دليل نشر Webex Hybrid Data Security

16 أغسطس 2024 | 88 طريقة (طرق) العرض | 0 اعتقد أشخاص أن هذا كان مفيدًا

في هذه المقالة

مقدمة

معلومات جديدة ومتغيرة

البدء في استخدام أمان البيانات الهجين

نظرة عامة على أمن البيانات الهجينة

هندسة المجال الأمني

عوالم الانفصال (بدون أمان البيانات الهجين)

التعاون مع المنظمات الأخرى

التوقعات بشأن نشر أمن البيانات الهجين

عملية الإعداد رفيعة المستوى

نموذج نشر أمن البيانات الهجين

وضع تجريبي لأمن البيانات الهجين

مركز بيانات احتياطي للتعافي من الكوارث

إعداد مركز بيانات احتياطي للتعافي من الكوارث

دعم البروكسي

جهز بيئتك

متطلبات أمن البيانات الهجينة

متطلبات ترخيص Cisco Webex

متطلبات سطح مكتب Docker

متطلبات شهادة X.509

متطلبات المضيف الافتراضي

متطلبات خادم قاعدة البيانات

متطلبات الاتصال الخارجي

متطلبات الخادم الوكيل

استكمال المتطلبات الأساسية لأمن البيانات الهجينة

إعداد مجموعة أمان بيانات هجينة

تدفق مهام نشر أمان البيانات الهجينة

تنزيل ملفات التثبيت

إنشاء ملف ISO للتكوين لمضيفات HDS

تثبيت HDS Host OVA

إعداد جهاز VM للأمان الهجين للبيانات

تحميل وتثبيت ISO الخاص بتكوين HDS

تكوين عقدة HDS لتكامل الوكيل

تسجيل العقدة الأولى في المجموعة

إنشاء وتسجيل المزيد من العقد

قم بتشغيل الإصدار التجريبي وانتقل إلى الإنتاج

تدفق المهام من التجربة إلى الإنتاج

تفعيل النسخة التجريبية

اختبار نشر أمان البيانات الهجينة لديك

مراقبة صحة وأمان البيانات الهجينة

إضافة مستخدمين أو إزالتهم من النسخة التجريبية الخاصة بك

الانتقال من التجربة إلى الإنتاج

إنهاء الإصدار التجريبي الخاص بك دون الانتقال إلى الإنتاج

إدارة نشر HDS الخاص بك

إدارة نشر HDS

تعيين جدول ترقية المجموعة

تغيير تكوين العقدة

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

إزالة عقدة

استعادة البيانات بعد الكوارث باستخدام مركز البيانات الاحتياطي

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

التنبيهات

المشكلات الشائعة وخطوات حلها

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

ملاحظات أخرى

المشكلات المعروفة المتعلقة بأمان البيانات الهجينة

استخدم OpenSSL لإنشاء ملف PKCS12

حركة المرور بين عقد HDS والسحابة

تكوين وكلاء Squid لتوفير الأمان للبيانات الهجينة

لا يمكن ل Websocket الاتصال من خلال وكيل الحبار

دليل نشر Webex Hybrid Data Security

في هذه المقالة

تمهيد

معلومات جديدة ومتغيرة

التاريخ

التغييرات التي تمت

20 أكتوبر 2023

تم تحديث المعلومات في متطلبات خادم قاعدة البيانات.
تم إضافة مركز بيانات الإعداد الاحتياطي لاستعادة القدرة على العمل بعد الكوارث.
معلومات محدثة في مركز البيانات الاحتياطي لاستعادة القدرة على العمل بعد الكوارث والتعافي من الكوارث باستخدام مركز البيانات الاحتياطي.

07 أغسطس 2023

تمت إضافة ملاحظة في تنزيل ملفات التثبيت.
تمت إضافة ملاحظة في إنشاء تكوين ISO لمضيفي HDS وتغيير تكوين العقدة.

23 مايو 2023

تم حذف المعلومات من متطلبات خادم قاعدة البيانات التي تطلب تمكين ميزة عن طريق الاتصال بفريق الحساب.
تم تحديث المعلومات في متطلبات الاتصال الخارجي وإضافة كندا إلى جدول مضيفات CI.
تمت إضافة ملاحظة في توقعات نشر أمان البيانات الهجينة فيما يتعلق بعدم توفر آليات لنقل المفاتيح مرة أخرى إلى السحابة.

06 ديسمبر 2022

يتم الآن استضافة صور أداة إعداد HDS في ciscocitg مستودع dockerhub.
تم تحديث إنشاء تكوين ISO لمضيفي HDS وتغيير موضوعات تكوين العقدة لإعادة التغييرات في الأوامر.

23 نوفمبر 2022

يمكن الآن لعقد HDS استخدام مصادقة Windows ضد Microsoft SQL Server.

تم تحديث موضوع متطلبات خادم قاعدة البيانات مع متطلبات إضافية لوضع المصادقة هذا.

تم تحديث إنشاء تكوين ISO لمضيفي HDS مع إجراء تكوين مصادقة Windows على العقد.
تم تحديث موضوع متطلبات خادم قاعدة البيانات مع الحد الأدنى الجديد للإصدارات المطلوبة (PostgreSQL 10).

13 أكتوبر 2021

يحتاج Docker Desktop إلى تشغيل برنامج إعداد قبل أن تتمكن من تثبيت عُقد HDS. راجع متطلبات سطح المكتب Docker.

24 يونيو 2021

لاحظ أنه يمكنك إعادة استخدام ملف المفتاح الخاص وCSR لطلب شهادة أخرى. راجع استخدام OpenSSL لإنشاء ملف PKCS12 للحصول على تفاصيل.

30 أبريل 2021

تم تغيير متطلبات VM لمساحة القرص الصلب المحلية إلى 30 جيجابايت. راجع متطلبات المضيف الظاهري لمعرفة التفاصيل.

24 فبراير 2021

يمكن الآن تشغيل أداة إعداد HDS خلف الوكيل. راجع إنشاء تكوين ISO لمضيفي HDS لمعرفة التفاصيل.

2 فبراير 2021

يمكن تشغيل HDS الآن دون ملف ISO مثبت. راجع (اختياري) إلغاء تثبيت ISO بعد تكوين HDS لمعرفة التفاصيل.

11 يناير 2021

تمت إضافة معلومات حول أداة إعداد HDS والوكلاء لإنشاء تكوين ISO لمضيفي HDS.

13 أكتوبر 2020

تم تحديث تنزيل ملفات التثبيت.

8 أكتوبر 2020

تم تحديث إنشاء تكوين ISO لمضيفي HDS وتغيير تكوين العقدة باستخدام أوامر لبيئات FedRAMP.

14 أغسطس عام 2020

تم تحديث إنشاء تكوين ISO لمضيفي HDS وتغيير تكوين العقدة مع إجراء تغييرات على عملية تسجيل الدخول.

5 أغسطس 2020

تم تحديث اختبار نشر Hybrid Data Security الخاص بك للتغييرات في رسائل السجل.

تم تحديث متطلبات المضيف الظاهري لإزالة الحد الأقصى لعدد المضيفين.

16 يونيو 2020

تم تحديث إزالة عقدة للتغييرات في واجهة مستخدم Control Hub.

4 يونيو 2020

تم تحديث إنشاء تكوين ISO لمضيفي HDS للتغييرات في الإعدادات المتقدمة التي قد تعينها.

29 مايو 2020

تم تحديث إنشاء تكوين ISO لمضيفي HDS لإظهار أنه يمكنك أيضًا استخدام TLS مع قواعد بيانات خادم SQL وتغييرات واجهة المستخدم وتوضيحات أخرى.

