. تم تحديث إنشاء ISO لتكوين لمضيفين HDS مع الإرشادات. تم إزالة عناوين URL للوجهة من جدول "متطلبات اتصال الإنترنت لـ VMs الخاصة بـ Hybrid Data Security Node". يشير الجدول الآن إلى القائمة المحفوظة في جدول "عناوين URL الإضافية لخدمات Webex Teams الهجينة" الخاص بمتطلبات الشبكة لخدمات Webex Teams.
يناير 24, 2019	يدعم Hybrid Data Security الآن Microsoft SQL Server كقاعدة بيانات. يتم دعم SQL Server Always On (مجموعات تجاوز الفشل ومجموعات التوفر دائمًا) بواسطة برامج تشغيل JDBC المستخدمة في أمان البيانات الهجينة. تم إضافة محتوى يتعلق بالنشر مع خادم SQL Server. تم تصميم دعم Microsoft SQL Server لعمليات النشر الجديدة لأمن البيانات الهجينة فقط. لا ندعم حاليًا ترحيل البيانات من PostgreSQL إلى Microsoft SQL Server في عملية نشر قائمة.
5 نوفمبر 2018	تمت إضافة خطوة أولية لتنظيف أي مثيلات hds موجودة في إنشاء ISO لتكوين لمضيفين HDS وتغيير تكوين العقدة. تم تحديث خطوة مستوى الوصول الرئيسي في إنشاء ISO لتكوين لمضيفين HDS لمطابقة الواجهة.
19 أكتوبر 2018	قم بتقسيم معلومات اتصال جدار الحماية إلى متطلبات العقدة ومتطلبات جهاز تكوين ISO في إكمال المتطلبات الأساسية لأمن البيانات الهجينة.
31 يوليو 2018	تم إضافة المنفذ 22 (الوصول إلى SSH) ومعلومات حول اتصالات NAT وجدار الحماية لإكمال المتطلبات المسبقة لأمن البيانات الهجينة.
21 مايو 2018	تم تغيير المصطلحات لتعكس إعادة تسمية Cisco Spark: أصبحت أمان البيانات الهجينة من Cisco Spark الآن أمان البيانات الهجينة. أصبح تطبيق Cisco Spark الآن تطبيق Webex. أصبحت سحابة Cisco Collaboraton الآن سحابة Webex.
11 أبريل 2018	تم إضافة مركز البيانات الاحتياطي لاستعادة القدرة على العمل بعد الكوارث. تم تحديث إكمال المتطلبات الأساسية لأمن البيانات الهجينة لتحديد وجوب وجود بيئة النسخ الاحتياطي في مركز بيانات مختلف. تم تحديث التعافي من الكوارث باستخدام مركز البيانات الاحتياطي.
22 فبراير 2018	تم إضافة معلومات حول عمر كلمة مرور حساب الخدمة لمدة 9 أشهر واستخدام أداة إعداد HDS لإعادة تعيين كلمات مرور حساب الخدمة، في إنشاء ISO لتكوين لمضيفين HDS وتغيير تكوين العقدة.
15 فبراير 2018	في جدول متطلبات شهادة X.509 ، حدد أن الشهادة لا يمكن أن تكون شهادة حرف بدل، وأن KMS يستخدم مجال CN، وليس أي مجال تم تعريفه في حقول x.509v3 SAN.
18 يناير 2018	تم إضافة ملحق، حركة المرور بين عُقد HDS والسحابة. تمت إزالة مشكلة تم حلها من المشاكل المعروفة لأمن البيانات الهجينة. تم تغيير index.docker.io إلى .docker.io وإضافة .cloudfront.net إلى قائمة متطلبات اتصال TCP لعقد HDS في إكمال المتطلبات الأساسية لأمن البيانات الهجينة. تم تحديث إنشاء ISO لتكوين مضيفين HDS للإشارة إلى أنه إذا لم يكن مضيف قاعدة البيانات وخادم Syslogd قابلاً للحل DNS من عُقد HDS، فيجب عليك تكوينها باستخدام عناوين IP.
2 نوفمبر 2017	مزامنة الدليل الواضحة لمجموعة HdsTrialGroup. تعليمات ثابتة لتحميل ملف تكوين ISO للتركيب على عُقد VM.
18 أغسطس 2017	تم النشر لأول مرة

بدء استخدام Hybrid Data Security

نظرة عامة على أمان البيانات الهجينة

اعتبارًا من اليوم الأول، أصبح أمان البيانات هو التركيز الأساسي في تصميم تطبيق Webex. حجر الزاوية لهذا الأمان هو تشفير المحتوى من طرف إلى طرف، والذي يتم تمكينه بواسطة عملاء تطبيق Webex الذين يتفاعلون مع خدمة إدارة المفاتيح (KMS). KMS مسؤول عن إنشاء وإدارة مفاتيح التشفير التي يستخدمها العملاء لتشفير الرسائل والملفات وفك تشفيرها ديناميكيا.

بشكل افتراضي، يحصل جميع عملاء تطبيق Webex على تشفير شامل باستخدام المفاتيح الديناميكية المخزنة في KMS على السحابة، في نطاق أمان Cisco. ينقل أمان البيانات المختلط KMS والوظائف الأخرى المتعلقة بالأمان إلى مركز بيانات مؤسستك، بحيث لا أحد غيرك يحمل مفاتيح المحتوى المشفر.

بنية نطاق الأمان

تفصل بنية سحابة Webex بين أنواع الخدمة المختلفة إلى مجالات منفصلة أو مجالات ثقة، كما هو موضح أدناه.

***نطاقات الفصل (بدون أمان البيانات الهجينة)***

لفهم أمان البيانات الهجينة، دعنا نلقي نظرة أولاً على حالة السحابة النقية هذه، حيث توفر شركة Cisco جميع الوظائف في نطاقات السحابة الخاصة بها. خدمة الهوية، المكان الوحيد الذي يمكن أن يرتبط فيه المستخدمون بشكل مباشر بمعلوماتهم الشخصية مثل عنوان البريد الإلكتروني، هي منفصلة منطقيًا وجسديًا عن نطاق الأمان في مركز البيانات ب. كلاهما منفصلان بدورهما عن النطاق الذي يتم فيه تخزين المحتوى المشفر في نهاية المطاف، في مركز البيانات ج.

في هذا الرسم التخطيطي، العميل هو تطبيق Webex الذي يعمل على الكمبيوتر المحمول للمستخدم، وقد تمت مصادقته باستخدام خدمة الهوية. عندما يقوم المستخدم بتكوين رسالة لإرسالها إلى مساحة، تحدث الخطوات التالية:

يقوم العميل بإنشاء اتصال آمن بخدمة إدارة المفاتيح (KMS)، ثم يطلب مفتاحًا لتشفير الرسالة. يستخدم الاتصال الآمن ECDH، ويقوم خادم KMS بتشفير المفتاح باستخدام المفتاح الرئيسي AES-256.
يتم تشفير الرسالة قبل مغادرة العميل. يرسله العميل إلى خدمة الفهرسة، التي تنشئ فهرسات بحث مشفرة للمساعدة في عمليات البحث المستقبلية عن المحتوى.
يتم إرسال الرسالة المشفرة إلى خدمة الامتثال من أجل فحوص الامتثال.
يتم تخزين الرسالة المشفرة في نطاق التخزين.

عند نشر أمان البيانات الهجينة، فإنك تنقل وظائف نطاق الأمان (KMS والفهرسة والامتثال) إلى مركز البيانات في الموقع الخاص بك. تظل الخدمات السحابية الأخرى التي تشكل Webex (والتي تشمل الهوية وتخزين المحتوى) موجودة في نطاقات Cisco.

التعاون مع المؤسسات الأخرى

قد يستخدم المستخدمون في مؤسستك تطبيق Webex بانتظام للتعاون مع المشاركين الخارجيين في المؤسسات الأخرى. عندما يطلب أحد المستخدمين لديك مفتاحًا لمساحة مملوكة لمؤسستك (لأنه تم إنشاؤها بواسطة أحد المستخدمين لديك) يرسل KMS المفتاح إلى العميل عبر قناة مؤمنة ECDH. ومع ذلك، عندما تمتلك مؤسسة أخرى مفتاح المساحة، فإن KMS لديك توجه الطلب إلى Webex على السحابة من خلال قناة منفصلة لحقوق الإنسان ECDH للحصول على المفتاح من KMS المناسبة، ثم تقوم بإرجاع المفتاح إلى المستخدم الخاص بك على القناة الأصلية.

تقوم خدمة KMS التي تعمل على Org A بالتحقق من الاتصالات بأنظمة KMS في المؤسسات الأخرى باستخدام شهادات x.509 PKI. ارجع إلى إعداد بيئتك لمعرفة تفاصيل عن إنشاء شهادة x.509 لاستخدامها مع نشر Hybrid Data Security.

توقعات نشر Hybrid Data Security

يتطلب نشر Hybrid Data Security التزامًا كبيرًا من جانب العميل والوعي بالمخاطر التي تأتي مع امتلاك مفاتيح التشفير.

لنشر أمان البيانات الهجينة، يجب أن توفر:

مركز بيانات آمن في بلد يعد موقعًا مدعومًا لخطط Cisco Webex Teams.
المعدات والبرامج والوصول إلى الشبكة الموضحة في .

سيؤدي الفقدان الكامل لتكوين ISO الذي تقوم بإنشائه لأمن البيانات الهجينة أو قاعدة البيانات التي توفرها إلى فقدان المفاتيح. يمنع فقدان المفتاح المستخدمين من فك تشفير محتوى المساحة والبيانات المشفرة الأخرى في تطبيق Webex. إذا حدث ذلك، يمكنك إنشاء عملية نشر جديدة، ولكن سيكون المحتوى الجديد فقط ظاهرًا. لتجنب فقدان الوصول إلى البيانات، يجب عليك:

إدارة النسخ الاحتياطي واستعادة قاعدة البيانات وتكوين ISO.
كن مستعدًا لإجراء التعافي السريع من الكوارث في حالة وقوع كارثة، مثل فشل قرص قاعدة البيانات أو كارثة مركز البيانات.

لا توجد آلية لنقل المفاتيح مرة أخرى إلى السحابة بعد نشر HDS.

عملية إعداد عالية المستوى

يغطي هذا المستند إعداد وإدارة عملية نشر Hybrid Data Security:

إعداد Hybrid Data Security— يتضمن ذلك إعداد البنية التحتية المطلوبة وتثبيت برنامج Hybrid Data Security، واختبار عملية النشر باستخدام مجموعة فرعية من المستخدمين في وضع الإصدار التجريبي، وبمجرد اكتمال الاختبار، الانتقال إلى الإنتاج. يؤدي هذا إلى تحويل المؤسسة بأكملها إلى استخدام مجموعة Hybrid Data Security لوظائف الأمان.
يتم تناول مراحل الإعداد والتجربة والإنتاج بالتفصيل في الفصول الثلاثة التالية.
الحفاظ على نشر Hybrid Data Security الخاص بك— توفر سحابة Webex تلقائيًا ترقيات مستمرة. يمكن لقسم تكنولوجيا المعلومات لديك توفير دعم من المستوى الأول لهذا النشر، وإشراك دعم Cisco حسب الحاجة. يمكنك استخدام الإشعارات التي تظهر على الشاشة وإعداد التنبيهات القائمة على البريد الإلكتروني في Control Hub.
فهم التنبيهات الشائعة وخطوات استكشاف الأخطاء وإصلاحها والمشاكل المعروفة— إذا واجهتك مشكلة في نشر أو استخدام Hybrid Data Security، فقد يساعدك الفصل الأخير من هذا الدليل وتذييل المشاكل المعروفة في تحديد المشكلة وإصلاحها.

نموذج نشر Hybrid Data Security

داخل مركز بيانات مؤسستك، يمكنك نشر Hybrid Data Security كمجموعة واحدة من العُقد على مضيفين افتراضيين. تتصل العقد بسحابة Webex من خلال مآخذ ويب آمنة وHTTP آمنة.

أثناء عملية التثبيت، نوفر لك ملف OVA لإعداد الجهاز الظاهري على VMs التي توفرها. يمكنك استخدام أداة إعداد HDS لإنشاء ملف ISO لتكوين مجموعة مخصصة تقوم بتثبيته على كل عقدة. تستخدم مجموعة Hybrid Data Security خادم Syslogd وقاعدة بيانات PostgreSQL أو Microsoft SQL Server المقدم. (يمكنك تكوين Syslogd وتفاصيل اتصال قاعدة البيانات في أداة إعداد HDS.)

نموذج نشر Hybrid Data Security

الحد الأدنى لعدد العُقد التي يمكن أن تكون موجودة في نظام المجموعة هو اثنان. نوصي بثلاثة على الأقل لكل مجموعة. يضمن وجود عُقد متعددة عدم مقاطعة الخدمة أثناء ترقية البرنامج أو أي نشاط صيانة آخر على العقدة. (تقوم سحابة Webex بترقية عقدة واحدة فقط في كل مرة.)

تصل جميع العقد في مجموعة النظام إلى نفس مخزن بيانات المفتاح، وتسجيل نشاط السجل إلى نفس خادم سجل النظام. العُقد نفسها عديمة الجنسية، وتتعامل مع طلبات المفاتيح بطريقة روبن مستديرة، وفقًا لتوجيهات السحابة.

تصبح العقد نشطة عندما تقوم بتسجيلها في Control Hub. لإزالة عقدة فردية من الخدمة، يمكنك إلغاء تسجيلها، ثم إعادة تسجيلها لاحقًا إذا دعت الحاجة لذلك.

نحن ندعم مجموعة واحدة فقط لكل مؤسسة.

الوضع التجريبي لأمن البيانات الهجينة

بعد إعداد نشر Hybrid Data Security، يمكنك تجربته أولاً مع مجموعة من المستخدمين التجريبي. خلال الفترة التجريبية، يستخدم هؤلاء المستخدمون مجال Hybrid Data Security الداخلي الخاص بك لمفاتيح التشفير وخدمات نطاق الأمان الأخرى. يستمر المستخدمون الآخرون في استخدام نطاق أمان السحابة.

إذا قررت عدم متابعة النشر أثناء الإصدار التجريبي وإلغاء تنشيط الخدمة، فسيفقد المستخدمون التجريبي وأي مستخدمين تفاعلوا معهم عن طريق إنشاء مساحات جديدة أثناء الفترة التجريبية صلاحية الوصول إلى الرسائل والمحتوى. سيرون "لا يمكن فك تشفير هذه الرسالة" في تطبيق Webex.