5 مايو 2020

تم تحديث متطلبات المضيف الظاهري لإظهار المتطلبات الجديدة لـ ESXi 6.5.

21 أبريل 2020

تم تحديث متطلبات الاتصال الخارجي مع المضيفين الجدد لـ Americas CI.

1 أبريل 2020

تم تحديث متطلبات الاتصال الخارجي مع معلومات حول المضيفين الإقليميين لتقنية CI.

20 فبراير 2020 تم تحديث إنشاء تكوين ISO لمضيفي HDS مع معلومات عن شاشة الإعدادات المتقدمة الاختيارية الجديدة في أداة إعداد HDS.

4 فبراير 2020 تم تحديث متطلبات الخادم الوكيل.

16 ديسمبر 2019 أوضح الحاجة إلى وضع حل DNS الخارجي المحظور للعمل في متطلبات الخادم الوكيل.

19 نوفمبر 2019

تم إضافة معلومات حول وضع حل DNS الخارجي المحظور في الأقسام التالية:

دعم الوكيل
تكوين عقدة HDS لتكامل الوكيل
إيقاف تشغيل وضع حل DNS الخارجي المحظور

8 نوفمبر 2019

يمكنك الآن تكوين إعدادات الشبكة لعقدة أثناء نشر OVA بدلاً من ذلك.

تم تحديث الأقسام التالية وفقًا لذلك:

تدفق مهمة نشر أمان البيانات الهجينة
تثبيت OVA مضيف HDS
إعداد VM Hybrid Data Security

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 6.5. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

6 سبتمبر 2019

تم إضافة معيار خادم SQL إلى متطلبات خادم قاعدة البيانات.

29 أغسطس 2019 تمت إضافة تكوين وكلاء الحبار لملحق أمان البيانات الهجينة مع إرشادات حول تكوين وكلاء الحبار لتجاهل حركة مرور websocket للتشغيل الصحيح.

20 أغسطس 2019

تم إضافة الأقسام وتحديثها لتغطية دعم الوكيل لاتصالات عقدة أمان البيانات الهجينة إلى سحابة Webex.

دعم الوكيل
متطلبات الخادم الوكيل
تكوين عقدة HDS لتكامل الوكيل

للوصول إلى محتوى دعم الوكيل فقط لعملية النشر الحالية، راجع مقال دعم الوكيل لأمن البيانات الهجينة وشبكة فيديو Webex.

13 يونيو 2019 تم تحديث الإصدار التجريبي إلى تدفق مهام الإنتاج مع تذكير بمزامنة HdsTrialGroup كائن المجموعة قبل بدء الإصدار التجريبي إذا كانت مؤسستك تستخدم مزامنة الدليل.

6 مارس 2019

نقل المتطلبات والشروط المسبقة إلى فصل منفصل، إعداد بيئتك.
تمت إضافة نظرة عامة على تدفق مهمة نشر أمان البيانات الهجينة في الفصل إعداد مجموعة أمان البيانات الهجينة.

لاحظ أنه حتى تبدأ الإصدار التجريبي (باستخدام التعليمات الواردة في الفصل التالي) تقوم العُقد بإنشاء تنبيه يشير إلى أن الخدمة لم يتم تنشيطها بعد.
تمت إضافة الإصدار التجريبي إلى تدفق مهام الإنتاج في الفصل تشغيل الإصدار التجريبي والانتقال إلى الإنتاج.

فبراير 28, 2019

قم بتصحيح مقدار مساحة القرص الثابت المحلي لكل خادم الذي يجب أن تضعه جانبًا عند إعداد المضيفين الظاهريين الذين يصبحون عُقد أمان البيانات الهجينة، من 50 غيغابايت إلى 20 غيغابايت، لتعكس حجم القرص الذي ينشئه OVA.

26 فبراير 2019

تدعم عُقد أمان البيانات الهجينة الآن الاتصالات المشفرة مع خوادم قاعدة بيانات PostgreSQL، واتصالات التسجيل المشفرة بخادم سجل نظام قادر على TLS. تم تحديث إنشاء تكوين ISO لمضيفي HDS مع التعليمات.
تم إزالة عناوين URL الخاصة بالوجهة من جدول "متطلبات اتصال الإنترنت لأجهزة VM الخاصة بعقدة أمان البيانات الهجينة". يشير الجدول الآن إلى القائمة التي تم الاحتفاظ بها في جدول "عناوين URL الإضافية لخدمات Webex Teams الهجينة" الخاص بمتطلبات الشبكة لخدمات Webex Teams.

24 يناير 2019

يدعم أمان البيانات الهجينة الآن Microsoft SQL Server كقاعدة بيانات. يتم دعم خادم SQL Server Always On (دائمًا على مجموعات تجاوز الفشل ومجموعات Always on Availability) بواسطة برامج تشغيل JDBC التي يتم استخدامها في أمان البيانات الهجينة. تم إضافة محتوى يتعلق بالنشر باستخدام خادم SQL.

تم تصميم دعم Microsoft SQL Server لعمليات النشر الجديدة لأمن البيانات الهجينة فقط. لا ندعم حاليًا ترحيل البيانات من PostgreSQL إلى Microsoft SQL Server في عملية نشر قائمة.

5 نوفمبر 2018

تمت إضافة خطوة أولية لتنظيف أي مثيلات HDS موجودة في إنشاء تكوين ISO لمضيفي HDS وتغيير تكوين العقدة.
تم تحديث خطوة مستوى الوصول الرئيسي في إنشاء تكوين ISO لمضيفي HDS ليتطابق الواجهة.

19 أكتوبر 2018

قم بتقسيم معلومات اتصال جدار الحماية إلى متطلبات العقدة ومتطلبات آلة تكوين ISO في إكمال المتطلبات المسبقة لأمن البيانات الهجينة.

31 يوليو 2018

تمت إضافة المنفذ 22 (الوصول إلى SSH) ومعلومات حول NAT واتصالات جدار الحماية من أجل إكمال المتطلبات المسبقة لأمن البيانات الهجينة.

21 مايو 2018

تم تغيير المصطلحات لتعكس إعادة تسمية Cisco Spark:

أصبح أمان البيانات الهجينة من Cisco Spark الآن "أمان البيانات الهجينة".
تطبيق Cisco Spark هو الآن تطبيق Webex.
أصبحت سحابة Cisco Collaboraton Cloud الآن سحابة Webex.

11 أبريل 2018

تم إضافة مركز البيانات الاحتياطي لاستعادة القدرة على العمل بعد الكوارث.
تم تحديث إكمال المتطلبات المسبقة لأمن البيانات الهجينة لتحديد بيئة النسخ الاحتياطي يجب أن تكون في مركز بيانات مختلف.
تحديث استعادة القدرة على العمل بعد الكوارث باستخدام مركز البيانات الاحتياطي.

22 فبراير 2018

تمت إضافة معلومات حول كلمة مرور حساب الخدمة لمدة 9 أشهر واستخدام أداة إعداد HDS لإعادة تعيين كلمات مرور حساب الخدمة، في إنشاء تكوين ISO لمضيفي HDS وتغيير تكوين العقدة.

15 فبراير 2018

في جدول متطلبات شهادة X.509 ، تم تحديد أن الشهادة لا يمكن أن تكون شهادة بدل، وأن KMS يستخدم مجال CN وليس أي مجال محدد في حقول x.509v3 SAN.

18 يناير 2018

تمت إضافة ملحق، حركة المرور بين عُقد HDS والسحابة.
تمت إزالة مشكلة تم حلها من المشكلات المعروفة لأمن البيانات الهجينة.
تم تغيير index.docker.io إلى *.docker.io وإضافة *.cloudfront.net إلى قائمة متطلبات اتصال TCP لعقد HDS في إكمال المتطلبات المسبقة لأمن البيانات الهجينة.
تم تحديث إنشاء تكوين ISO لمضيفي HDS للإشارة إلى أنه إذا لم يكن مضيف قاعدة البيانات وخادم Syslogd قابلين لحل DNS من عقد HDS، فيجب عليك تكوينها باستخدام عناوين IP.

2 نوفمبر 2017

تم توضيح مزامنة الدليل لمجموعة HdsTrialGroup.
تعليمات ثابتة لتحميل ملف تكوين ISO لتركيبه إلى عُقد VM.

18 أغسطس 2017

نُشر لأول مرة

بدء استخدام Hybrid Data Security

نظرة عامة على أمان البيانات الهجينة

منذ اليوم الأول، أصبح أمان البيانات هو التركيز الأساسي في تصميم تطبيق Webex. حجر الزاوية لهذا الأمان هو تشفير المحتوى من طرف إلى طرف ، الذي يتم تمكينه بواسطة عملاء تطبيق Webex الذين يتفاعلون مع خدمة إدارة المفاتيح (KMS). يعد KMS مسؤولاً عن إنشاء وإدارة مفاتيح التشفير التي يستخدمها العملاء لتشفير الرسائل والملفات وفك تشفيرها ديناميكيًا.

بشكل افتراضي، يحصل جميع عملاء تطبيق Webex على تشفير من طرف إلى طرف باستخدام المفاتيح الديناميكية المخزنة في نظام KMS السحابي، في مجال أمان Cisco. يقوم Hybrid Data Security بنقل KMS والوظائف الأخرى المتعلقة بالأمان إلى مركز بيانات المؤسسة ، لذلك لا أحد غيرك يحمل مفاتيح المحتوى المشفر الخاص بك.

معمارية مملكة الأمن

تفصل بنية سحابة Webex أنواع مختلفة من الخدمة إلى عوالم منفصلة أو مجالات ثقة، كما هو موضح أدناه.

***عوالم الفصل (بدون أمان البيانات الهجينة)***

لمزيد من فهم أمان البيانات الهجينة، دعونا ننظر أولاً إلى حالة السحابة النقية هذه، حيث توفر Cisco جميع الوظائف في عوالم السحابة الخاصة بها. خدمة الهوية، المكان الوحيد الذي يمكن أن يكون فيه المستخدمون مرتبطين مباشرة بمعلوماتهم الشخصية مثل عنوان البريد الإلكتروني، هي منفصلة منطقيا وجسديا عن مجال الأمان في مركز البيانات B. وكلاهما منفصلان بدورهما عن النطاق الذي يتم فيه تخزين المحتوى المشفر في نهاية المطاف، في مركز البيانات C.

في هذا الرسم التخطيطي، يكون العميل هو تطبيق Webex الذي يعمل على الكمبيوتر المحمول للمستخدم، وقد تمت مصادقته باستخدام خدمة الهوية. عندما يقوم المستخدم بتكوين رسالة لإرسالها إلى مساحة، تحدث الخطوات التالية:

يقوم العميل بإنشاء اتصال آمن بخدمة إدارة المفاتيح (KMS)، ثم يطلب مفتاحًا لتشفير الرسالة. يستخدم الاتصال الآمن ECDH، ويقوم KMS بتشفير المفتاح باستخدام المفتاح الرئيسي AES-256.
يتم تشفير الرسالة قبل أن تترك العميل. يقوم العميل بإرساله إلى خدمة الفهرسة ، مما يخلق مؤشرات بحث مشفرة للمساعدة في عمليات البحث المستقبلية عن المحتوى.
يتم إرسال الرسالة المشفرة إلى خدمة الامتثال للتحقق من الامتثال.
يتم تخزين الرسالة المشفرة في نطاق التخزين.

عند نشر Hybrid Data Security، تقوم بنقل وظائف مجال الأمان (KMS والفهرسة والامتثال) إلى مركز البيانات في الموقع. تبقى الخدمات السحابية الأخرى التي تشكل Webex (بما في ذلك الهوية وتخزين المحتوى) في عوالم Cisco.

التعاون مع المؤسسات الأخرى

قد يستخدم المستخدمون في مؤسستك تطبيق Webex بانتظام للتعاون مع المشاركين الخارجيين في المؤسسات الأخرى. عندما يطلب أحد المستخدمين لديك مفتاحًا لمساحة تملكها مؤسستك (لأنه تم إنشاؤها بواسطة أحد المستخدمين لديك) يرسل KMS المفتاح إلى العميل عبر قناة ECDH المؤمنة. ومع ذلك، عندما تمتلك مؤسسة أخرى مفتاح المساحة، تقوم KMS الخاص بك بتوجيه الطلب إلى سحابة WEBEX من خلال قناة ECDH منفصلة للحصول على المفتاح من KMS المناسبة، ثم تقوم بإرجاع المفتاح إلى المستخدم الخاص بك على القناة الأصلية.

تتحقق خدمة KMS التي تعمل على المؤسسة A من صحة الاتصالات مع KMSs في المؤسسات الأخرى باستخدام شهادات x.509 PKI. راجع إعداد بيئتك لمعرفة تفاصيل إنشاء شهادة x.509 لاستخدامها مع نشر Hybrid Data Security.

توقعات نشر أمان البيانات الهجينة

يتطلب نشر Hybrid Data Security التزامًا كبيرًا من العملاء وإدراكًا للمخاطر التي تأتي مع امتلاك مفاتيح التشفير.

لنشر Hybrid Data Security، يجب عليك توفير:

مركز بيانات آمن في بلد هو موقع مدعوم لخطط Cisco Webex Teams.
المعدات والبرامج والوصول إلى الشبكة الموضحة في إعداد بيئتك.

سيؤدي فقدان التكوين ISO الذي تقوم بإنشائه من أجل أمان البيانات الهجينة أو قاعدة البيانات التي تقدمها إلى فقدان المفاتيح. تمنع خسارة المفتاح المستخدمين من فك تشفير محتوى المساحة والبيانات المشفرة الأخرى في تطبيق Webex. إذا حدث ذلك، يمكنك إنشاء عملية نشر جديدة، ولكن سيكون المحتوى الجديد فقط مرئيًا. لتجنب فقدان الوصول إلى البيانات، يجب عليك:

إدارة النسخ الاحتياطي واستعادة قاعدة البيانات والتكوين ISO.
كن مستعدًا لإجراء استعادة سريعة للكوارث إذا حدثت كارثة، مثل فشل قرص قاعدة البيانات أو كارثة مركز البيانات.

لا توجد آلية لنقل المفاتيح مرة أخرى إلى السحابة بعد نشر HDS.