إذا كنت راضيًا عن عمل عملية النشر بشكل جيد لمستخدمي الإصدار التجريبي وكنت مستعدًا لتوسيع Hybrid Data Security ليشمل جميع المستخدمين، فإنك تنقل عملية النشر إلى الإنتاج. يستمر المستخدمون الموجودون في التمتع بإمكانية الوصول إلى المفاتيح التي كانت قيد الاستخدام أثناء الإصدار التجريبي. ومع ذلك، لا يمكنك الانتقال ذهابًا وإيابًا بين وضع الإنتاج والإصدار التجريبي الأصلي. إذا كان يجب عليك إلغاء تنشيط الخدمة، مثل إجراء التعافي من الكوارث، فيجب عند إعادة التنشيط بدء إصدار تجريبي جديد وإعداد مجموعة من المستخدمين التجريبية للإصدار التجريبي الجديد قبل الانتقال مرة أخرى إلى وضع الإنتاج. يعتمد احتفاظ المستخدمين بإمكانية الوصول إلى البيانات في هذه المرحلة على ما إذا كنت قد نجحت في الاحتفاظ بالنسخ الاحتياطية لمخزن البيانات الرئيسي وملف تكوين ISO الخاص بعُقد Hybrid Data Security في المجموعة الخاصة بك.

مركز البيانات الاحتياطي للتعافي من الكوارث

أثناء النشر، تقوم بإعداد مركز بيانات آمن في حالة الاستعداد. في حالة وقوع كارثة في مركز البيانات، يمكنك الفشل يدويًا في عملية النشر الخاصة بك إلى مركز البيانات الاحتياطي.

قبل تجاوز الفشل، يحتوي Data Center A على عُقد HDS نشطة وقاعدة بيانات PostgreSQL أو Microsoft SQL Server الأساسية، في حين يحتوي B على نسخة من ملف ISO مع تكوينات إضافية وVMs المسجلة في المؤسسة وقاعدة بيانات احتياطية. بعد تجاوز الفشل، يحتوي مركز البيانات B على عقد HDS وقاعدة البيانات الأساسية النشطة، بينما يحتوي A على VMs غير مسجلة ونسخة من ملف ISO، وقاعدة البيانات في وضع الاستعداد. — ***تجاوز الفشل اليدوي إلى مركز بيانات الاستعداد***

قواعد البيانات الخاصة بمراكز البيانات النشطة والاحتياطية متزامنة مع بعضها البعض مما يقلل الوقت المستغرق لتنفيذ تجاوز الفشل. يتم تحديث ملف ISO الخاص بمركز البيانات الاحتياطي بتكوينات إضافية تضمن تسجيل العقد في المؤسسة، ولكنها لن تتعامل مع حركة المرور. وبالتالي، تظل عُقد مركز البيانات الاحتياطي دائمًا حتى الآن مع أحدث إصدار من برنامج HDS.

يجب أن تكون عُقد Hybrid Data Security النشطة دائمًا في نفس مركز البيانات مثل خادم قاعدة البيانات النشط.

إعداد مركز البيانات الاحتياطي للتعافي من الكوارث

اتبع الخطوات التالية لتكوين ملف ISO لمركز البيانات الاحتياطي:

قبل البدء

يجب أن يعكس مركز البيانات الاحتياطي بيئة الإنتاج الخاصة بـ VMs وقاعدة بيانات PostgreSQL أو Microsoft SQL Server الاحتياطية. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 وحدات VM تعمل على عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 وحدات VM. (ارجع إلى مركز البيانات الاحتياطي لاستعادة القدرة على العمل بعد الكوارث للحصول على نظرة عامة على نموذج تجاوز الفشل هذا.)
تأكد من تمكين مزامنة قاعدة البيانات بين قاعدة بيانات عُقد المجموعة النشطة والسلبية.

1	ابدأ أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء ISO لتكوين المضيفين HDS. يجب أن يكون ملف ISO نسخة من ملف ISO الأصلي لمركز البيانات الأساسي الذي سيتم إجراء تحديثات التكوين التالية عليه.
2	بعد تكوين خادم Syslogd، انقر على الإعدادات المتقدمة
3	في صفحة الإعدادات المتقدمة ، أضف التكوين أدناه لوضع العقدة في وضع سلبي. في هذا الوضع، سيتم تسجيل العقدة في المؤسسة وتوصيلها بالسحابة، ولكنها لن تتعامل مع أي حركة مرور. `الوضع السلبي: حقيقي`
4	أكمل عملية التكوين واحفظ ملف ISO في موقع يسهل العثور عليه.
5	قم بعمل نسخة احتياطية من ملف ISO في نظامك المحلي. حافظ على أمان النسخ الاحتياطي. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. يمكنك تقييد الوصول ليقتصر على مسؤولي Hybrid Data Security الذين يجب عليهم إجراء تغييرات على التكوين فقط.
6	في جزء التنقل الأيسر لعميل VMware vSphere، انقر بزر الماوس الأيمن على VM وانقر على تحرير الإعدادات..
7	انقر على تحرير الإعدادات >CD/DVD Drive 1 وحدد ملف Datastore ISO. تأكد من تحديد متصل واتصال عند التشغيل حتى تسري تغييرات التكوين المحدّثة بعد بدء العقد.
8	قم بتشغيل عقدة HDS وتأكد من عدم وجود تنبيهات لمدة 15 دقيقة على الأقل.
9	كرر العملية لكل عقدة في مركز البيانات الاحتياطي. تحقق من سجلات النظام للتحقق من وجود العقد في وضع سلبي. يجب أن تكون قادرًا على عرض الرسالة "تم تكوين KMS في الوضع السلبي" في سجلات النظام.

التصرف التالي

بعد تكوين passiveMode في ملف ISO وحفظه، يمكنك إنشاء نسخة أخرى من ملف ISO دون تكوين passiveMode وحفظه في موقع آمن. يمكن أن تساعد هذه النسخة من ملف ISO دون تكوين PassiveMode في عملية تجاوز الفشل بسرعة أثناء التعافي من الكوارث. ارجع إلى التعافي من الكوارث باستخدام مركز البيانات الاحتياطي للتعرف على إجراء تجاوز الفشل المفصل.

دعم البروكسي

يدعم أمان البيانات المختلط الوكلاء الصريحين والشفافين وغير الخاضعين للتفتيش. يمكنك ربط هذه البروكسيات بالنشر الخاص بك بحيث يمكنك تأمين ومراقبة حركة المرور من المؤسسة إلى السحابة. يمكنك استخدام واجهة مسؤول النظام الأساسي على العقد لإدارة الشهادات والتحقق من حالة الاتصال العامة بعد إعداد الوكيل على العقد.

تدعم عقد أمان البيانات المختلطة خيارات الوكيل التالية:

لا يوجد وكيل— يكون الإعداد الافتراضي إذا كنت لا تستخدم تكوين مخزن الثقة والوكيل لإعداد عقدة HDS لدمج وكيل. لا يلزم تحديث الشهادة.
وكيل شفاف غير فحص— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ويجب ألا تتطلب أي تغييرات للعمل مع وكيل غير فحص. لا يلزم تحديث الشهادة.
نفق شفاف أو وكيل فحص— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTP أو HTTPS على العقد. ومع ذلك ، تحتاج العقد إلى شهادة جذر بحيث تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).
وكيل صريح— من خلال وكيل صريح، يمكنك إخبار عُقد HDS بخادم الوكيل ونظام المصادقة المراد استخدامها. لتكوين وكيل صريح، يجب إدخال المعلومات التالية على كل عقدة:
1. IP الخاص بالوكيل/FQDN— العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.
2. منفذ الوكيل— رقم منفذ يستخدمه الوكيل للاستماع إلى حركة مرور الوكيل.
3. بروتوكول الوكيل— بناءً على ما يدعمه الخادم الوكيل، اختر من بين البروتوكولات التالية:
  - HTTP—يعرض ويتحكم في جميع الطلبات التي يرسلها العميل.
  - HTTPS—يوفر قناة للخادم. يتلقى العميل شهادة الخادم ويتحقق من صحتها.
4. نوع المصادقة— اختر من بين أنواع المصادقة التالية:
  - بلا— لا يلزم إجراء المزيد من المصادقة.
    
    متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.
  - أساسي— يتم استخدامه لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.
    
    متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.
    
    يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.
  - الملخص— يُستخدم لتأكيد الحساب قبل إرسال معلومات حساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.
    
    متوفر فقط إذا قمت بتحديد HTTPS كبروتوكول وكيل.
    
    يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

مثال على عقد أمان البيانات المختلطة والوكيل

يوضح هذا الرسم التخطيطي مثالا على الاتصال بين أمان البيانات المختلطة والشبكة والوكيل. بالنسبة لخيارات الفحص الشفاف ووكيل الفحص الصريح HTTPS ، يجب تثبيت نفس شهادة الجذر على الوكيل وعلى عقد أمان البيانات المختلطة.

وضع دقة DNS الخارجي المحظور (تكوينات الوكيل الصريحة)

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. في عمليات النشر ذات تكوينات الوكيل الصريحة التي لا تسمح بدقة DNS الخارجية للعملاء الداخليين، إذا لم تتمكن العقدة من الاستعلام عن خوادم DNS، فإنها تنتقل تلقائيا إلى وضع حل DNS الخارجي المحظور. في هذا الوضع، يمكن متابعة تسجيل العقدة واختبارات اتصال الوكيل الأخرى.

جهز بيئتك

متطلبات أمان البيانات الهجينة

متطلبات ترخيص Cisco Webex

لنشر أمان البيانات الهجينة:

يجب أن يكون لديك Pro Pack في Cisco Webex Control Hub. (راجع https://www.cisco.com/go/pro-pack.)

متطلبات سطح مكتب Docker

قبل تثبيت عُقد HDS الخاصة بك، تحتاج إلى Docker Desktop لتشغيل برنامج الإعداد. قام Docker بتحديث نموذج الترخيص الخاص به مؤخرًا. قد تتطلب مؤسستك اشتراك مدفوع لـ Docker Desktop. للحصول على التفاصيل، ارجع إلى منشور مدونة Docker، "يقوم Docker بتحديث اشتراكات منتجاتنا وتوسيع نطاقها".

متطلبات شهادة X.509

يجب أن تفي سلسلة الشهادات بالمتطلبات التالية:

الجدول رقم 1. متطلبات شهادة X.509 لنشر Hybrid Data Security
المتطلبات	التفاصيل
موقعّة بواسطة مرجع مصدق موثوق به (CA)	بشكل افتراضي، نحن نثق في جهات التنسيق الإدارية الموجودة في قائمة Mozilla (باستثناء WoSign وStartCom) على https://wiki.mozilla.org/CA:IncludedCAs.
يحمل اسم مجال "اسم مشترك" (CN) يحدد عملية نشر Hybrid Data Security ليست شهادة حرف بدل	لا يلزم أن يكون CN قابلاً للوصول إليه أو مضيفًا مباشرًا. نوصيك باستخدام اسم يعكس مؤسستك، على سبيل المثال، `hds.company.com`. يجب ألا يحتوي CN على * (حرف بدل). يتم استخدام CN للتحقق من عُقد Hybrid Data Security لعملاء تطبيق Webex. تستخدم كل عُقد Hybrid Data Security في المجموعة الخاصة بك نفس الشهادة. يحدد KMS الخاص بك نفسه باستخدام مجال CN، وليس أي مجال محدد في حقول x.509v3 SAN. بمجرد تسجيل عقدة باستخدام هذه الشهادة، لا ندعم تغيير اسم مجال CN. اختر مجالاً يمكن تطبيقه على كل من عمليات نشر الإصدار التجريبي والإنتاج.
توقيع غير SHA1	لا يدعم برنامج KMS توقيعات SHA1 للتحقق من صحة الاتصالات بأنظمة KMS الخاصة بالمؤسسات الأخرى.
تم تنسيقه كملف PKCS #12 محمي بكلمة مرور استخدم الاسم الودي `kms-private-key` لتمييز الشهادة والمفتاح الخاص وأي شهادات وسيطة ليتم تحميلها.	يمكنك استخدام محول مثل OpenSSL لتغيير تنسيق شهادتك. سيتعين عليك إدخال كلمة المرور عند تشغيل أداة إعداد HDS.

لا يفرض برنامج KMS استخدام المفتاح أو قيود استخدام المفتاح الممتدة. تتطلب بعض جهات منح الشهادات تطبيق قيود استخدام المفاتيح الموسعة على كل شهادة، مثل مصادقة الخادم. من المقبول استخدام مصادقة الخادم أو الإعدادات الأخرى.

متطلبات المضيف الظاهري

يتمتع المضيفون الظاهريون الذين ستقوم بإعدادهم كعُقد Hybrid Data Security في المجموعة الخاصة بك بالمتطلبات التالية:

تم وضع مضيفان منفصلان على الأقل (3 موصى به) في نفس مركز البيانات الآمن
VMware ESXi 6.5 (أو إصدار أحدث) مثبت وقيد التشغيل.

يجب الترقية إذا كان لديك إصدار سابق من ESXi.
الحد الأدنى 4 وحدات معالجة مركزية vCPU، والذاكرة الرئيسية 8 جيجابايت، ومساحة القرص الصلب المحلية 30 جيجابايت لكل خادم

متطلبات خادم قاعدة البيانات

إنشاء قاعدة بيانات جديدة لتخزين المفاتيح. لا تستخدم قاعدة البيانات الافتراضية. تقوم تطبيقات HDS، عند تثبيتها، بإنشاء مخطط قاعدة البيانات.

يوجد خياران لخادم قاعدة البيانات. المتطلبات الخاصة بكل منها هي كما يلي:

الجدول 2. متطلبات خادم قاعدة البيانات حسب نوع قاعدة البيانات
بريدSQL	خادم Microsoft SQL
PostgreSQL 14 أو 15 أو 16 مثبتة وقيد التشغيل.	تم تثبيت SQL Server 2016 أو 2017 أو 2019 (المؤسسة أو Standard). يتطلب SQL Server 2016 Service Pack 2 وCumulative Update 2 أو إصدار أحدث.
8 وحدات معالجة مركزية vCPU كحد أدنى، وذاكرة رئيسية بسعة 16 جيجابايت، ومساحة كافية على القرص الثابت، ومراقبة لضمان عدم تجاوزها (يوصى بسعة 2 تيرابايت إذا كنت ترغب في تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)	8 وحدات معالجة مركزية vCPU كحد أدنى، وذاكرة رئيسية بسعة 16 جيجابايت، ومساحة كافية على القرص الثابت، ومراقبة لضمان عدم تجاوزها (يوصى بسعة 2 تيرابايت إذا كنت ترغب في تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

يقوم برنامج HDS حاليًا بتثبيت إصدارات برنامج التشغيل التالية للاتصال بخادم قاعدة البيانات:

بريدSQL	خادم Microsoft SQL
برنامج تشغيل Postgres JDBC 42.2.5	برنامج تشغيل SQL Server JDBC 4.6 يدعم إصدار برنامج التشغيل هذا SQL Server Always On ( Always On Failover Cluster Instances ومجموعات توافر Always On).