عملية إعداد عالية المستوى

يغطي هذا المستند إعداد وإدارة نشر Hybrid Data Security:

إعداد Hybrid Data Security—يتضمن ذلك إعداد البنية التحتية المطلوبة وتثبيت برنامج Hybrid Data Security، واختبار عملية النشر باستخدام مجموعة فرعية من المستخدمين في وضع الإصدار التجريبي، وبمجرد اكتمال الاختبار الخاص بك، انتقل إلى الإنتاج. يؤدي هذا إلى تحويل المؤسسة بأكملها لاستخدام مجموعة أمان البيانات الهجينة الخاصة بك لوظائف الأمان.
يتم تغطية مراحل الإعداد والتجربة والإنتاج بالتفصيل في الفصول الثلاثة التالية.
الحفاظ على نشر أمان البيانات الهجينة—توفر سحابة Webex تلقائيًا ترقيات مستمرة. يمكن لقسم تكنولوجيا المعلومات لديك تقديم دعم من المستوى الأول لعملية النشر هذه، وإشراك دعم Cisco حسب الحاجة. يمكنك استخدام الإشعارات على الشاشة وإعداد التنبيهات القائمة على البريد الإلكتروني في Control Hub.
فهم التنبيهات الشائعة وخطوات استكشاف الأخطاء وإصلاحها والمشاكل المعروفة—إذا واجهتك مشكلة في نشر Hybrid Data Security أو استخدامه، فقد يساعدك الفصل الأخير من هذا الدليل وملحق Known Issues في تحديد المشكلة وإصلاحها.

نموذج نشر أمان البيانات الهجينة

داخل مركز بيانات مؤسستك، تقوم بنشر Hybrid Data Security كمجموعة واحدة من العقد على مضيفين ظاهريين منفصلين. تتواصل العقد مع سحابة Webex من خلال مقابس الويب الآمنة وHTTP الآمنة.

أثناء عملية التثبيت، نوفر لك ملف OVA لإعداد الجهاز الظاهري على أجهزة VM التي تقدمها. يمكنك استخدام أداة إعداد HDS لإنشاء ملف ISO لتكوين مجموعة مخصصة تقوم بتثبيته على كل عقدة. تستخدم مجموعة أمان البيانات الهجينة خادم Syslogd وقاعدة بيانات PostgreSQL أو Microsoft SQL Server. (يمكنك تكوين تفاصيل اتصال Syslogd وقاعدة البيانات في أداة إعداد HDS.)

نموذج نشر أمان البيانات الهجينة

الحد الأدنى لعدد العقد التي يمكنك الحصول عليها في مجموعة نظام هو اثنين. نوصي بثلاثة على الأقل، ويمكنك الحصول على ما يصل إلى خمسة. يضمن وجود عقد متعددة عدم مقاطعة الخدمة أثناء ترقية البرنامج أو أي نشاط صيانة آخر على العقدة. (تقوم سحابة Webex بترقية عقدة واحدة فقط في المرة الواحدة.)

تصل جميع العقد الموجودة في المجموعة إلى نفس قاعدة البيانات الرئيسية، وتسجيل النشاط إلى نفس خادم سجل النظام. العقد نفسها عديمة الجنسية، وتتعامل مع الطلبات الرئيسية بطريقة مستديرة، حسب توجيهات السحابة.

تصبح العقد نشطة عندما تقوم بتسجيلها في Control Hub. لإخراج عقدة فردية من الخدمة، يمكنك إلغاء تسجيلها، وإعادة تسجيلها لاحقًا إذا لزم الأمر.

نحن ندعم مجموعة نظام واحدة فقط لكل مؤسسة.

وضع الإصدار التجريبي لأمن البيانات الهجينة

بعد إعداد نشر Hybrid Data Security، يمكنك تجربته أولاً مع مجموعة من المستخدمين التجريبيين. أثناء الفترة التجريبية، يستخدم هؤلاء المستخدمون مجال Hybrid Data Security الداخلي الخاص بك لمفاتيح التشفير وخدمات النطاق الأمنية الأخرى. يستمر المستخدمون الآخرون لديك في استخدام نطاق أمان السحابة.

إذا قررت عدم الاستمرار في النشر أثناء الإصدار التجريبي وإلغاء تنشيط الخدمة، فسيفقد المستخدمون التجريبيون وأي مستخدمين تفاعلوا معهم عن طريق إنشاء مساحات جديدة خلال فترة الإصدار التجريبي إمكانية الوصول إلى الرسائل والمحتوى. سيرون "لا يمكن فك تشفير هذه الرسالة" في تطبيق Webex.

إذا كنت راضيًا عن أن عملية النشر الخاصة بك تعمل بشكل جيد بالنسبة لمستخدمي الإصدار التجريبي وكنت على استعداد لتوسيع "أمان البيانات الهجينة" ليشمل جميع المستخدمين لديك، فإنك تنقل عملية النشر إلى الإنتاج. يستمر المستخدمون التجريبيون في الوصول إلى المفاتيح التي كانت قيد الاستخدام خلال التجربة. ومع ذلك، لا يمكنك الانتقال ذهابًا وإيابًا بين وضع الإنتاج والتجربة الأصلية. إذا كان يجب عليك إلغاء تنشيط الخدمة، مثل إجراء استعادة القدرة على العمل بعد الكوارث، فعند إعادة التنشيط، يجب عليك بدء إصدار تجريبي جديد وإعداد مجموعة المستخدمين التجريبيين للتجربة الجديدة قبل العودة إلى وضع الإنتاج. يعتمد احتفاظ المستخدمين بإمكانية الوصول إلى البيانات في هذه المرحلة على ما إذا كنت قد نجحت في الاحتفاظ بالنسخ الاحتياطية لمخزن البيانات الرئيسي وملف تكوين ISO لعقد Hybrid Data Security في المجموعة الخاصة بك.

مركز البيانات الاحتياطي لاستعادة القدرة على العمل بعد الكوارث

أثناء النشر، تقوم بإعداد مركز بيانات احتياطي آمن. في حالة حدوث كارثة في مركز البيانات، يمكنك الفشل يدويًا في عملية النشر في مركز البيانات الاحتياطي.

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode. — ***تجاوز الفشل اليدوي إلى مركز البيانات الاحتياطي***

تتزامن قواعد بيانات مراكز البيانات النشطة والاحتياطية مع بعضها البعض مما يقلل من الوقت المستغرق لتنفيذ تجاوز الفشل. يتم تحديث ملف ISO الخاص بمركز البيانات الاحتياطية بتكوينات إضافية تضمن تسجيل العقد في المؤسسة، ولكنها لن تتعامل مع حركة المرور. وبالتالي، تظل عُقد مركز البيانات الاحتياطي دائما على اطلاع بآخر إصدار من برنامج HDS.

يجب أن تكون عُقد أمان البيانات الهجينة النشطة دائمًا في نفس مركز البيانات مثل خادم قاعدة البيانات النشط.

إعداد مركز البيانات الاحتياطي لاستعادة القدرة على العمل بعد الكوارث

اتبع الخطوات التالية لتكوين ملف ISO لمركز البيانات الاحتياطي:

قبل البدء

يجب أن يعكس مركز البيانات الاحتياطي بيئة إنتاج VMs وقاعدة بيانات PostgreSQL الاحتياطية أو Microsoft SQL Server. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 VMs تقوم بتشغيل عُقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 VMs. (راجع مركز البيانات الاحتياطي لاستعادة القدرة على العمل بعد الكوارث للاطلاع على نظرة عامة على نموذج تجاوز الفشل هذا).
تأكد من تمكين مزامنة قاعدة البيانات بين قاعدة بيانات عُقد المجموعة النشطة والسلبية.

ابدأ أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء تكوين ISO لمضيفي HDS.

يجب أن يكون ملف ISO نسخة من ملف ISO الأصلي لمركز البيانات الأساسي الذي سيتم إجراء تحديثات التكوين التالية عليه.

بعد تكوين خادم Syslogd، انقر على الإعدادات المتقدمة

في صفحة الإعدادات المتقدمة، أضف التكوين أدناه لوضع العقدة في الوضع السلبي. في هذا الوضع، سيتم تسجيل العقدة في المؤسسة ومتصلة بالسحابة، ولكنها لن تتعامل مع أي حركة مرور.


passiveMode: 'true'

أكمل عملية التكوين وحفظ ملف ISO في موقع يسهل العثور عليه.

قم بعمل نسخة احتياطية من ملف ISO على نظامك المحلي. حافظ على أمان نسخة النسخ الاحتياطية. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. تقييد الوصول إلى مسؤولي أمان البيانات الهجين الذين يجب عليهم إجراء تغييرات في التكوين فقط.

في جزء التنقل الأيسر لعميل VMware vSphere، انقر بزر الماوس الأيمن على VM وانقر فوق تحرير الإعدادات..

انقر فوق تحرير الإعدادات >CD / DVD Drive 1 وحدد Datastore ISO File.

تأكد من تحديد Connected وConnect عند التشغيل حتى تصبح تغييرات التكوين المحدّثة سارية المفعول بعد بدء تشغيل العقد.

قم بتشغيل عقدة HDS وتأكد من عدم وجود أجهزة إنذار لمدة 15 دقيقة على الأقل.

كرر العملية لكل عقدة في مركز البيانات الاحتياطي.

تحقق من سجلات النظام للتحقق من أن العقد في وضع سلبي. يجب أن تكون قادرًا على عرض الرسالة "تكوين KMS في الوضع السلبي" في سجلات النظام.

التصرف التالي

بعد التكوين passiveMode في ملف ISO وحفظه ، يمكنك إنشاء نسخة أخرى من ملف ISO دون passiveMode التكوين وحفظه في موقع آمن. هذه النسخة من ملف ISO بدون passiveMode يمكن أن تساعد في عملية تجاوز الفشل السريع أثناء استعادة القدرة على العمل بعد الكوارث. راجع Disaster Recovery باستخدام Standby Data Center لمعرفة إجراء تجاوز الفشل التفصيلي.

دعم الوكيل

يدعم Hybrid Data Security وكلاء التفتيش الواضح والشفاف وغير المعاينة. يمكنك ربط هذه الوكلاء بعملية النشر الخاصة بك بحيث يمكنك تأمين ومراقبة حركة المرور من المؤسسة إلى السحابة. يمكنك استخدام واجهة مسؤول النظام الأساسي على العقد لإدارة الشهادة وللتحقق من حالة الاتصال العامة بعد إعداد الوكيل على العقد.

تدعم عُقد أمان البيانات الهجينة خيارات الوكيل التالية:

لا يوجد وكيل—الإعداد الافتراضي إذا كنت لا تستخدم تهيئة Trust Store & Proxy لإعداد عقدة HDS لدمج وكيل. لا يلزم تحديث الشهادة.
وكيل غير معاينة شفاف—لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ويجب ألا تتطلب أي تغييرات للعمل مع وكيل غير معاينة. لا يلزم تحديث الشهادة.
شفاف نفق أو فحص الوكيل— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا توجد تغييرات في تكوين HTTP أو HTTPS ضرورية في العقد. ومع ذلك، تحتاج العقد إلى شهادة جذر حتى يثق في الوكيل. وعادة ما تستخدم تكنولوجيا المعلومات عمليات تفتيش الوكلاء لإنفاذ السياسات التي يمكن زيارتها على المواقع الشبكية وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من الوكيل بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).
الوكيل الصريح—مع الوكيل الصريح، يمكنك إخبار عُقد HDS الخاصة بالخادم الوكيل وخطة المصادقة المراد استخدامها. لتكوين وكيل صريح، يجب عليك إدخال المعلومات التالية على كل عقدة:
1. IP/FQDN للوكيل — العنوان الذي يمكن استخدامه للوصول إلى آلة الوكيل.
2. منفذ الوكيل—رقم المنفذ الذي يستخدمه الوكيل للاستماع لحركة المرور الموكلة.
3. بروتوكول الوكيل—بناءً على ما يدعمه خادم الوكيل الخاص بك، اختر بين البروتوكولات التالية:
  - HTTP — عرض جميع الطلبات التي يرسلها العميل والتحكم فيها.
  - HTTPS — يوفر قناة للخادم. يتلقى العميل شهادة الخادم ويتحقق منها.
4. نوع المصادقة—اختر من بين أنواع المصادقة التالية:
  - لا شيء — لا يلزم إجراء مزيد من المصادقة.
    
    متاح إذا حددت إما HTTP أو HTTPS كبروتوكول وكيل.
  - أساسي—يُستخدم لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.
    
    متاح إذا حددت إما HTTP أو HTTPS كبروتوكول وكيل.
    
    يتطلب منك إدخال اسم المستخدم وكلمة المرور في كل عقدة.
  - الملخص—يُستخدم لتأكيد الحساب قبل إرسال معلومات حساسة. تطبيق وظيفة التجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.
    
    متاح فقط إذا حددت HTTPS كبروتوكول وكيل.
    
    يتطلب منك إدخال اسم المستخدم وكلمة المرور في كل عقدة.

مثال على عُقد أمان البيانات الهجينة والوكيل

يوضح هذا الرسم التخطيطي مثالًا للاتصال بين أمان البيانات الهجينة والشبكة والوكيل. بالنسبة لخيارات وكيل التفتيش الشفافة وفحص HTTPS الصريحة، يجب تثبيت نفس شهادة الجذر على الوكيل وعلى عُقد أمان البيانات الهجينة.

وضع حل DNS الخارجي المحظور (تكوينات الوكيل الصريحة)

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية البحث عن DNS والاتصال بسحابة Cisco Webex. في عمليات النشر ذات تكوينات وكيل صريحة لا تسمح بتحليل DNS الخارجي للعملاء الداخليين، إذا لم تتمكن العقدة من الاستعلام عن خوادم DNS، فإنها تنتقل تلقائيًا إلى وضع حل DNS الخارجي المحظور. في هذا الوضع، يمكن متابعة تسجيل العقدة واختبارات الاتصال بالوكيل الأخرى.

إعداد بيئتك

متطلبات أمان البيانات الهجينة

متطلبات ترخيص Cisco Webex

لنشر أمان البيانات الهجينة:

يجب أن يكون لديك Pro Pack لـ Cisco Webex Control Hub. (راجع https://www.cisco.com/go/pro-pack.)

متطلبات سطح المكتب Docker

قبل تثبيت عُقد HDS الخاصة بك، تحتاج إلى سطح المكتب Docker لتشغيل برنامج إعداد. قام Docker مؤخرًا بتحديث نموذج الترخيص الخاص به. قد تتطلب مؤسستك اشتراكًا مدفوعًا لـ Docker Desktop. للحصول على تفاصيل ، راجع مشاركة مدونة Docker ، " يقوم Docker بتحديث وتوسيع اشتراكات المنتج الخاصة بنا ".