بريدSQL

خادم Microsoft SQL

برنامج تشغيل Postgres JDBC 42.2.5

برنامج تشغيل SQL Server JDBC 4.6

يدعم إصدار برنامج التشغيل هذا SQL Server Always On ( Always On Failover Cluster Instances ومجموعات توافر Always On).

المتطلبات الإضافية لمصادقة Windows مقابل Microsoft SQL Server

إذا كنت ترغب في أن تستخدم عُقد HDS مصادقة Windows للوصول إلى قاعدة بيانات متجر المفاتيح على Microsoft SQL Server، فأنت بحاجة إلى التكوين التالي في بيئتك:

يجب مزامنة عُقد HDS والبنية التحتية لـ Active Directory وخادم MS SQL مع NTP.
يجب أن يكون لدى حساب Windows الذي تقدمه إلى عُقد HDS صلاحية الوصول للقراءة/الكتابة إلى قاعدة البيانات.
يجب أن تكون خوادم DNS التي تقدمها إلى عُقد HDS قادرة على حل مركز توزيع المفاتيح (KDC) الخاص بك.
يمكنك تسجيل مثيل قاعدة بيانات HDS على خادم Microsoft SQL Server كاسم أساسي للخدمة (SPN) على Active Directory الخاص بك. ارجع إلى تسجيل الاسم الأساسي للخدمة لاتصالات Kerberos.

تحتاج أداة إعداد HDS ومطلق HDS وKMS المحلي إلى استخدام مصادقة Windows للوصول إلى قاعدة بيانات متجر المفاتيح. وهم يستخدمون التفاصيل الواردة في تكوين ISO الخاص بك لإنشاء SPN عند طلب الوصول باستخدام مصادقة Kerberos.

متطلبات الاتصال الخارجي

قم بتكوين جدار الحماية الخاص بك للسماح بالاتصال التالي لتطبيقات HDS:

التطبيق	البروتوكول	المنفذ	الاتجاه من التطبيق	الوجهة
عُقد أمان البيانات الهجينة	TCP	443	HTTPS وWSS الصادرة	خوادم Webex: * .wbx2.com .ciscospark.com كل مضيفين Common Identity عناوين URL الأخرى المدرجة في أمان البيانات الهجينة في جدول عناوين URL الإضافية لخدمات Webex الهجينة*متطلبات الشبكة لخدمات Webex
أداة إعداد HDS	TCP	443	HTTPS الصادر	* .wbx2.com كل مضيفين Common Identity hub.docker.com

تعمل عُقد أمان البيانات الهجينة مع ترجمة الوصول إلى الشبكة (NAT) أو خلف جدار حماية، طالما يسمح NAT أو جدار الحماية بالاتصالات الصادرة المطلوبة بوجهات المجال في الجدول السابق. بالنسبة للاتصالات الواردة إلى عُقد Hybrid Data Security، يجب ألا تكون أي منافذ ظاهرة من الإنترنت. داخل مركز البيانات الخاص بك، يحتاج العملاء إلى الوصول إلى عُقد Hybrid Data Security على منفذي TCP رقم 443 و22، لأغراض إدارية.

عناوين URL لمضيفين الهوية المشتركة (CI) خاصة بالمنطقة. هؤلاء هم مضيفو CI الحاليون:

المنطقة	عناوين URL لمضيف الهوية الشائعة
الأمريكتان	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
الاتحاد الأوروبي	https://idbroker-eu.webex.com https://identity-eu.webex.com
كندا	https://idbroker-ca.webex.com https://identity-ca.webex.com

متطلبات الخادم الوكيل

نحن ندعم رسميا حلول البروكسي التالية التي يمكن أن تتكامل مع عقد أمان البيانات المختلطة الخاصة بك.
- وكيل شفاف - جهاز أمان الويب من Cisco (WSA).
- وكيل صريح - الحبار.
  
  يمكن أن تتداخل وكلاء الحبار الذين يفحصون حركة مرور HTTPS مع إنشاء اتصالات websocket (wss:). للعمل على هذه المشكلة، ارجع إلى تكوين وكلاء Squid لأمن البيانات الهجينة.
نحن ندعم مجموعات أنواع المصادقة التالية للوكلاء الصريحين:
- لا توجد مصادقة باستخدام HTTP أو HTTPS
- المصادقة الأساسية باستخدام HTTP أو HTTPS
- تلخيص المصادقة باستخدام HTTPS فقط
للحصول على وكيل فحص شفاف أو وكيل HTTPS صريح، يجب أن يكون لديك نسخة من الشهادة الجذرية للوكيل. تخبرك إرشادات النشر الواردة في هذا الدليل بكيفية تحميل النسخة إلى مخازن الثقة الخاصة بعقد أمان البيانات المختلطة.
يجب تكوين الشبكة التي تستضيف عقد HDS لإجبار حركة مرور TCP الصادرة على المنفذ 443 على التوجيه عبر الوكيل.
قد تتداخل الوكلاء الذين يفحصون حركة مرور الويب مع اتصالات مقبس الويب. في حالة حدوث هذه المشكلة، سيؤدي تجاوز (عدم فحص) حركة المرور إلى wbx2.com ciscospark.com إلى حل المشكلة.

أكمل المتطلبات الأساسية لأمن البيانات الهجينة

استخدم قائمة الفحص هذه للتأكد من أنك جاهز لتثبيت وتهيئة مجموعة Hybrid Data Security.

1	تأكد من تمكين مؤسسة Webex الخاصة بك من أجل Pro Pack في Cisco Webex Control Hub، والحصول على بيانات الاعتماد لحساب له حقوق مسؤول المؤسسة الكاملة. اتصل بشريك Cisco أو مدير حسابك للحصول على المساعدة بشأن هذه العملية.
2	اختر اسم مجال لنشر HDS (على سبيل المثال، `hds.company.com`) واحصل على سلسلة شهادات تحتوي على شهادة X.509، والمفتاح الخاص، وأي شهادات وسيطة. يجب أن تفي سلسلة الشهادات بالمتطلبات الواردة في متطلبات شهادة X.509.
3	قم بإعداد مضيفين افتراضيين متطابقين ستقوم بإعدادهم كعُقد Hybrid Data Security في المجموعة الخاصة بك. تحتاج إلى مضيفين منفصلين على الأقل (3 موصى بها) موجودين في نفس مركز البيانات الآمن، والذي يلبي المتطلبات الواردة في متطلبات المضيف الظاهري.
4	قم بتهيئة خادم قاعدة البيانات الذي سيعمل كمخزن البيانات الرئيسي لمجموعة النظام، وفقًا لمتطلبات خادم قاعدة البيانات. يجب وضع خادم قاعدة البيانات في مركز البيانات الآمن مع المضيفين الظاهريين. إنشاء قاعدة بيانات لتخزين المفاتيح. (يجب عليك إنشاء قاعدة البيانات هذه - لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، تقوم بإنشاء مخطط قاعدة البيانات.) اجمع التفاصيل التي ستستخدم العقد للاتصال بخادم قاعدة البيانات: اسم المضيف أو عنوان IP (المضيف) والمنفذ اسم قاعدة البيانات (dbname) لتخزين المفاتيح اسم المستخدم وكلمة المرور للمستخدم مع جميع الامتيازات الموجودة في قاعدة بيانات تخزين المفاتيح
5	للتعافي السريع من الكوارث، قم بإعداد بيئة احتياطية في مركز بيانات مختلف. تعكس بيئة النسخ الاحتياطي بيئة إنتاج VMs وخادم قاعدة بيانات النسخ الاحتياطي. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 وحدات VM تعمل على عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 وحدات VM.
6	قم بإعداد مضيف سجل النظام لجمع السجلات من العقد في المجموعة. اجمع عنوان الشبكة ومنفذ سجل النظام (الإعداد الافتراضي هو UDP 514).
7	قم بإنشاء سياسة نسخ احتياطي آمنة لعقد Hybrid Data Security وخادم قاعدة البيانات ومضيف سجل النظام. كحد أدنى، لمنع فقدان البيانات التي لا يمكن استردادها، يجب أن تقوم بنسخ قاعدة البيانات وملف ISO للتكوين الذي تم إنشاؤه من أجل عُقد Hybrid Data Security. نظرًا لأن عُقد Hybrid Data Security تخزن المفاتيح المستخدمة في تشفير وفك تشفير المحتوى، فإن الفشل في الحفاظ على النشر التشغيلي سيؤدي إلى فقدان لا يمكن إصلاحه لهذا المحتوى. يقوم عملاء تطبيق Webex بتخزين مفاتيحهم مؤقتًا، لذلك قد لا يظهر انقطاع الخدمة على الفور ولكن سيصبح واضحًا بمرور الوقت. في حين أنه من المستحيل منع الانقطاع المؤقت، إلا أنه قابل للاسترداد. ومع ذلك، فإن الفقدان الكامل (لا توجد نسخ احتياطية متوفرة) إما لقاعدة البيانات أو ملف ISO للتكوين سيؤدي إلى بيانات العميل غير قابلة للاسترداد. من المتوقع أن يقوم مشغلو Hybrid Data Security بالحفاظ على نسخ احتياطية متكررة لقاعدة البيانات وملف ISO الخاص بالتكوين، وأن يكونوا على استعداد لإعادة بناء مركز بيانات Hybrid Data Security في حالة حدوث فشل كارثي.
8	تأكد من أن تكوين جدار الحماية يسمح بإمكانية الاتصال لعقد Hybrid Data Security الخاصة بك كما هو موضح في متطلبات الاتصال الخارجي.
9	قم بتثبيت Docker ( https://www.docker.com) على أي جهاز محلي يقوم بتشغيل نظام تشغيل مدعوم (Microsoft Windows 10 Professional أو Enterprise 64 بت أو Mac OSX Yosemite 10.10.3 أو إصدار أحدث) باستخدام مستعرض ويب يمكنه الوصول إليه على ⁦http://127.0.0.1:8080.⁩ يمكنك استخدام مثيل Docker لتنزيل أداة إعداد HDS وتشغيلها، التي تبني معلومات التكوين المحلية لجميع عُقد Hybrid Data Security. قد تحتاج مؤسستك إلى ترخيص Docker Desktop. للحصول على مزيد من المعلومات، ارجع إلى متطلبات سطح مكتب Docker . لتثبيت وتشغيل أداة إعداد HDS، يجب أن يكون لدى الجهاز المحلي إمكانية الاتصال الموضحة في متطلبات الاتصال الخارجي.
10	إذا كنت تقوم بدمج وكيل مع Hybrid Data Security، فتأكد من أنه يفي بمتطلبات الخادم الوكيل.
11	إذا كانت مؤسستك تستخدم مزامنة الدليل، فقم بإنشاء مجموعة في Active Directory تسمى `HdsTrialGroup`، وقم بإضافة المستخدمين الموجودين في الدليل. يمكن أن تحتوي المجموعة التجريبية على ما يصل إلى 250 مستخدمًا. يجب مزامنة كائن `HdsTrialGroup` مع السحابة قبل أن تتمكن من بدء إصدار تجريبي لمؤسستك. لمزامنة عنصر مجموعة، حدده من قائمة تكوين Directory Connector > تحديد الكائن . (للاطلاع على الإرشادات التفصيلية، ارجع إلى دليل نشر موصل دليل Cisco.) يتم تعيين مفاتيح مساحة معينة بواسطة منشئ المساحة. عند تحديد المستخدمين الإرشاديين، يجب مراعاة أنه إذا قررت إلغاء تنشيط نشر Hybrid Data Security بشكل دائم، فسيفقد جميع المستخدمين صلاحية الوصول إلى المحتوى في المساحات التي تم إنشاؤها بواسطة المستخدمين الإرشاديين. تصبح الخسارة واضحة بمجرد قيام تطبيقات المستخدمين بتحديث نسخهم المخزنة مؤقتًا من المحتوى.

قم بإعداد مجموعة Hybrid Data Security

تدفق مهام نشر Hybrid Data Security

قبل البدء

جهز بيئتك

1	إجراء الإعداد الأولي وتنزيل ملفات التثبيت قم بتنزيل ملف OVA إلى جهازك المحلي لاستخدامه لاحقًا.
2	قم بإنشاء ISO للتكوين لمضيفين HDS استخدم أداة إعداد HDS لإنشاء ملف تكوين ISO لعقد Hybrid Data Security.
3	تثبيت مضيف HDS OVA قم بإنشاء جهاز ظاهري من ملف OVA وقم بتنفيذ التكوين المبدئي، مثل إعدادات الشبكة. تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 6.5. قد لا يكون الخيار متاحًا في الإصدارات السابقة.
4	إعداد Hybrid Data Security VM سجّل الدخول إلى وحدة تحكم VM وقم بتعيين بيانات اعتماد تسجيل الدخول. قم بتكوين إعدادات الشبكة للعقدة إذا لم تكن قد قمت بتكوينها في وقت نشر OVA.
5	تحميل ISO لتكوين HDS وتثبيته قم بتكوين VM من ملف تكوين ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.
6	تكوين عقدة HDS لتكامل الوكيل إذا كانت بيئة الشبكة تتطلب تكوين الوكيل، فحدد نوع الوكيل الذي ستستخدمه للعُقدة، وأضف شهادة الوكيل إلى المخزن الموثوق به إذا دعت الحاجة لذلك.
7	تسجيل العقدة الأولى في المجموعة قم بتسجيل VM باستخدام Cisco Webex Cloud كعقدة Hybrid Data Security.
8	إنشاء وتسجيل المزيد من العقد أكمل إعداد مجموعة النظام.
9	تشغيل إصدار تجريبي والانتقال إلى الإنتاج (الفصل التالي) حتى تبدأ الإصدار التجريبي، تقوم العقد الخاصة بك بإنشاء تنبيه يشير إلى أن الخدمة الخاصة بك لم يتم تنشيطها بعد.