متطلبات شهادة X.509

يجب أن تستوفي سلسلة الشهادات المتطلبات التالية:

الجدول رقم 1. متطلبات شهادة X.509 لنشر أمان البيانات الهجينة
المتطلبات	تفاصيل
موقعة بواسطة مرجع شهادة موثوق به (CA)	بشكل افتراضي، نثق بـ CAs في قائمة Mozilla (باستثناء WoSign وStartCom) في https://wiki.mozilla.org/CA:IncludedCAs.
Bears a Common Name (CN) اسم المجال الذي يحدد نشر Hybrid Data Security ليست شهادة بدل البدل	لا يلزم أن تكون CN قابلة للوصول إليها أو مضيف مباشر. نوصي باستخدام اسم يعكس مؤسستك، على سبيل المثال، `hds.company.com`. يجب ألا تحتوي CN على * (بدل البطاقة). يتم استخدام CN للتحقق من عُقد أمان البيانات الهجينة لعملاء تطبيق Webex. تستخدم كل عُقد Hybrid Data Security في المجموعة الخاصة بك نفس الشهادة. يحدد KMS نفسه باستخدام مجال CN، وليس أي مجال محدد في حقول x.509v3 SAN. بمجرد أن تقوم بتسجيل عقدة بهذه الشهادة، فإننا لا ندعم تغيير اسم مجال CN. اختر مجالاً يمكن تطبيقه على عمليات نشر الإصدار التجريبي والإنتاج.
توقيع غير SHA1	لا يدعم برنامج KMS توقيعات SHA1 للتحقق من صحة الاتصالات إلى KMSs للمؤسسات الأخرى.
تم تنسيقه كملف PKCS #12 محمي بكلمة مرور إستعمل الاسم من `kms-private-key` لوضع علامة على الشهادة والمفتاح الخاص وأي شهادات وسيطة لتحميلها.	يمكنك استخدام محول مثل OpenSSL لتغيير تنسيق الشهادة الخاص بك. ستحتاج إلى إدخال كلمة المرور عند تشغيل أداة إعداد HDS.

لا يفرض برنامج KMS قيود استخدام المفتاح أو قيود استخدام المفتاح الموسعة. تتطلب بعض سلطات الشهادات تطبيق قيود استخدام المفتاح الموسعة على كل شهادة، مثل مصادقة الخادم. لا بأس من استخدام مصادقة الخادم أو الإعدادات الأخرى.

متطلبات المضيف الظاهري

يشتمل المضيفون الظاهريون الذين ستقوم بإعدادهم كعُقد Hybrid Data Security في المجموعة الخاصة بك على المتطلبات التالية:

اثنين على الأقل من المضيفين المنفصلين (يوصى بـ 3) في نفس مركز البيانات الآمن
تم تثبيت VMware ESXi 6.5 (أو إصدار أحدث) وتشغيله.

يجب عليك الترقية إذا كان لديك إصدار سابق من ESXi.
الحد الأدنى 4 وحدات vCPU، 8 غيغابايت الذاكرة الرئيسية، 30 غيغابايت مساحة القرص الصلب المحلية لكل خادم

متطلبات خادم قاعدة بيانات

أنشئ قاعدة بيانات جديدة لتخزين المفاتيح. لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، قم بإنشاء مخطط قاعدة بيانات.

هناك خياران لخادم قاعدة البيانات. وفيما يلي متطلبات كل منها:

الجدول رقم 2. متطلبات خادم قاعدة بيانات حسب نوع قاعدة البيانات

البريدSQL

خادم Microsoft SQL

PostgreSQL 14 أو 15 أو 16، مثبتة وتشغيلها.

SQL Server 2016 أو 2017 أو 2019 (Enterprise أو Standard) مثبت.

يتطلب SQL Server 2016 حزمة الخدمة 2 وتحديث تراكمي 2 أو أحدث.

الحد الأدنى 8 وحدات معالجة مركزية، 16 غيغابايت الذاكرة الرئيسية، مساحة كافية على القرص الصلب والرصد لضمان عدم تجاوزها (2 تيرابايت موصى بها إذا كنت ترغب في تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة التخزين)

يقوم برنامج HDS حاليًا بتثبيت إصدارات برنامج التشغيل التالية للاتصال بخادم قاعدة البيانات:

البريدSQL	خادم Microsoft SQL
محرك Postgres JDBC 42.2.5	SQL خادم JDBC سائق 4.6 يدعم إصدار برنامج التشغيل هذا خادم SQL Server Always On (Always On Failover Cluster Instances وAlways On Availability ).

البريدSQL

خادم Microsoft SQL

محرك Postgres JDBC 42.2.5

SQL خادم JDBC سائق 4.6

يدعم إصدار برنامج التشغيل هذا خادم SQL Server Always On (Always On Failover Cluster Instances وAlways On Availability ).

متطلبات إضافية لمصادقة Windows مقابل Microsoft SQL Server

إذا كنت تريد أن تستخدم عُقد HDS مصادقة Windows للوصول إلى قاعدة بيانات متجر المفاتيح على Microsoft SQL Server، فأنت بحاجة إلى التكوين التالي في بيئتك:

يجب مزامنة عُقد HDS والبنية الأساسية لـ Active Directory وخادم MS SQL مع NTP.
يجب أن يكون حساب Windows الذي تقدمه إلى عُقد HDS وصول للقراءة/الكتابة إلى قاعدة البيانات.
يجب أن تكون خوادم DNS التي تقدمها لعقد HDS قادرة على حل مركز التوزيع الرئيسي (KDC) الخاص بك.
يمكنك تسجيل مثيل قاعدة بيانات HDS على خادم Microsoft SQL الخاص بك كاسم رئيسي للخدمة (SPN) على Active Directory الخاص بك. راجع تسجيل اسم خدمة رئيسي لاتصالات كيربيروس.

تحتاج أداة إعداد HDS وقاذفة HDS و KMS المحلية إلى استخدام مصادقة Windows للوصول إلى قاعدة بيانات Keystore. وهم يستخدمون التفاصيل من تكوين ISO الخاص بك لإنشاء SPN عند طلب الوصول باستخدام مصادقة Kerberos.

متطلبات الاتصال الخارجي

قم بتكوين جدار الحماية الخاص بك للسماح بالاتصال التالي لتطبيقات HDS:

التطبيق	البروتوكول	المنفذ	التوجيه من التطبيق	الوجهة
عُقد أمان البيانات الهجينة	TCP	443	HTTPS وWSS الصادر	خوادم Webex: * .wbx2.com *ciscospark.com كل مضيفين الهوية الشائعة عناوين URL الأخرى المدرجة لأمان البيانات الهجينة في عناوين URL الإضافية لخدمات* Webex الهجينة في متطلبات الشبكة لخدمات Webex
أداة إعداد HDS	TCP	443	HTTPS الصادر	* .wbx2.com كل مضيفين الهوية الشائعة Hub.docker.com

تعمل عُقد أمان البيانات الهجينة مع ترجمة الوصول إلى الشبكة (NAT) أو خلف جدار حماية، طالما يسمح NAT أو جدار الحماية بالاتصالات الصادرة المطلوبة بوجهات المجال في الجدول السابق. بالنسبة للاتصالات التي تنتقل إلى عُقد أمان البيانات الهجينة، يجب ألا تكون المنافذ ظاهرة من الإنترنت. داخل مركز البيانات الخاص بك، يحتاج العملاء إلى الوصول إلى عُقد Hybrid Data Security على منفذي TCP رقم 443 و22، لأغراض إدارية.

عناوين URL لمضيفي الهوية المشتركة (CI) خاصة بالمنطقة. هؤلاء هم مضيفو CI الحاليين:

المنطقة	عناوين URL لمضيف الهوية الشائعة
الأمريكتان	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
الاتحاد الأوروبي	https://idbroker-eu.webex.com https://identity-eu.webex.com
كندا	https://idbroker-ca.webex.com https://identity-ca.webex.com

متطلبات الخادم الوكيل

ندعم بشكل رسمي حلول الوكيل التالية التي يمكن أن تتكامل مع عُقد Hybrid Data Security الخاصة بك.

وكيل شفاف — جهاز أمان الويب من Cisco (WSA).

الوكيل الصريح — الحبار.

يمكن أن تتداخل وكلاء الحبار الذين يفحصون حركة مرور HTTPS مع إنشاء مأخذ ويب (wss:) اتصالات. للتعامل مع هذه المشكلة، راجع تكوين وكلاء الحبار لأمن البيانات الهجينة.

نحن ندعم تركيبات نوع المصادقة التالية للوكلاء الصريحين:
- لا توجد مصادقة باستخدام HTTP أو HTTPS
- المصادقة الأساسية باستخدام HTTP أو HTTPS
- إجمالي المصادقة باستخدام HTTPS فقط
بالنسبة لوكيل فحص شفاف أو وكيل صريح لـ HTTPS، يجب أن يكون لديك نسخة من شهادة الجذر الخاصة بالوكيل. تخبرك تعليمات النشر في هذا الدليل بكيفية تحميل النسخة إلى مخازن الثقة في عُقد أمان البيانات الهجينة.
يجب تكوين الشبكة التي تستضيف عُقد HDS لإجبار حركة مرور TCP الصادرة على المنفذ 443 على التوجيه عبر الوكيل.
قد تتداخل الوكلاء الذين يفحصون حركة مرور الويب مع اتصالات مقبس الويب. في حالة حدوث هذه المشكلة، تجاوز حركة المرور (عدم فحص) إلى wbx2.com و ciscospark.com سوف تحل المشكلة.

إكمال المتطلبات الأساسية لأمن البيانات الهجينة

استخدم قائمة الفحص هذه للتأكد من استعدادك لتثبيت مجموعة أمان البيانات الهجينة وتهيئتها.

تأكد من تمكين مؤسسة Webex الخاصة بك لـ Pro Pack لـ Cisco Webex Control Hub، واحصل على بيانات اعتماد حساب يتمتع بحقوق كاملة لمسؤول المؤسسة. اتصل بشريك Cisco أو مدير الحساب لديك للحصول على المساعدة في هذه العملية.

اختر اسم مجال لنشر HDS الخاص بك (على سبيل المثال، hds.company.com) والحصول على سلسلة شهادات تحتوي على شهادة X.509 ومفتاح خاص وأي شهادات وسيطة. يجب أن تستوفي سلسلة الشهادات المتطلبات الواردة في متطلبات شهادة X.509.

قم بإعداد المضيفين الظاهريين المتطابقين الذين ستقوم بإعدادهم كعُقد Hybrid Data Security في المجموعة الخاصة بك. تحتاج إلى مضيفين منفصلين على الأقل (يوصى بـ 3 مضيفين) موجودين في نفس مركز البيانات الآمن، والذي يلبي المتطلبات الواردة في متطلبات المضيف الظاهري.

قم بإعداد خادم قاعدة البيانات الذي سيكون بمثابة مخزن البيانات الرئيسي لمجموعة النظام، وفقًا لمتطلبات خادم قاعدة البيانات. يجب تجميع خادم قاعدة البيانات في مركز البيانات الآمن مع المضيفين الظاهريين.

إنشاء قاعدة بيانات لتخزين المفاتيح. (يجب عليك إنشاء قاعدة البيانات هذه - لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، قم بإنشاء مخطط قاعدة بيانات.)
اجمع التفاصيل التي ستستخدمها العقد للتواصل مع خادم قاعدة البيانات:
- اسم المضيف أو عنوان IP (المضيف) والمنفذ
- اسم قاعدة البيانات (dbname) لتخزين المفاتيح
- اسم المستخدم وكلمة المرور للمستخدم مع جميع الامتيازات في قاعدة بيانات تخزين المفاتيح

للتعافي من الكوارث بسرعة، قم بإنشاء بيئة احتياطية في مركز بيانات مختلف. تعكس بيئة النسخ الاحتياطي بيئة إنتاج VMs وخادم قاعدة بيانات النسخ الاحتياطي. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 VMs تعمل عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 VMs.

قم بإعداد مضيف سجل النظام لجمع السجلات من العقد في المجموعة. اجمع عنوان شبكته ومنفذ سجل النظام (الافتراضي هو UDP 514).

قم بإنشاء سياسة نسخ احتياطية آمنة لعقد Hybrid Data Security وخادم قاعدة البيانات ومضيف سجل النظام. كحد أدنى، لمنع فقدان البيانات الذي لا يمكن استرداده، يجب عليك النسخ الاحتياطي لقاعدة البيانات وملف التكوين ISO الذي تم إنشاؤه لعقد Hybrid Data Security.

نظرًا لأن عُقد أمان البيانات الهجينة تخزن المفاتيح المستخدمة في تشفير المحتوى وفك تشفيره، فإن الفشل في الحفاظ على النشر التشغيلي سيؤدي إلى فقدان غير قابل للاسترداد لهذا المحتوى.

يقوم عملاء تطبيق Webex بتخزين مفاتيحهم، لذلك قد لا يكون انقطاع الخدمة ملحوظًا على الفور ولكنه سيصبح واضحًا بمرور الوقت. وفي حين أنه من المستحيل منع حالات انقطاع مؤقت، فإنها قابلة للاسترداد. ومع ذلك، فإن الخسارة الكاملة (لا توجد نسخ احتياطية متاحة) إما لملف قاعدة البيانات أو التكوين ISO سيؤدي إلى بيانات العملاء غير القابلة للاسترداد. ويتوقع من مشغلي العقد Hybrid Data Security الاحتفاظ بنسخ احتياطية متكررة من قاعدة البيانات وملف التكوين ISO، وأن يكونوا مستعدين لإعادة بناء مركز بيانات Hybrid Data Security إذا حدث فشل كارثي.

تأكد من أن تكوين جدار الحماية الخاص بك يسمح بالاتصال لعقد أمان البيانات الهجينة كما هو موضح في متطلبات الاتصال الخارجي.

قم بتثبيت Docker ( https://www.docker.com) على أي جهاز محلي يعمل بنظام تشغيل مدعوم (Microsoft Windows 10 Professional أو Enterprise 64 بت، أو Mac OSX Yosemite 10.10.3 أو إصدار أحدث) مع مستعرض ويب يمكنه الوصول إليه على http://127.0.0.1:8080.

يمكنك استخدام مثيل Docker لتنزيل وتشغيل أداة إعداد HDS، التي تبني معلومات التكوين المحلية لجميع عُقد Hybrid Data Security. قد تحتاج مؤسستك إلى ترخيص Docker Desktop. راجع متطلبات سطح المكتب Docker للحصول على مزيد من المعلومات.

لتثبيت وتشغيل أداة إعداد HDS، يجب أن يكون لدى الجهاز المحلي الاتصال الموضح في متطلبات الاتصال الخارجي.

إذا كنت تقوم بدمج وكيل مع Hybrid Data Security، فتأكد من أنه يفي بمتطلبات الخادم الوكيل.

إذا كانت مؤسستك تستخدم مزامنة الدليل، فقم بإنشاء مجموعة في Active Directory تسمى HdsTrialGroup وإضافة مستخدمين تجريبي. يمكن أن تضم المجموعة التجريبية ما يصل إلى 250 مستخدمًا. يفتح اجتماع HdsTrialGroup يجب مزامنة الكائن مع السحابة قبل أن تتمكن من بدء إصدار تجريبي لمؤسستك. لمزامنة كائن مجموعة، حدده في موصل الدليل التكوين > قائمة اختيار الكائن. (للاطلاع على تعليمات تفصيلية، راجع دليل النشر لموصل دليل Cisco.)

يتم تعيين مفاتيح مساحة معينة من قبل منشئ المساحة. عند تحديد المستخدمين الإرشاديين، ضع في اعتبارك أنه إذا قررت إلغاء تنشيط نشر Hybrid Data Security بشكل دائم، فسيفقد جميع المستخدمين إمكانية الوصول إلى المحتوى في المساحات التي أنشأها المستخدمون التجريبيون. تصبح الخسارة واضحة بمجرد تحديث تطبيقات المستخدمين لنسخهم المخزنة من المحتوى.