تنزيل ملفات التثبيت

في هذه المهمة، تقوم بتنزيل ملف OVA على جهازك (وليس على الخوادم التي قمت بإعدادها كعُقد Hybrid Data Security). يمكنك استخدام هذا الملف لاحقًا في عملية التثبيت.

1	سجّل الدخول إلى https://admin.webex.com، ثم انقر على الخدمات.
2	في قسم الخدمات الهجينة، ابحث عن بطاقة Hybrid Data Security، ثم انقر على إعداد. إذا تم تعطيل البطاقة أو لم تراها، فاتصل بفريق حسابك أو المؤسسة الشريكة. اطلب منهم رقم حسابك واطلب تمكين مؤسستك من أجل Hybrid Data Security. للعثور على رقم الحساب، انقر على التروس الموجودة أعلى اليمين، بجوار اسم مؤسستك. يمكنك أيضًا تنزيل OVA في أي وقت من قسم التعليمات في صفحة الإعدادات . في بطاقة Hybrid Data Security، انقر على تحرير الإعدادات لفتح الصفحة. ثم انقر على تنزيل برنامج Hybrid Data Security في قسم التعليمات . لن تتوافق الإصدارات القديمة من حزمة البرامج (OVA) مع أحدث ترقيات Hybrid Data Security. يمكن أن يؤدي ذلك إلى حدوث مشاكل أثناء ترقية التطبيق. تأكد من تنزيل أحدث إصدار من ملف OVA.
3	حدد لا للإشارة إلى أنك لم تقم بإعداد العقدة بعد، ثم انقر على التالي. يبدأ ملف OVA تلقائيًا في التنزيل. احفظ الملف في موقع على جهازك.
4	بشكل اختياري، انقر على فتح دليل النشر للتحقق مما إذا كان هناك إصدار أحدث من هذا الدليل متاحًا أم لا.

قم بإنشاء ISO للتكوين لمضيفين HDS

تقوم عملية إعداد Hybrid Data Security بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف Hybrid Data Security.

قبل البدء

تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Control Hub مع حقوق المسؤول الكاملة لمؤسستك.

إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

الوصف	المتغير
وكيل HTTP بدون مصادقة	وكيل `HTTP_عام__الوكيل=http://SERVER_IP:PORT`
وكيل HTTPS بدون مصادقة	وكيل `HTTPS_عام__الوكيل=http://SERVER_IP:المنفذ`
وكيل HTTP مع المصادقة	وكيل `HTTP_عام__PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
وكيل HTTPS مع المصادقة	وكيل `عام_HTTPS__proxy=http://username:password@server_IP:المنفذ`

يحتوي ملف ISO الخاص بالتكوين الذي تقوم بإنشائه على المفتاح الرئيسي لتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في أي وقت تقوم فيه بإجراء تغييرات على التكوين، مثل هذه:
- بيانات اعتماد قاعدة البيانات
- تحديثات الشهادة
- التغييرات على سياسة التخويل
إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL خادم لـ TLS.

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg / hds-setup: stable

في بيئات FedRAMP:

docker rmi ciscocitg / hds-setup-fedramp: stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

دوكر تسجيل الدخول - u hdscustomersro

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

دوكر سحب ciscocitg / hds-setup: مستقر

في بيئات FedRAMP:

دوكر سحب ciscocitg / hds-setup-fedramp: stable

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية بدون وكيل:

دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable

في البيئات العادية باستخدام وكيل HTTP:

docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

في البيئات العادية باستخدام وكيل HTTPS:

تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable

في بيئات FedRAMP بدون وكيل:

دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable

في بيئات FedRAMP باستخدام وكيل HTTP:

docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

في بيئات FedRAMP باستخدام وكيل HTTPS:

تشغيل docker -p 8080:8080 --rm -it -e عالمي_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080، وأدخل اسم المستخدم لمسؤول العميل في Control Hub عند الطلب.

تستخدم الأداة الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. تعرض الأداة بعد ذلك مطالبة تسجيل الدخول القياسية.

أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول عميل Control Hub، عند مطالبتك بذلك، ثم انقر على تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل Hybrid Data Security.

في صفحة نظرة عامة على أداة الإعداد، انقر على البدء.

في صفحة استيراد ISO ، لديك هذه الخيارات:

لا— إذا كنت تقوم بإنشاء أول عقدة HDS لديك، فلن يكون لديك ملف ISO ليتم تحميله.
نعم— إذا قمت بإنشاء عقد HDS بالفعل، فحدد ملف ISO الخاص بك في الاستعراض وقم بتحميله.

تحقق من أن شهادة X.509 الخاصة بك تفي بالمتطلبات الواردة في متطلبات شهادة X.509.

إذا لم تقم بتحميل شهادة من قبل، فقم بتحميل شهادة X.509، وأدخل كلمة المرور، وانقر على متابعة.
إذا كانت شهادتك موافق، فانقر على متابعة.
إذا انتهت صلاحية شهادتك أو كنت ترغب في استبدالها، فحدد لا من أجل متابعة استخدام سلسلة شهادات HDS والمفتاح الخاص من ISO السابق؟. قم بتحميل شهادة X.509 جديدة، وأدخل كلمة المرور، وانقر على متابعة.

أدخل عنوان قاعدة البيانات والحساب لـ HDS للوصول إلى مخزن بيانات المفتاح:

حدد نوع قاعدة البيانات الخاصة بك (PostgreSQL أو Microsoft SQL Server).

إذا اخترت Microsoft SQL Server، فستحصل على حقل "نوع المصادقة".
(Microsoft SQL Server فقط) حدد نوع المصادقة لديك:
- المصادقة الأساسية: تحتاج إلى اسم حساب SQL Server محلي في حقل اسم المستخدم .
- مصادقة Windows: تحتاج إلى حساب Windows بالتنسيق username@DOMAIN في حقل اسم المستخدم .
أدخل عنوان خادم قاعدة البيانات في النموذج : أو :.

مثال:
dbhost.example.org:1433 أو 198.51.100.17:1433

يمكنك استخدام عنوان IP للمصادقة الأساسية، إذا تعذر على العقد استخدام DNS لحل اسم المضيف.

إذا كنت تستخدم مصادقة Windows، فيجب إدخال اسم مجال مؤهل بالكامل بالتنسيق dbhost.example.org:1433
أدخل اسم قاعدة البيانات.
أدخل اسم المستخدم وكلمة المرور الخاصة بمستخدم يتمتع بجميع الامتيازات في قاعدة بيانات تخزين المفاتيح.

حدد وضع اتصال قاعدة بيانات TLS:

الوضع	الوصف
تفضيل TLS (الخيار الافتراضي)	لا تتطلب عُقد HDS من TLS للاتصال بخادم قاعدة البيانات. إذا قمت بتمكين TLS على خادم قاعدة البيانات، فتحاول العقد إجراء اتصال مشفر.
يتطلب TLS	تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS.
يتطلب TLS والتحقق من موقِّع الشهادة	لا يمكن تطبيق هذا الوضع لقواعد بيانات SQL Server. تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS. بعد إنشاء اتصال TLS، تقارن العقدة موقّع الشهادة من خادم قاعدة البيانات بجهة منح الشهادة في الشهادة الجذر لقاعدة البيانات. وفي حالة عدم تطابقهما، تنقطع العقدة الاتصال. استخدم عنصر التحكم في الشهادة الجذر لقاعدة البيانات أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.
يتطلب TLS والتحقق من توقيع الشهادة واسم المضيف	تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة البيانات التفاوض على TLS. بعد إنشاء اتصال TLS، تقارن العقدة موقّع الشهادة من خادم قاعدة البيانات بجهة منح الشهادة في الشهادة الجذر لقاعدة البيانات. وفي حالة عدم تطابقهما، تنقطع العقدة الاتصال. تتحقق العقد أيضًا من أن اسم المضيف الموجود في شهادة الخادم يتطابق مع اسم المضيف في حقل مضيف قاعدة البيانات والمنفذ . يجب أن تتطابق الأسماء تمامًا، أو ينقطع الاتصال عن العقدة. استخدم عنصر التحكم في الشهادة الجذر لقاعدة البيانات أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

عند تحميل شهادة الجذر (إذا لزم الأمر) والنقر على متابعة، تختبر أداة إعداد HDS اتصال TLS بخادم قاعدة البيانات. تتحقق الأداة أيضًا من موقّع الشهادة واسم المضيف، إن أمكن. في حالة فشل الاختبار، تعرض الأداة رسالة خطأ تصف المشكلة. يمكنك اختيار تجاهل الخطأ والاستمرار في عملية الإعداد. (بسبب الاختلافات في الاتصال، قد تتمكن عُقد HDS من إنشاء اتصال TLS حتى إذا لم يتمكن جهاز أداة إعداد HDS من اختبارها بنجاح.)

في صفحة سجلات النظام، قم بتكوين خادم Syslogd الخاص بك:

أدخل عنوان URL لخادم سجل النظام.

إذا لم يكن الخادم قادرًا على حل DNS من العقد الخاصة بمجموعة HDS الخاصة بك، فاستخدم عنوان IP في عنوان URL.

مثال:
udp://10.92.43.23:514 يشير إلى تسجيل الدخول إلى مضيف Syslogd رقم 10.92.43.23 على منفذ UDP رقم 514.
إذا قمت بإعداد الخادم الخاص بك لاستخدام تشفير TLS، فحدد هل تم تكوين خادم سجل النظام لتشفير SSL؟.

إذا حددت خانة الاختيار هذه، فتأكد من إدخال عنوان URL لـ TCP مثل tcp://10.92.43.23:514.
من القائمة المنسدلة اختيار إنهاء سجل النظام ، اختر الإعداد المناسب لملف ISO الخاص بك: اختر ما إذا كان يتم استخدام سطر جديد لـ Graylog وRsyslog TCP
- بايت فارغة -- \x00
- سطر جديد -- \n— حدد هذا الخيار لـ Graylog وRsyslog TCP.
انقر على متابعة.

(اختياري) يمكنك تغيير القيمة الافتراضية لبعض معلمات اتصال قاعدة البيانات في الإعدادات المتقدمة. بشكل عام، هذه المعلمة هي المعلمة الوحيدة التي قد ترغب في تغييرها:

app_datasource_connection_pool_maxالحجم: 10

انقر على متابعة في شاشة إعادة تعيين كلمة مرور حسابات الخدمة .

تتكون كلمات مرور حسابات الخدمة من تسعة أشهر. استخدم هذه الشاشة عندما تقترب كلمات المرور الخاصة بك من انتهاء الصلاحية أو عندما ترغب في إعادة تعيينها لإلغاء صلاحية ملفات ISO السابقة.

انقر على تنزيل ملف ISO. احفظ الملف في موقع يسهل العثور عليه.

قم بعمل نسخة احتياطية من ملف ISO في نظامك المحلي.

حافظ على أمان النسخ الاحتياطي. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. يمكنك تقييد الوصول ليقتصر على مسؤولي Hybrid Data Security الذين يجب عليهم إجراء تغييرات على التكوين فقط.

لإيقاف أداة الإعداد، اكتب CTRL+C.

التصرف التالي

قم بنسخ ملف ISO الخاص بالتكوين. تحتاج إليه لإنشاء المزيد من العُقد للاسترداد، أو لإجراء تغييرات على التكوين. إذا فقدت جميع النسخ من ملف ISO، فقد أيضا المفتاح الرئيسي. لا يمكن استرداد المفاتيح من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

ليس لدينا أبدًا نسخة من هذا المفتاح ولا يمكننا المساعدة إذا فقدته.

تثبيت مضيف HDS OVA

استخدم هذا الإجراء لإنشاء جهاز ظاهري من ملف OVA.

1	استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى مضيف ESXi الظاهري.
2	حدد ملف > نشر قالب OVF.
3	في المعالج، حدد موقع ملف OVA الذي قمت بتنزيله مسبقًا، ثم انقر على التالي.
4	في صفحة تحديد اسم ومجلد ، أدخل اسم جهاز ظاهري للعقدة (على سبيل المثال، "HDS_Node_1")، واختر موقعًا يمكن أن توجد فيه نشر عقدة الجهاز الظاهري، ثم انقر على التالي.
5	في صفحة تحديد مورد حساب ، اختر مورد حساب الوجهة، ثم انقر على التالي. يتم تشغيل التحقق من الصحة. بعد الانتهاء، تظهر تفاصيل القالب.
6	تحقق من تفاصيل القالب ثم انقر على التالي.
7	إذا طُلب منك اختيار تكوين المورد في صفحة التكوين ، فانقر على 4 وحدة المعالجة المركزية ثم انقر على التالي.
8	في صفحة تحديد التخزين ، انقر على التالي لقبول تنسيق القرص الافتراضي وسياسة تخزين VM.
9	في صفحة تحديد الشبكات ، حدد خيار الشبكة من قائمة الإدخالات لتوفير الاتصال المطلوب بـ VM.
10	في صفحة تخصيص قالب ، قم بتكوين إعدادات الشبكة التالية: اسم المضيف— أدخل FQDN (اسم المضيف والمجال) أو اسم مضيف كلمة واحدة للعُقدة. لا تحتاج إلى تعيين المجال ليتطابق المجال الذي استخدمته للحصول على شهادة X.509. لضمان التسجيل بنجاح في السحابة، استخدم فقط الأحرف الصغيرة في FQDN أو اسم المضيف الذي قمت بتعيينه للعُقدة. الأحرف الكبيرة غير مدعومة في الوقت الحالي. يجب ألا يتجاوز إجمالي طول FQDN 64 حرفًا. عنوان IP— أدخل عنوان IP للواجهة الداخلية للعقدة. يجب أن تحتوي العقدة الخاصة بك على عنوان IP داخلي واسم DNS. بروتوكول DHCP غير مدعوم. قناع— أدخل عنوان قناع الشبكة الفرعية في رمز عشري. على سبيل المثال، 255.255.255.0. البوابة— أدخل عنوان IP الخاص بالبوابة. البوابة هي عقدة شبكة تعمل كنقطة وصول إلى شبكة أخرى. خوادم DNS— أدخل قائمة بخوادم DNS مفصولة بفواصل، والتي تتعامل مع ترجمة أسماء المجالات إلى عناوين IP الرقمية. (يُسمح بما يصل إلى 4 إدخالات DNS.) خوادم NTP— أدخل خادم NTP الخاص بمؤسستك أو خادم NTP خارجي آخر يمكن استخدامه في مؤسستك. قد لا تعمل خوادم NTP الافتراضية لجميع المؤسسات. يمكنك أيضًا استخدام قائمة مفصولة بفاصلة لإدخال خوادم NTP متعددة. قم بنشر كل العقد على نفس الشبكة الفرعية أو VLAN، بحيث يمكن الوصول إلى كل العقد في المجموعة من العملاء في شبكتك لأغراض إدارية. في حال تفضيل ذلك، يمكنك تخطي تكوين إعداد الشبكة واتباع الخطوات الواردة في إعداد Hybrid Data Security VM لتكوين الإعدادات من وحدة تحكم العقدة. تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 6.5. قد لا يكون الخيار متاحًا في الإصدارات السابقة.
11	انقر بزر الماوس الأيمن على العقدة VM، ثم اختر التشغيل > التشغيل. تم تثبيت برنامج Hybrid Data Security كضيف على مضيف VM. أنت الآن مستعد لتسجيل الدخول إلى وحدة التحكم وتكوين العقدة. تلميحات استكشاف الأخطاء وإصلاحها قد تواجه تأخيرًا لبضع دقائق قبل وصول حاويات العقدة. تظهر رسالة جدار حماية الجسر على وحدة التحكم أثناء التمهيد الأول، والذي لا يمكنك تسجيل الدخول خلاله.

إعداد Hybrid Data Security VM

استخدم هذا الإجراء لتسجيل الدخول إلى وحدة التحكم VM الخاصة بعقدة Hybrid Data Security لأول مرة وتعيين بيانات اعتماد تسجيل الدخول. يمكنك أيضًا استخدام وحدة التحكم لتكوين إعدادات الشبكة للعقدة إذا لم تقم بتكوينها في وقت نشر OVA.

1	في عميل VMware vSphere، حدد VM node Hybrid Data Security وحدد علامة التبويب وحدة التحكم . يتم تشغيل VM وتظهر مطالبة لتسجيل الدخول. إذا لم يتم عرض المطالبة بتسجيل الدخول، فاضغط على Enter.
2	استخدم تسجيل الدخول الافتراضي وكلمة المرور التالية لتسجيل الدخول وتغيير بيانات الاعتماد: تسجيل الدخول: `المسؤول` كلمة المرور: `cisco` بما أنك تقوم بتسجيل الدخول إلى VM لأول مرة، يتعين عليك تغيير كلمة مرور المسؤول.
3	إذا قمت بالفعل بتكوين إعدادات الشبكة في تثبيت OVA مضيف HDS، فتجاهل بقية هذا الإجراء. بخلاف ذلك، في القائمة الرئيسية، حدد خيار تحرير التكوين .
4	إعداد تكوين ثابت باستخدام عنوان IP وقناع والبوابة ومعلومات DNS. يجب أن تحتوي العقدة الخاصة بك على عنوان IP داخلي واسم DNS. بروتوكول DHCP غير مدعوم.
5	(اختياري) قم بتغيير اسم المضيف أو المجال أو خادم (خوادم) NTP، إذا لزم الأمر لمطابقة سياسة الشبكة لديك. لا تحتاج إلى تعيين المجال ليتطابق المجال الذي استخدمته للحصول على شهادة X.509.
6	احفظ تكوين الشبكة وأعد تشغيل VM حتى تسري التغييرات.

تحميل ISO لتكوين HDS وتثبيته

استخدم هذا الإجراء لتكوين الجهاز الظاهري من ملف ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

قبل البدء

نظرًا لأن ملف ISO يحتوي على المفتاح الرئيسي، يجب أن يتم عرضه فقط على أساس "الحاجة إلى المعرفة"، للوصول إليه من قبل أنظمة إدارة البيانات الهجينة وأي مسؤولين قد يحتاجون إلى إجراء تغييرات. تأكد من أن هؤلاء المسؤولين فقط يمكنهم الوصول إلى مخزن البيانات.

تحميل ملف ISO من جهاز الكمبيوتر:

في جزء التنقل الأيسر لعميل VMware vSphere، انقر على خادم ESXi.
في قائمة الأجهزة من علامة تبويب التكوين، انقر على التخزين.
في قائمة مخزن البيانات، انقر بزر الماوس الأيمن على مخزن بيانات ملفات VM الخاصة بك وانقر على استعراض مخزن البيانات.
انقر على رمز تحميل الملفات، ثم انقر على تحميل ملف.
استعرض الموقع الذي قمت بتنزيل ملف ISO فيه على جهاز الكمبيوتر الخاص بك وانقر على فتح.
انقر على نعم لقبول تحذير عملية التحميل/التنزيل، وأغلق مربع حوار مخزن البيانات.

تركيب ملف ISO:

في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .
انقر على موافق لقبول تحذير خيارات التحرير المقيدة.
انقر على CD/DVD Drive 1، وحدد خيار التثبيت من ملف ISO مخزن بيانات، واستعرض إلى الموقع الذي قمت بتحميل ملف ISO الخاص بالتكوين فيه.
حدد خيار متصل والاتصال عند التشغيل.
احفظ تغييراتك وأعد تشغيل الجهاز الظاهري.

التصرف التالي

إذا كانت سياسة تكنولوجيا المعلومات لديك تتطلب، فيمكنك بشكل اختياري إلغاء تثبيت ملف ISO بعد أن تلتقط جميع العقد الخاصة بك تغييرات التكوين. ارجع إلى (اختياري) إلغاء تثبيت ISO بعد تكوين HDS لمعرفة التفاصيل.

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب وكيلا، فاستخدم هذا الإجراء لتحديد نوع الوكيل الذي تريد دمجه مع "أمان البيانات المختلطة". إذا اخترت وكيل فحص شفاف أو وكيل HTTPS صريح، فيمكنك استخدام واجهة العقدة لتحميل الشهادة الجذر وتثبيتها. يمكنك أيضا التحقق من اتصال الوكيل من الواجهة ، واستكشاف أي مشكلات محتملة وإصلاحها.

قبل البدء

راجع دعم الوكيل للحصول على نظرة عامة على خيارات الوكيل المدعومة.
متطلبات الخادم الوكيل

1	أدخل عنوان URL `لإعداد عقدة HDS https://[HDS Node IP أو FQDN]/الإعداد` في مستعرض ويب، وأدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ثم انقر فوق تسجيل الدخول.
2	انتقل إلى متجر الثقة والوكيل، ثم حدد خيارا: لا يوجد وكيل— الخيار الافتراضي قبل دمج وكيل. لا يلزم تحديث الشهادة. وكيل غير فحص شفاف— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ويجب ألا تتطلب أي تغييرات للعمل مع وكيل غير فحص. لا يلزم تحديث الشهادة. وكيل الفحص الشفاف— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTPS على نشر أمان البيانات المختلط ، ومع ذلك ، تحتاج عقد HDS إلى شهادة جذر حتى تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS). وكيل صريح— باستخدام وكيل صريح، يمكنك إخبار العميل (عُقد HDS) بخادم الوكيل الذي سيتم استخدامه، ويدعم هذا الخيار العديد من أنواع المصادقة. بعد تحديد هذا الخيار، يجب إدخال المعلومات التالية: IP الخاص بالوكيل/FQDN— العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل. منفذ الوكيل— رقم منفذ يستخدمه الوكيل للاستماع إلى حركة مرور الوكيل. بروتوكول الوكيل— اختر http (يعرض جميع الطلبات التي يتم استلامها من العميل ويتحكم فيها) أو https (يوفر قناة للخادم ويتلقى العميل شهادة الخادم ويتحقق من صحتها). حدد خيارا استنادا إلى ما يدعمه الخادم الوكيل. نوع المصادقة— اختر من بين أنواع المصادقة التالية: بلا— لا يلزم إجراء المزيد من المصادقة. متوفر لبروكسيات HTTP أو HTTPS. أساسي— يتم استخدامه لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64. متوفر لبروكسيات HTTP أو HTTPS. إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور. الملخص— يُستخدم لتأكيد الحساب قبل إرسال معلومات حساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة. متوفر لبروكسيات HTTPS فقط. إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور. اتبع الخطوات التالية للحصول على وكيل فحص شفاف أو وكيل HTTP صريح مع مصادقة أساسية أو وكيل HTTPS صريح.
3	انقر فوق تحميل شهادة جذر أو شهادة كيان نهاية، ثم انتقل إلى اختيار الشهادة الجذر للوكيل. تم تحميل الشهادة ولكن لم يتم تثبيتها بعد لأنه يجب إعادة تشغيل العقدة لتثبيت الشهادة. انقر فوق سهم شيفرون بجوار اسم جهة إصدار الشهادة للحصول على مزيد من التفاصيل أو انقر على حذف إذا ارتكبت خطأ وتريد إعادة تحميل الملف.
4	انقر فوق التحقق من اتصال الوكيل لاختبار اتصال الشبكة بين العقدة والوكيل. إذا فشل اختبار الاتصال، فسترى رسالة خطأ توضح السبب وكيفية تصحيح المشكلة. إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة غير قادرة على الوصول إلى خادم DNS. هذا الشرط متوقع في العديد من تكوينات الوكيل الصريحة. يمكنك الاستمرار في الإعداد، وستعمل العقدة في وضع تحليل DNS الخارجي المحظور. إذا كنت تعتقد أن هذا الخطأ، فقم باستكمال هذه الخطوات، ثم ارجع إلى إيقاف تشغيل وضع تحليل DNS الخارجي المحظور.
5	بعد اجتياز اختبار الاتصال، بالنسبة إلى الوكيل الصريح الذي تم تعيينه على https فقط، قم بتشغيل مفتاح التبديل إلى توجيه جميع طلبات https للمنفذ 443/444 من هذه العقدة عبر الوكيلالصريح. يتطلب هذا الإعداد 15 ثانية ليصبح ساري المفعول.
6	انقر فوق تثبيت كافة الشهادات في مخزن الثقة (يظهر لوكيل HTTPS صريح أو وكيل فحص شفاف) أو إعادة تشغيل (يظهر لوكيل HTTP صريح)، واقرأ المطالبة، ثم انقر فوق تثبيت إذا كنت مستعدا. تتم إعادة تشغيل العقدة في غضون بضع دقائق.
7	بعد إعادة تشغيل العقدة، قم بتسجيل الدخول مرة أخرى إذا لزم الأمر، ثم افتح صفحة نظرة عامة للتحقق من عمليات التحقق من الاتصال للتأكد من أنها جميعا في حالة خضراء. يختبر فحص اتصال الوكيل نطاقا فرعيا من webex.com فقط. إذا كانت هناك مشاكل في الاتصال ، فهناك مشكلة شائعة تتمثل في حظر بعض المجالات السحابية المدرجة في إرشادات التثبيت في الوكيل.

تسجيل العقدة الأولى في المجموعة

تأخذ هذه المهمة العقدة العامة التي أنشأتها في إعداد Hybrid Data Security VM، وتسجيل العقدة بسحابة Webex، وتحويلها إلى عقدة Hybrid Data Security.

عند تسجيل العقدة الأولى الخاصة بك، فإنك تقوم بإنشاء مجموعة تم تعيين العقدة لها. تحتوي المجموعة على واحد أو أكثر من العُقد التي تم نشرها لتوفير التكرار.

قبل البدء

بمجرد أن تبدأ تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة أو يجب عليك البدء من جديد.
تأكد من تعطيل أي مانعات النوافذ المنبثقة في المستعرض الخاص بك أو أنك تسمح باستثناء admin.webex.com.

1	سجّل الدخول إلى https://admin.webex.com.
2	من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.
3	في قسم الخدمات الهجينة، ابحث عن أمان البيانات الهجينة وانقر على إعداد. تظهر صفحة "تسجيل Hybrid Data Security Node".
4	حدد نعم للإشارة إلى أنك قمت بإعداد العقدة وأنك جاهز لتسجيلها، ثم انقر على التالي.
5	في الحقل الأول، أدخل اسمًا للمجموعة التي ترغب في تعيين عقدة Hybrid Data Security لها. نوصي بتسمية مجموعة بناءً على موقع عقد المجموعة جغرافيًا. أمثلة: "سان فرانسيسكو" أو "نيويورك" أو "دالاس"
6	في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) للعقدة الخاصة بك وانقر على التالي. يجب أن يتطابق عنوان IP أو FQDN هذا مع عنوان IP أو اسم المضيف والمجال الذي استخدمته في إعداد Hybrid Data Security VM. تظهر رسالة تشير إلى أنه يمكنك تسجيل العقدة الخاصة بك في Webex.
7	انقر على الانتقال إلى العقدة.
8	انقر على متابعة في رسالة التحذير. بعد بضع لحظات، تتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا كانت جميع الاختبارات ناجحة، فستظهر صفحة "السماح بالوصول إلى Hybrid Data Security Node". تؤكد هناك أنك تريد منح أذونات لمؤسسة Webex الخاصة بك للوصول إلى العقدة الخاصة بك.
9	حدد خانة الاختيار السماح بالوصول إلى Hybrid Data Security Node ، ثم انقر على متابعة. تم التحقق من صحة حسابك وتشير رسالة "التسجيل مكتمل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.
10	انقر على الارتباط أو أغلق علامة التبويب للرجوع إلى صفحة Control Hub Hybrid Data Security. في صفحة أمن البيانات الهجينة ، يتم عرض مجموعة النظام الجديدة التي تحتوي على العقدة التي قمت بتسجيلها. ستقوم العقدة تلقائيًا بتنزيل أحدث البرامج من السحابة.

إنشاء وتسجيل المزيد من العقد

لإضافة عقد إضافية إلى المجموعة الخاصة بك، يمكنك ببساطة إنشاء وحدات VM إضافية وتركيب نفس ملف ISO الخاص بالتكوين، ثم تسجيل العقدة. نوصي بأن يكون لديك 3 عُقد على الأقل.

في هذا الوقت، تكون وحدات VM الاحتياطية التي أنشأتها في إكمال المتطلبات الأساسية لأمن البيانات الهجينة هي عبارة عن مضيفين في وضع الاستعداد ولا يتم استخدامها إلا في حالة التعافي من الكوارث؛ ولا يتم تسجيلها في النظام حتى ذلك الحين. لمعرفة التفاصيل، ارجع إلى التعافي من الكوارث باستخدام مركز البيانات الاحتياطي.

قبل البدء

بمجرد أن تبدأ تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة أو يجب عليك البدء من جديد.
تأكد من تعطيل أي مانعات النوافذ المنبثقة في المستعرض الخاص بك أو أنك تسمح باستثناء admin.webex.com.

1	قم بإنشاء جهاز ظاهري جديد من OVA، وكرر الخطوات الواردة في تثبيت HDS Host OVA.
2	قم بإعداد التكوين الأولي على VM الجديد، وكرر الخطوات الواردة في إعداد Hybrid Data Security VM.
3	في VM الجديد، كرر الخطوات الواردة في تحميل وتثبيت ISO لتكوين HDS.
4	إذا كنت تقوم بإعداد وكيل للنشر، فكرر الخطوات الواردة في تكوين عقدة HDS لدمج الوكيل حسب الحاجة للعقدة الجديدة.
5	تسجيل العقدة. في https://admin.webex.com، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة. في قسم الخدمات الهجينة، ابحث عن بطاقة Hybrid Data Security وانقر على الموارد. تظهر صفحة موارد Hybrid Data Security. انقر على إضافة مورد. في الحقل الأول، حدد اسم المجموعة الحالية الخاصة بك. في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) للعقدة الخاصة بك وانقر على التالي. تظهر رسالة تشير إلى أنه يمكنك تسجيل العقدة الخاصة بك في سحابة Webex. انقر على الانتقال إلى العقدة. بعد بضع لحظات، تتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا كانت جميع الاختبارات ناجحة، فستظهر صفحة "السماح بالوصول إلى Hybrid Data Security Node". تؤكد هناك أنك تريد منح أذونات لمؤسستك للوصول إلى العقدة الخاصة بك. حدد خانة الاختيار السماح بالوصول إلى Hybrid Data Security Node ، ثم انقر على متابعة. تم التحقق من صحة حسابك وتشير رسالة "التسجيل مكتمل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex. انقر على الارتباط أو أغلق علامة التبويب للرجوع إلى صفحة Control Hub Hybrid Data Security. تم تسجيل العقدة الخاصة بك. لاحظ أنه حتى تبدأ الإصدار التجريبي، تقوم العقد الخاصة بك بإنشاء تنبيه يشير إلى أن الخدمة الخاصة بك لم يتم تنشيطها بعد.

التصرف التالي

تشغيل إصدار تجريبي والانتقال إلى الإنتاج (الفصل التالي)

تشغيل إصدار تجريبي والانتقال إلى الإنتاج

تدفق مهام الإصدار التجريبي إلى الإنتاج

بعد إعداد مجموعة Hybrid Data Security، يمكنك بدء إصدار تجريبي وإضافة مستخدمين إليه وبدء استخدامه لاختبار النشر والتحقق منه استعدادًا للانتقال إلى الإنتاج.

قبل البدء

قم بإعداد مجموعة Hybrid Data Security

1	إذا كان ذلك ممكنًا، فقم بمزامنة كائن مجموعة `HdsTrialGroup` . إذا كانت مؤسستك تستخدم مزامنة الدليل للمستخدمين، فيجب عليك تحديد كائن مجموعة `HdsTrialGroup` من أجل المزامنة مع السحابة قبل أن تتمكن من بدء الإصدار التجريبي. للحصول على إرشادات، ارجع إلى دليل نشر موصل دليل Cisco.
2	تنشيط الإصدار التجريبي ابدأ تجربة. إلى أن تقوم بهذه المهمة، تقوم العقد بإنشاء تنبيه يشير إلى أن الخدمة لم يتم تنشيطها بعد.
3	اختبار نشر Hybrid Data Security الخاص بك تحقق من تمرير طلبات المفاتيح إلى نشر Hybrid Data Security الخاص بك.
4	مراقبة صحة أمان البيانات الهجينة تحقق من الحالة، وقم بإعداد إعلامات البريد الإلكتروني للتنبيهات.
5	إضافة أو إزالة المستخدمين من إصدارك التجريبي
6	أكمل المرحلة التجريبية بأحد الإجراءات التالية: الانتقال من الإصدار التجريبي إلى الإنتاج إنهاء الفترة التجريبية دون الانتقال إلى الإنتاج

تنشيط الإصدار التجريبي

قبل البدء

إذا كانت مؤسستك تستخدم مزامنة الدليل للمستخدمين، فيجب عليك تحديد كائن مجموعة HdsTrialGroup الخاص بالمزامنة مع السحابة قبل أن تتمكن من بدء إصدار تجريبي لمؤسستك. للحصول على إرشادات، ارجع إلى دليل نشر موصل دليل Cisco.

1	سجّل الدخول إلى https://admin.webex.com، ثم حدد الخدمات.
2	تحت أمان البيانات الهجينة، انقر على الإعدادات.
3	في قسم "حالة الخدمة"، انقر على بدء الإصدار التجريبي. تتغير حالة الخدمة إلى وضع الإصدار التجريبي.
4	انقر على إضافة مستخدمين وأدخل عنوان البريد الإلكتروني لمستخدم واحد أو أكثر للتوجيه باستخدام عُقد Hybrid Data Security لخدمات التشفير والفهرسة. (إذا كانت مؤسستك تستخدم مزامنة الدليل، فاستخدم Active Directory لإدارة المجموعة التجريبية، `HdsTrialGroup`.)

اختبار نشر Hybrid Data Security الخاص بك

استخدم هذا الإجراء لاختبار سيناريوهات تشفير Hybrid Data Security.

قبل البدء

قم بإعداد نشر Hybrid Data Security الخاص بك.
قم بتنشيط الإصدار التجريبي وإضافة العديد من مستخدمي الإصدار التجريبي.
تأكد من امتلاكك حق الوصول إلى سجل النظام للتحقق من تمرير طلبات المفاتيح إلى نشر Hybrid Data Security الخاص بك.

يتم تعيين مفاتيح مساحة معينة بواسطة منشئ المساحة. سجّل الدخول إلى تطبيق Webex باعتباره أحد المستخدمين الإرشاديين، ثم قم بإنشاء مساحة ودعوة مستخدم تجريبي واحد ومستخدم آخر غير إرشادي على الأقل.

إذا قمت بإلغاء تنشيط نشر Hybrid Data Security، فلن يتاح الوصول إلى المحتوى الموجود في المساحات التي ينشئها المستخدمون الإرشاديون بمجرد استبدال النسخ المخزنة مؤقتًا من مفاتيح التشفير.

إرسال الرسائل إلى المساحة الجديدة.

تحقق من مخرجات سجل النظام للتحقق من أن طلبات المفاتيح تنتقل إلى نشر Hybrid Data Security الخاص بك.

للتحقق من قيام مستخدم أولاً بإنشاء قناة آمنة إلى KMS، قم بالتصفية على kms.data.method=create وkms.data.type=EPHEMERAL_KEY_collection:

يجب العثور على إدخال مثل ما يلي (المعرفات مختصرة من أجل قابلية القراءة):

2020-07-21 17:35:34.562 (+0000) معلومات KMS [pool-14-thread-1] - [KMS:REQUEST] تم استلامها، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9⁩ إيدهي كيد: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_collection, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

للتحقق من مستخدم يطلب مفتاح موجود من KMS، قم بالتصفية في kms.data.method=retrieve وkms.data.type=KEY:

يجب عليك العثور على إدخال مثل:

2020-07-21 17:44:19.889 (+0000) معلومات KMS [pool-14-thread-31] - [KMS:REQUEST] تم استلام، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ إيدهي كيد: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

للتحقق من مستخدم يطلب إنشاء مفتاح KMS جديد، قم بالتصفية في kms.data.method=create وkms.data.type=KEY_collection:

يجب عليك العثور على إدخال مثل:

2020-07-21 17:44:21.975 (+0000) معلومات KMS [pool-14-thread-33] - [KMS:REQUEST] تم استلام، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ إيدهي كيد: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_collection, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

للتحقق من وجود مستخدم يطلب إنشاء كائن مورد KMS (KRO) جديد عند إنشاء مساحة أو مورد آخر محمي، قم بالتصفية على kms.data.method=create وkms.data.type=RESOURCE_COLLECTION:

يجب عليك العثور على إدخال مثل:

2020-07-21 17:44:22.808 (+0000) معلومات KMS [POOL-15-THREAD-1] - [KMS:REQUEST] تم استلام، معرف الجهاز: ⁦https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f⁩ إيدهي كيد: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_collection, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

مراقبة صحة أمان البيانات الهجينة

يوضح لك مؤشر الحالة داخل Control Hub ما إذا كان كل شيء على ما يرام مع نشر Hybrid Data Security. للحصول على تنبيه أكثر استباقية، سجّل الاشتراك للحصول على إشعارات البريد الإلكتروني. سيتم إعلامك عند وجود تنبيهات تؤثر على الخدمات أو ترقيات للبرامج.

1	في Control Hub، حدد الخدمات من القائمة على الجانب الأيسر من الشاشة.
2	في قسم الخدمات الهجينة، ابحث عن أمان البيانات الهجينة وانقر على الإعدادات. تظهر صفحة إعدادات Hybrid Data Security.
3	في قسم "إشعارات البريد الإلكتروني"، اكتب عنوان بريد إلكتروني واحد أو أكثر مفصولاً بفواصل، واضغط على Enter.

إضافة أو إزالة المستخدمين من إصدارك التجريبي

بعد تنشيط إصدار تجريبي وإضافة المجموعة الأولية من مستخدمي الإصدار التجريبي، يمكنك إضافة أو إزالة أعضاء الإصدار التجريبي في أي وقت يكون الإصدار التجريبي نشطًا.

إذا قمت بإزالة مستخدم من الإصدار التجريبي، فسيطلب عميل المستخدم إنشاء المفاتيح والمفاتيح من KMS على السحابة بدلاً من KMS الخاص بك. إذا كان العميل يحتاج إلى مفتاح يتم تخزينه على KMS الخاص بك، فسوف يقوم KMS على السحابة بإحضار المفتاح نيابة عن المستخدم.

إذا كانت مؤسستك تستخدم مزامنة الدليل، فاستخدم Active Directory (بدلاً من هذا الإجراء) لإدارة المجموعة التجريبية، HdsTrialGroup؛ يمكنك عرض أعضاء المجموعة في Control Hub ولكن لا يمكنك إضافتهم أو إزالتهم.

1	سجّل الدخول إلى Control Hub، ثم حدد الخدمات.
2	تحت أمان البيانات الهجينة، انقر على الإعدادات.
3	في قسم "الوضع التجريبي" في منطقة "حالة الخدمة"، انقر على إضافة مستخدمين، أو انقر على عرض وتحرير لإزالة المستخدمين من الإصدار التجريبي.
4	أدخل عنوان البريد الإلكتروني لمستخدم واحد أو أكثر لإضافته، أو انقر على X الموجود بجوار معرف مستخدم لإزالة المستخدم من الإصدار التجريبي. ثم انقر على حفظ.

الانتقال من الإصدار التجريبي إلى الإنتاج

عندما تشعر بالرضا حيال عمل النشر بشكل جيد لمستخدمي الإصدار التجريبي، يمكنك الانتقال إلى الإنتاج. عند الانتقال إلى الإنتاج، سيستخدم كل المستخدمين في المؤسسة مجال Hybrid Data Security الداخلي الخاص بك لمفاتيح التشفير وخدمات نطاق الأمان الأخرى. لا يمكنك العودة إلى الوضع التجريبي من الإنتاج ما لم تقم بإلغاء تنشيط الخدمة كجزء من التعافي من الكوارث. تتطلب إعادة تنشيط الخدمة منك إعداد إصدار تجريبي جديد.

1	سجّل الدخول إلى Control Hub، ثم حدد الخدمات.
2	تحت أمان البيانات الهجينة، انقر على الإعدادات.
3	في قسم "حالة الخدمة"، انقر على الانتقال إلى الإنتاج.
4	قم بتأكيد رغبتك في نقل كل المستخدمين لديك إلى الإنتاج.

إنهاء الفترة التجريبية دون الانتقال إلى الإنتاج

إذا قررت أثناء الإصدار التجريبي عدم المضي قدمًا في نشر Hybrid Data Security الخاص بك، فيمكنك إلغاء تنشيط Hybrid Data Security، والذي ينهي الإصدار التجريبي وينقل مستخدمي الإصدار التجريبي مرة أخرى إلى خدمات أمان البيانات السحابية. سيفقد مستخدمو الإصدار التجريبي صلاحية الوصول إلى البيانات التي تم تشفيرها أثناء الإصدار التجريبي.

1	سجّل الدخول إلى Control Hub، ثم حدد الخدمات.
2	تحت أمان البيانات الهجينة، انقر على الإعدادات.
3	في قسم إلغاء التنشيط، انقر على إلغاء التنشيط.
4	قم بتأكيد رغبتك في إلغاء تنشيط الخدمة وإنهاء الإصدار التجريبي.

إدارة نشر HDS

استخدم المهام الموضحة هنا لإدارة نشر Hybrid Data Security الخاص بك.

تعيين جدول ترقية المجموعة

يتم تنفيذ ترقيات البرامج لـ Hybrid Data Security تلقائيًا على مستوى المجموعة، مما يضمن تشغيل نفس إصدار البرنامج في جميع العقد دائمًا. يتم تنفيذ الترقيات وفقًا للجدول الزمني لترقية المجموعة. عندما تصبح ترقية برنامج متاحة، لديك خيار ترقية مجموعة النظام يدويًا قبل وقت الترقية المجدول. يمكنك تعيين جدول ترقية معين أو استخدام الجدول الافتراضي في 3:00 صباحًا يوميًا في الولايات المتحدة: أمريكا / لوس أنجلوس. يمكنك أيضًا اختيار تأجيل الترقية القادمة، إذا لزم الأمر.

لتعيين جدول الترقية:

1	سجل الدخول إلى مركز التحكم.
2	في صفحة النظرة العامة، ضمن الخدمات الهجينة، حدد أمان البيانات الهجينة.
3	في صفحة موارد أمن البيانات الهجينة، حدد مجموعة النظام.
4	في لوحة النظرة العامة على اليمين، ضمن إعدادات المجموعة، حدد اسم المجموعة.
5	في صفحة الإعدادات، ضمن الترقية، حدد الوقت والمنطقة الزمنية لجدول الترقية. ملاحظات ضمن المنطقة الزمنية، يتم عرض تاريخ ووقت الترقية المتوفر التاليين. يمكنك تأجيل الترقية إلى اليوم التالي، إذا لزم الأمر، عن طريق النقر على تأجيل.

تغيير تكوين العقدة

في بعض الأحيان قد تحتاج إلى تغيير تكوين عقدة أمان البيانات المختلطة لسبب مثل:

تغيير شهادات X.509 بسبب انتهاء الصلاحية أو لأسباب أخرى.

لا ندعم تغيير اسم مجال CN للشهادة. يجب أن يتطابق المجال مع المجال الأصلي المستخدم لتسجيل الكتلة.
تحديث إعدادات قاعدة البيانات للتغيير إلى نسخة متماثلة من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

لا ندعم ترحيل البيانات من PostgreSQL إلى Microsoft SQL Server ، أو العكس. لتبديل بيئة قاعدة البيانات ، ابدأ عملية نشر جديدة لـ Hybrid Data Security.
إنشاء تكوين جديد لإعداد مركز بيانات جديد.

أيضا ، لأغراض أمنية ، يستخدم Hybrid Data Security كلمات مرور حساب الخدمة التي لها عمر افتراضي يبلغ تسعة أشهر. بعد أن تقوم أداة إعداد HDS بإنشاء كلمات المرور هذه، يمكنك نشرها على كل عقد من عقد HDS في ملف تكوين ISO. عندما تقترب كلمات مرور مؤسستك من انتهاء الصلاحية، تتلقى إشعارا من فريق Webex لإعادة تعيين كلمة المرور لحساب الجهاز. (يتضمن البريد الإلكتروني النص ، "استخدم واجهة برمجة تطبيقات حساب الجهاز لتحديث كلمة المرور.") إذا لم تنته صلاحية كلمات المرور الخاصة بك بعد ، تمنحك الأداة خيارين:

إعادة التعيين السلس— تعمل كلمتا المرور القديمة والجديدة لمدة تصل إلى 10 أيام. استخدم هذه الفترة لاستبدال ملف ISO على العقد بالتدريج.
إعادة التعيين الصعب— تتوقف كلمات المرور القديمة عن العمل على الفور.

إذا انتهت صلاحية كلمات المرور الخاصة بك دون إعادة تعيين ، فسيؤثر ذلك على خدمة HDS الخاصة بك ، مما يتطلب إعادة تعيين ثابت واستبدال ملف ISO على جميع العقد.

استخدم هذا الإجراء لإنشاء ملف ISO تكوين جديد وتطبيقه على نظام المجموعة الخاص بك.

قبل البدء

إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم والمنفذ وبيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في 1.e. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

الوصف	المتغير
وكيل HTTP بدون مصادقة	وكيل `HTTP_عام__الوكيل=http://SERVER_IP:PORT`
وكيل HTTPS بدون مصادقة	وكيل `HTTPS_عام__الوكيل=http://SERVER_IP:المنفذ`
وكيل HTTP مع المصادقة	وكيل `HTTP_عام__PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
وكيل HTTPS مع المصادقة	وكيل `عام_HTTPS__proxy=http://username:password@server_IP:المنفذ`

أنت بحاجة إلى نسخة من ملف ISO للتكوين الحالي لإنشاء تكوين جديد. يحتوي ISO على المفتاح الرئيسي الذي يعمل على تشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. أنت بحاجة إلى ISO عند إجراء تغييرات التكوين ، بما في ذلك بيانات اعتماد قاعدة البيانات أو تحديثات الشهادة أو التغييرات على سياسة التفويض.

1	باستخدام Docker على جهاز محلي ، قم بتشغيل أداة إعداد HDS. في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك: في البيئات العادية: `docker rmi ciscocitg / hds-setup: stable` في بيئات FedRAMP: `docker rmi ciscocitg / hds-setup-fedramp: stable` تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله. لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي: `دوكر تسجيل الدخول - u hdscustomersro` في موجه كلمة المرور ، أدخل هذه التجزئة: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` قم بتنزيل أحدث صورة مستقرة لبيئتك: في البيئات العادية: `دوكر سحب ciscocitg / hds-setup: مستقر` في بيئات FedRAMP: `دوكر سحب ciscocitg / hds-setup-fedramp: stable` تأكد من سحب أحدث أداة إعداد لهذا الإجراء. لا تحتوي إصدارات الأداة التي تم إنشاؤها قبل 22 فبراير 2018 على شاشات إعادة تعيين كلمة المرور. عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك: في البيئات العادية بدون وكيل: `دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup: stable` في البيئات العادية باستخدام وكيل HTTP: `docker التشغيل -p 8080: 8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` في البيئات العادية باستخدام HTTPSproxy: `تشغيل docker -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup:stable` في بيئات FedRAMP بدون وكيل: `دوكر تشغيل -p 8080: 8080 --rm -it ciscocitg / hds-setup-fedramp: stable` في بيئات FedRAMP باستخدام وكيل HTTP: `docker التشغيل -p 8080:8080 --rm -it -e GLOBAL_الوكيل_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` في بيئات FedRAMP باستخدام وكيل HTTPS: `تشغيل docker -p 8080:8080 --rm -it -e عالمي_الوكيل_HTTPS_PROXY=HTTP://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` عند تشغيل الحاوية، سترى "الاستماع السريع إلى الخادم على المنفذ 8080". استخدم متصفحا للاتصال بالمضيف المحلي ، `http://127.0.0.1:8080`. لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي. أدخل بيانات اعتماد تسجيل دخول عميل Control Hub الخاص بك عند مطالبتك بذلك، ثم انقر على قبول للمتابعة. قم باستيراد ملف ISO للتكوين الحالي. اتبع المطالبات لإكمال الأداة وتنزيل الملف المحدث. لإيقاف أداة الإعداد، اكتب `CTRL+C`. قم بإنشاء نسخة احتياطية من الملف المحدث في مركز بيانات آخر.
2	إذا كان لديك عقدة HDS واحدة فقط قيد التشغيل، فقم بإنشاء Hybrid Data Security Node VM جديدة وقم بتسجيلها باستخدام ملف ISO للتكوين الجديد. للحصول على إرشادات تفصيلية، ارجع إلى إنشاء وتسجيل المزيد من العقد. قم بتثبيت مضيف HDS OVA. قم بإعداد HDS VM. قم بتحميل ملف التكوين المحدث. سجل العقدة الجديدة في مركزالتحكم.
3	بالنسبة لعقد HDS الحالية التي تقوم بتشغيل ملف التكوين الأقدم ، قم بتحميل ملف ISO. نفذ الإجراء التالي على كل عقدة على حدة ، وقم بتحديث كل عقدة قبل إيقاف تشغيل العقدة التالية: قم بإيقاف تشغيل الآلة الافتراضية. في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات . انقر فوق `محرك الأقراص المضغوطة/أقراص DVD 1`، وحدد خيار التحميل من ملف ISO، واستعرض وصولا إلى الموقع الذي قمت بتنزيل ملف ISO الجديد منه للتكوين. حدد التوصيل أثناء التشغيل . احفظ التغييرات وقم بتشغيل الجهاز الظاهري.
4	كرر الخطوة 3 لاستبدال التكوين على كل عقدة متبقية تقوم بتشغيل التكوين القديم.

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. إذا تعذر على خادم DNS الخاص بالعقدة حل أسماء DNS العامة، فستنتقل العقدة تلقائيا إلى وضع حل DNS الخارجي المحظور.

إذا كانت العقد قادرة على حل أسماء DNS العامة من خلال خوادم DNS الداخلية، فيمكنك إيقاف تشغيل هذا الوضع عن طريق إعادة تشغيل اختبار اتصال الوكيل على كل عقدة.

قبل البدء

تأكد من أن خوادم DNS الداخلية يمكنها حل أسماء DNS العامة، وأن العقد يمكنها التواصل معها.

1	في مستعرض ويب، افتح واجهة عقدة أمان البيانات المختلطة (عنوان IP/الإعداد، على سبيل المثال، أدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ⁦https://192.0.2.0/setup),⁩ ثم انقر فوق تسجيل الدخول.
2	انتقل إلى نظرة عامة (الصفحة الافتراضية). عند تمكينه، يتم تعيين دقة DNS الخارجية المحظورة إلى نعم.
3	انتقل إلى صفحة متجر الثقة والوكيل .
4	انقر فوق التحقق من اتصال الوكيل. إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة لم تتمكن من الوصول إلى خادم DNS وستظل في هذا الوضع. وإلا، بعد إعادة تشغيل العقدة والعودة إلى صفحة نظرة عامة ، يجب تعيين دقة DNS الخارجية المحظورة إلى لا.

التصرف التالي

كرر اختبار اتصال الوكيل على كل عقدة في مجموعة أمان البيانات المختلطة.

إزالة عقدة

استخدم هذا الإجراء لإزالة عقدة Hybrid Data Security من سحابة Webex. بعد إزالة العقدة من المجموعة، احذف الجهاز الظاهري لمنع المزيد من الوصول إلى بيانات الأمان الخاصة بك.

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى مضيف ESXi الظاهري وإيقاف تشغيل الجهاز الظاهري.

إزالة العقدة:

سجّل الدخول إلى Control Hub، ثم حدد الخدمات.
في بطاقة Hybrid Data Security، انقر على عرض الكل لعرض صفحة موارد Hybrid Data Security.
حدد مجموعتك لعرض لوحة النظرة العامة الخاصة بها.
انقر على فتح قائمة العقد.
في علامة تبويب العقد، حدد العقدة التي تريد إزالتها.
انقر على الإجراءات > إلغاء تسجيل العقدة.

في عميل vSphere، احذف VM. (في جزء التنقل الأيسر، انقر بزر الماوس الأيمن على VM وانقر على حذف.)

إذا لم تحذف VM، فتذكر إلغاء تثبيت ملف ISO الخاص بالتكوين. دون ملف ISO، لا يمكنك استخدام VM للوصول إلى بيانات الأمان الخاصة بك.

التعافي من الكوارث باستخدام مركز البيانات الاحتياطي

تتمثل الخدمة الأكثر أهمية التي توفرها مجموعة Hybrid Data Security الخاصة بك في إنشاء وتخزين المفاتيح المستخدمة لتشفير الرسائل والمحتوى الآخر المخزن في سحابة Webex. لكل مستخدم داخل المؤسسة تم تعيينه لـ Hybrid Data Security، يتم توجيه طلبات إنشاء المفاتيح الجديدة إلى مجموعة النظام. وتتحمل المجموعة أيضًا مسؤولية إرجاع المفاتيح التي أنشأتها إلى أي مستخدمين مصرح باستعادتها، على سبيل المثال، أعضاء مساحة محادثة.

نظرًا لأن المجموعة تؤدي الوظيفة الحرجة المتمثلة في توفير هذه المفاتيح، فمن الضروري أن تظل المجموعة قيد التشغيل والحفاظ على النسخ الاحتياطية المناسبة. سيؤدي فقدان قاعدة بيانات Hybrid Data Security أو تكوين ISO المستخدم للمخطط إلى فقدان محتوى العميل لا يمكن استرداده. الممارسات التالية إلزامية لمنع مثل هذه الخسارة:

إذا تسببت الكارثة في عدم توفر نشر HDS في مركز البيانات الأساسي، فاتبع هذا الإجراء لتجاوز الفشل يدويًا إلى مركز البيانات الاحتياطي.

1	ابدأ أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء ISO لتكوين المضيفين HDS.
2	بعد تكوين خادم Syslogd، انقر على الإعدادات المتقدمة
3	في صفحة الإعدادات المتقدمة ، أضف التكوين أدناه أو قم بإزالة تكوين `PassiveMode` لتنشيط العقدة. يمكن للعقدة معالجة حركة المرور بمجرد تكوين ذلك. `الوضع السلبي: "خطأ"`
4	أكمل عملية التكوين واحفظ ملف ISO في موقع يسهل العثور عليه.
5	قم بعمل نسخة احتياطية من ملف ISO في نظامك المحلي. حافظ على أمان النسخ الاحتياطي. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. يمكنك تقييد الوصول ليقتصر على مسؤولي Hybrid Data Security الذين يجب عليهم إجراء تغييرات على التكوين فقط.
6	في جزء التنقل الأيسر لعميل VMware vSphere، انقر بزر الماوس الأيمن على VM وانقر على تحرير الإعدادات..
7	انقر على تحرير الإعدادات >CD/DVD Drive 1 وحدد ملف Datastore ISO. تأكد من تحديد متصل واتصال عند التشغيل حتى تسري تغييرات التكوين المحدّثة بعد بدء العقد.
8	قم بتشغيل عقدة HDS وتأكد من عدم وجود تنبيهات لمدة 15 دقيقة على الأقل.
9	كرر العملية لكل عقدة في مركز البيانات الاحتياطي. تحقق من مخرجات سجل النظام للتحقق من أن عُقد مركز بيانات الاستعداد ليست في وضع سلبي. يجب ألا يظهر "KMS الذي تم تكوينه في الوضع السلبي" في سجلات النظام.

التصرف التالي

بعد تجاوز الفشل، إذا أصبح مركز البيانات الأساسي نشطًا مرة أخرى، فقم بوضع مركز البيانات الاحتياطي في الوضع السلبي مرة أخرى من خلال اتباع الخطوات الموضحة في إعداد مركز البيانات الاحتياطي لاستعادة القدرة على العمل بعد الكوارث.

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

يعمل تكوين HDS القياسي مع تثبيت ISO. ولكن، يفضل بعض العملاء عدم ترك ملفات ISO مثبتة باستمرار. يمكنك إلغاء تثبيت ملف ISO بعد أن تلتقط جميع عُقد HDS التكوين الجديد.

ما زلت تستخدم ملفات ISO لإجراء تغييرات على التكوين. عند إنشاء ISO جديد أو تحديث ISO من خلال أداة الإعداد، يجب عليك تثبيت ISO المحدث على جميع عُقد HDS الخاصة بك. بمجرد أن يتم التقاط جميع العقد الخاصة بك تغييرات التكوين، يمكنك إلغاء تثبيت ISO مرة أخرى باستخدام هذا الإجراء.

قبل البدء

قم بترقية كل عقد HDS الخاصة بك إلى الإصدار 2021.01.22.4720 أو أحدث.

1	أغلق إحدى عُقد HDS الخاصة بك.
2	في جهاز خادم vCenter، حدد عقدة HDS.
3	اختر تحرير الإعدادات > محرك أقراص CD/DVD وقم بإلغاء تحديد ملف ISO لتخزين البيانات.
4	قم بتشغيل عقدة HDS وتأكد من عدم وجود تنبيهات لمدة 20 دقيقة على الأقل.
5	التكرار لكل عقدة HDS بدورها.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

يتم اعتبار نشر Hybrid Data Security غير متاح إذا تعذر الوصول إلى كل العقد في المجموعة، أو كانت المجموعة تعمل ببطء شديد ويتطلب انتهاء المهلة. إذا لم يتمكن المستخدمون من الوصول إلى مجموعة Hybrid Data Security الخاصة بك، فسيتعرضون للأعراض التالية:

لا يمكن إنشاء مساحات جديدة (يتعذر إنشاء مفاتيح جديدة)
فشل فك تشفير الرسائل وعناوين المساحات من أجل:
- تم إضافة مستخدمين جدد إلى مساحة (يتعذر جلب المفاتيح)
- المستخدمون الموجودون في مساحة باستخدام عميل جديد (يتعذر جلب المفاتيح)
سيستمر تشغيل المستخدمين الموجودين في مساحة بنجاح ما دام العملاء لديهم ذاكرة تخزين مؤقت لمفاتيح التشفير

من المهم أن تقوم بمراقبة مجموعة Hybrid Data Security الخاصة بك بشكل صحيح ومعالجة أي تنبيهات على الفور لتجنب انقطاع الخدمة.

التنبيهات

إذا كانت هناك مشكلة في إعداد Hybrid Data Security، فسيعرض Control Hub التنبيهات إلى مسؤول المؤسسة، ويرسل رسائل بريد إلكتروني إلى عنوان البريد الإلكتروني الذي تم تكوينه. تغطي التنبيهات العديد من السيناريوهات الشائعة.

الجدول رقم 1. المشاكل الشائعة وخطوات حلها
تنبيه	الإجراء
فشل الوصول إلى قاعدة البيانات المحلية.	التحقق من وجود أخطاء في قاعدة البيانات أو مشاكل في الشبكة المحلية.
فشل في اتصال قاعدة البيانات المحلية.	تحقق من توفر خادم قاعدة البيانات، وتم استخدام بيانات اعتماد حساب الخدمة الصحيحة في تكوين العقدة.
فشل الوصول إلى الخدمة السحابية.	تحقق من إمكانية وصول العقد إلى خوادم Webex كما هو محدد في متطلبات الاتصال الخارجي.
تجديد تسجيل خدمة السحابة.	تم إسقاط التسجيل في خدمات السحابة. تجديد التسجيل قيد التقدم.
تم إسقاط تسجيل الخدمة السحابية.	تم إنهاء التسجيل في خدمات السحابة. تم إيقاف تشغيل الخدمة.
لم يتم تنشيط الخدمة بعد.	قم بتنشيط إصدار تجريبي، أو قم بإنهاء نقل الإصدار التجريبي إلى الإنتاج.
لا يتطابق المجال الذي تم تكوينه مع شهادة الخادم.	تأكد من أن شهادة الخادم لديك تطابق مجال تنشيط الخدمة الذي تم تكوينه. السبب الأكثر احتمالاً هو أن CN الخاص بالشهادة تم تغييرها مؤخرًا وهي الآن مختلفة عن CN الذي تم استخدامه أثناء الإعداد الأولي.
فشلت المصادقة لخدمات السحابة.	تحقق من دقة بيانات اعتماد حساب الخدمة واحتمال انتهاء صلاحيتها.
فشل فتح ملف مخزن المفاتيح المحلي.	تحقق من السلامة وكلمة المرور في ملف متجر المفاتيح المحلي.
شهادة الخادم المحلي غير صالحة.	تحقق من تاريخ انتهاء صلاحية شهادة الخادم وتأكد من أنه تم إصدارها من قبل مرجع شهادة موثوق فيه.
يتعذر نشر القياسات.	تحقق من وصول الشبكة المحلية إلى خدمات السحابة الخارجية.
دليل /media/configdrive/hds غير موجود.	تحقق من تكوين تثبيت ISO على المضيف الظاهري. تحقق من وجود ملف ISO ومن تكوينه للتثبيت عند إعادة التمهيد ومن أنه تم تثبيته بنجاح.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

استخدم الإرشادات العامة التالية عند استكشاف مشكلات Hybrid Data Security وإصلاحها.

1	راجع Control Hub للاطلاع على أي تنبيهات وإصلاح أي عناصر تجدها هناك.
2	راجع إخراج خادم سجل النظام للنشاط الناتج عن نشر Hybrid Data Security.
3	تواصل مع دعم Cisco.

ملاحظات أخرى

المشاكل المعروفة لأمن البيانات الهجينة

إذا قمت بإغلاق مجموعة Hybrid Data Security (عن طريق حذفها في Control Hub أو بإغلاق كل العقد)، أو فقدت ملف ISO الخاص بالتكوين، أو فقدت صلاحية الوصول إلى قاعدة بيانات متجر المفاتيح، فلن يستطيع مستخدمو تطبيق Webex استخدام المساحات الموجودة ضمن قائمة الأشخاص الخاصة بهم والتي تم إنشاؤها باستخدام المفاتيح من KMS الخاص بك. ينطبق هذا على كل من عمليات الإصدار التجريبي وعمليات الإنتاج. ليس لدينا حاليًا حل أو إصلاح لهذه المشكلة ونحثك على عدم إيقاف خدمات HDS الخاصة بك بمجرد معالجة حسابات المستخدمين النشطين.
يحتفظ العميل الذي لديه اتصال حالي بـ ECDH بـ KMS بهذا الاتصال لفترة من الوقت (ربما ساعة واحدة). عندما يصبح المستخدم عضوًا في إصدار Hybrid Data Security التجريبي، يستمر عميل المستخدم في استخدام اتصال ECDH الحالي حتى انتهاء المهلة. ويمكن للمستخدم بدلاً من ذلك تسجيل الخروج والعودة إلى تطبيق Webex لتحديث الموقع الذي يتصل به التطبيق من أجل مفاتيح التشفير.

يحدث نفس السلوك عند نقل إصدار تجريبي إلى الإنتاج للمؤسسة. سيستمر جميع المستخدمين غير المشاركين في الإصدار التجريبي ممن لديهم اتصالات حالية بخدمات أمان البيانات السابقة في استخدام هذه الخدمات حتى تتم إعادة التفاوض على اتصال ECDH (عبر انتهاء المهلة أو عن طريق تسجيل الخروج ثم تسجيل الدخول مرة أخرى).

استخدم OpenSSL لإنشاء ملف PKCS12

قبل البدء

OpenSSL هي أداة واحدة يمكن استخدامها لجعل ملف PKCS12 بالتنسيق المناسب للتحميل في أداة إعداد HDS. هناك طرق أخرى للقيام بذلك، ونحن لا ندعم أو نشجع واحدة على الأخرى.
إذا اخترت استخدام OpenSSL، فإننا نوفر هذا الإجراء كدليل لمساعدتك على إنشاء ملف يفي بمتطلبات شهادة X.509 في متطلبات شهادة X.509. يجب فهم تلك المتطلبات قبل المتابعة.
قم بتثبيت OpenSSL في بيئة مدعومة. راجع https://www.openssl.org للاطلاع على البرامج والوثائق.
قم بإنشاء مفتاح خاص.
ابدأ هذا الإجراء عند استلام شهادة الخادم من جهة إصدار الشهادة (CA) لديك.

1	عند استلام شهادة الخادم من المرجع المصدق الخاص بك، احفظ الشهادة باسم `hdsnode.pem`.
2	اعرض الشهادة كنص، وتحقق من التفاصيل. `openssl x509 -text -noout -في hdsnode.pem`
3	استخدم محرر نصوص لإنشاء ملف حزمة شهادة يسمى `hdsnode-bundle.pem`. يجب أن يتضمن الملف المجمع شهادة الخادم وأي شهادات CA وسيطة وشهادات CA الجذر، بالتنسيق التالي: `----BEGIN CERTIFICATE------ ## شهادة الخادم. ### -----END CERTIFICATE----------- BEGIN CERTIFICATE------ ### شهادة CA الوسيطة. ### -----END CERTIFICATE--------- BEGIN CERTIFICATE---- ### شهادة CA الجذر. ### -----END CERTIFICATE-----`
4	قم بإنشاء ملف .p12 بالاسم الودي `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	تحقق من تفاصيل شهادة الخادم. `openssl pkcs12 -في hdsnode.p12` أدخل كلمة مرور عند المطالبة لتشفير المفتاح الخاص بحيث يتم إدراجه في المخرجات. بعد ذلك، تحقق من أن المفتاح الخاص والشهادة الأولى تتضمن الخطوط `friendlyName: مفتاح kms-private-key`. مثال: bash$ openssl pkcs12 -in hdsnode.p12 أدخل كلمة المرور الاستيراد: قام MAC بالتحقق من سمات حقيبة الموافقة وديةName: معرِّف مفتاح خاص المحليKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 السمات الرئيسية: أدخل عبارة مرور PEM: التحقق - أدخل عبارة مرور PEM: -----بدء المفتاح الخاص المشفر----- ----- نهاية المفتاح الخاص المشفر----- سمات الحقيبة وديةName: معرِّف مفتاح خاص المحليKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- ----END CERTIFICATE------ سمات الحقيبة friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt Authority Issuer X3=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- ----END CERTIFICATE----

التصرف التالي

ارجع إلى إكمال المتطلبات الأساسية لأمن البيانات الهجينة. ستستخدم ملف hdsnode.p12 ، وكلمة المرور التي قمت بتعيينها له، في إنشاء ISO لتكوين لمضيفين HDS.

يمكنك إعادة استخدام هذه الملفات لطلب شهادة جديدة عند انتهاء صلاحية الشهادة الأصلية.

حركة المرور بين عُقد HDS والسحابة

حركة مرور جمع المقاييس الصادرة

ترسل عُقد Hybrid Data Security قياسات معينة إلى سحابة Webex. وتشمل هذه قياسات النظام للحد الأقصى لكومة البيانات، وحمل وحدة المعالجة المركزية، وعدد المواضيع؛ والقياسات المتعلقة بالمواضيع المتزامنة وغير المتزامنة؛ والقياسات المتعلقة بالتنبيهات التي تنطوي على حد اتصالات التشفير أو زمن الانتقال أو طول قائمة انتظار الطلب؛ والقياسات المتعلقة بمخزن البيانات؛ وقياسات اتصال التشفير. ترسل العقد مواد مفتاح مشفرة عبر قناة خارج النطاق (منفصلة عن الطلب).

حركة المرور الواردة

تتلقى عُقد أمان البيانات الهجينة الأنواع التالية من حركة المرور الواردة من سحابة Webex:

طلبات التشفير من العملاء، الذين يتم توجيههم من خلال خدمة التشفير
ترقيات إلى برنامج العقدة

تكوين وكلاء Squid لأمن البيانات الهجينة

لا يمكن ل Websocket الاتصال من خلال وكيل الحبار

يمكن أن تتداخل وكلاء الحبار الذين يفحصون حركة مرور HTTPS مع إنشاء اتصالات websocket (wss:) التي يتطلبها Hybrid Data Security. تقدم هذه الأقسام إرشادات حول كيفية تكوين إصدارات مختلفة من Squid لتجاهل wss: حركة المرور للتشغيل السليم للخدمات.

الحبار 4 و 5

أضف on_unsupported_protocol التوجيه إلى squid.conf:

on_unsupported_protocol نفق الكل

الحبار 3.5.27

لقد اختبرنا بنجاح أمان البيانات المختلط مع إضافة القواعد التالية إلى squid.conf. تخضع هذه القواعد للتغيير أثناء تطوير الميزات وتحديث سحابة Webex.

acl wssMercuryConnection ssl::وصلة server_name_regex mercury-connection ssl_bump wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump نظرة سريعة step1 كل ssl_bump stare step2 كل ssl_bump bump step3 الكل

شكرًا على ملاحظاتك.

دليل نشر Webex Hybrid Data Security

المعاينة

المعلومات الجديدة والمتغيرة

بدء استخدام Hybrid Data Security

نظرة عامة على أمان البيانات الهجينة

بنية نطاق الأمان

التعاون مع المؤسسات الأخرى

توقعات نشر Hybrid Data Security

عملية إعداد عالية المستوى

نموذج نشر Hybrid Data Security

الوضع التجريبي لأمن البيانات الهجينة

مركز البيانات الاحتياطي للتعافي من الكوارث

إعداد مركز البيانات الاحتياطي للتعافي من الكوارث

دعم البروكسي

مثال على عقد أمان البيانات المختلطة والوكيل

وضع دقة DNS الخارجي المحظور (تكوينات الوكيل الصريحة)

جهز بيئتك

متطلبات أمان البيانات الهجينة

متطلبات ترخيص Cisco Webex

متطلبات سطح مكتب Docker

متطلبات شهادة X.509

متطلبات المضيف الظاهري

متطلبات خادم قاعدة البيانات

المتطلبات الإضافية لمصادقة Windows مقابل Microsoft SQL Server

متطلبات الاتصال الخارجي

متطلبات الخادم الوكيل

أكمل المتطلبات الأساسية لأمن البيانات الهجينة

قم بإعداد مجموعة Hybrid Data Security

تدفق مهام نشر Hybrid Data Security

تنزيل ملفات التثبيت

قم بإنشاء ISO للتكوين لمضيفين HDS

تثبيت مضيف HDS OVA

إعداد Hybrid Data Security VM

تحميل ISO لتكوين HDS وتثبيته

تكوين عقدة HDS لتكامل الوكيل

تسجيل العقدة الأولى في المجموعة

إنشاء وتسجيل المزيد من العقد

تشغيل إصدار تجريبي والانتقال إلى الإنتاج

تدفق مهام الإصدار التجريبي إلى الإنتاج

تنشيط الإصدار التجريبي

اختبار نشر Hybrid Data Security الخاص بك

مراقبة صحة أمان البيانات الهجينة

إضافة أو إزالة المستخدمين من إصدارك التجريبي

الانتقال من الإصدار التجريبي إلى الإنتاج

إنهاء الفترة التجريبية دون الانتقال إلى الإنتاج

إدارة نشر HDS

إدارة نشر HDS

تعيين جدول ترقية المجموعة

تغيير تكوين العقدة

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

إزالة عقدة

التعافي من الكوارث باستخدام مركز البيانات الاحتياطي

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

التنبيهات

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

ملاحظات أخرى

المشاكل المعروفة لأمن البيانات الهجينة

استخدم OpenSSL لإنشاء ملف PKCS12

حركة المرور بين عُقد HDS والسحابة

حركة مرور جمع المقاييس الصادرة

حركة المرور الواردة

تكوين وكلاء Squid لأمن البيانات الهجينة

لا يمكن ل Websocket الاتصال من خلال وكيل الحبار

الشركات صغيرة الحجم

المؤسسة

الأجهزة

حلول لـ

الموارد

الشركة