إعداد مجموعة أمان البيانات الهجينة

تدفق مهمة نشر أمان البيانات الهجينة

قبل البدء

إعداد بيئتك

تنزيل ملفات التثبيت

قم بتنزيل ملف OVA إلى جهازك المحلي لاستخدامه لاحقًا.

إنشاء تكوين ISO لمضيفي HDS

استخدم أداة إعداد HDS لإنشاء ملف تكوين ISO لعقد Hybrid Data Security.

تثبيت OVA مضيف HDS

قم بإنشاء جهاز ظاهري من ملف OVA وقم بإجراء التكوين الأولي، مثل إعدادات الشبكة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 6.5. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

إعداد VM Hybrid Data Security

سجّل الدخول إلى وحدة تحكم VM وقم بتعيين بيانات اعتماد تسجيل الدخول. قم بتكوين إعدادات الشبكة للعقدة إذا لم تقم بتهيئتها في وقت نشر OVA.

تحميل وتثبيت ISO لتكوين HDS

قم بتكوين VM من ملف تكوين ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب تكوين وكيل، فحدد نوع الوكيل الذي ستستخدمه للعقدة، وأضف شهادة الوكيل إلى متجر الثقة إذا لزم الأمر.

تسجيل العقدة الأولى في المجموعة

قم بتسجيل VM باستخدام سحابة Cisco Webex كعقدة Hybrid Data Security.

إنشاء وتسجيل المزيد من العُقد

أكمل إعداد المجموعة.

تشغيل الإصدار التجريبي والانتقال إلى الإنتاج (الفصل التالي)

حتى تبدأ في إصدار تجريبي، تقوم العُقد بإنشاء تنبيه يشير إلى أن خدمتك لم يتم تنشيطها بعد.

تنزيل ملفات التثبيت

في هذه المهمة، تقوم بتنزيل ملف OVA إلى جهازك (وليس إلى الخوادم التي قمت بإعدادها كعُقد Hybrid Data Security). يمكنك استخدام هذا الملف لاحقًا في عملية التثبيت.

سجّل الدخول إلى https://admin.webex.com، ثم انقر على الخدمات.

في قسم الخدمات الهجينة، ابحث عن بطاقة أمان البيانات الهجينة، ثم انقر على إعداد.

إذا كانت البطاقة معطلة أو لم تراها، فاتصل بفريق حسابك أو بمؤسسة شريكك. قم بإعطائهم رقم حسابك واطلب تمكين مؤسستك من أجل أمان البيانات الهجينة. للعثور على رقم الحساب، انقر فوق التروس الموجودة أعلى اليمين بجوار اسم مؤسستك.

يمكنك أيضًا تنزيل OVA في أي وقت من قسم المساعدة في صفحة الإعدادات. في بطاقة أمان البيانات الهجينة، انقر على تحرير الإعدادات لفتح الصفحة. ثم انقر فوق تنزيل برنامج أمان البيانات الهجينة في قسم المساعدة .

لن تكون الإصدارات القديمة من حزمة البرامج (OVA) متوافقة مع أحدث ترقيات Hybrid Data Security. يمكن أن يؤدي ذلك إلى مشاكل أثناء ترقية التطبيق. تأكد من تنزيل أحدث إصدار من ملف OVA.

حدد لا للإشارة إلى أنك لم تقم بإعداد العقدة بعد، ثم انقر فوق "التالي".

يبدأ ملف OVA في التنزيل تلقائيًا. احفظ الملف في موقع على جهازك.

بشكل اختياري، انقر على دليل النشر المفتوح للتحقق مما إذا كان هناك إصدار لاحق من هذا الدليل متاح أم لا.

إنشاء تكوين ISO لمضيفي HDS

تنشئ عملية إعداد Hybrid Data Security ملف ISO. ثم تستخدم ISO لتكوين مضيف Hybrid Data Security الخاص بك.

قبل البدء

تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Control Hub مع حقوق المسؤول الكاملة لمؤسستك.

إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم، المنفذ، بيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

الوصف	المتغير
بروكسي HTTP بدون مصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
وكيل HTTPS بدون مصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
بروكسي HTTP مع المصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
وكيل HTTPS مع المصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

يحتوي ملف ISO التكوين الذي تقوم بإنشائه على المفتاح الرئيسي لتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في أي وقت تقوم فيه بإجراء تغييرات على التكوين، مثل هذه:
- بيانات اعتماد قاعدة بيانات
- تحديثات الشهادة
- التغييرات على سياسة التخويل
إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL Server لـ TLS.

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فسيتم إرجاع خطأ يمكنك تجاهله.

تسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

docker login -u hdscustomersro

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

docker pull ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية بدون وكيل:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

في البيئات العادية باستخدام وكيل HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

في البيئات العادية باستخدام وكيل HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

في بيئات FedRAMP بدون وكيل:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

في بيئات FedRAMP باستخدام وكيل HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

في بيئات FedRAMP باستخدام وكيل HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "الاستماع السريع للخادم على المنفذ 8080."

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

استخدم مستعرض ويب للانتقال إلى المضيف المحلي، http://127.0.0.1:8080 ، وأدخل اسم المستخدم الخاص بمسؤول العميل لـ Control Hub عند المطالبة.

تستخدم الأداة هذا الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لذلك الحساب. ثم تعرض الأداة مطالبة تسجيل الدخول القياسية.

عند مطالبتك بذلك، أدخل بيانات اعتماد تسجيل دخول مسؤول عميل Control Hub، ثم انقر فوق تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة من أجل أمان البيانات الهجينة.

في صفحة نظرة عامة على أداة الإعداد، انقر على بدء الاستخدام.

في صفحة استيراد ISO، لديك هذه الخيارات:

لا—إذا كنت تقوم بإنشاء أول عقدة HDS الخاصة بك، فلن يكون لديك ملف ISO لتحميله.
نعم—إذا قمت بإنشاء عُقد HDS بالفعل، فقم بتحديد ملف ISO الخاص بك في الاستعراض وتحميله.

تحقق من أن شهادة X.509 الخاصة بك تلبي متطلبات متطلبات شهادة X.509.

إذا لم تقم بتحميل شهادة من قبل، فقم بتحميل شهادة X.509، وأدخل كلمة المرور، ثم انقر فوق متابعة.
إذا كانت شهادتك موافق، فانقر على متابعة.
إذا انتهت صلاحية شهادتك أو كنت ترغب في استبدالها، فحدد لاللاستمرار باستخدام سلسلة شهادة HDS والمفتاح الخاص من ISO السابق؟. قم بتحميل شهادة X.509 جديدة، وأدخل كلمة المرور، وانقر على متابعة.

أدخل عنوان قاعدة البيانات وحساب HDS للوصول إلى قاعدة البيانات الرئيسية الخاصة بك:

حدد نوع قاعدة البيانات (PostgreSQL أو Microsoft SQL Server).

إذا اخترت Microsoft SQL Server، فستحصل على حقل نوع المصادقة.
(Microsoft SQL Server فقط) حدد نوع المصادقة:
- المصادقة الأساسية: تحتاج إلى اسم حساب خادم SQL محلي في حقل اسم المستخدم.
- مصادقة Windows: تحتاج إلى حساب Windows بالتنسيق username@DOMAIN في حقل اسم المستخدم.
أدخل عنوان خادم قاعدة البيانات في النموذج <hostname>:<port> أو <IP-address>:<port>.

مثال:
dbhost.example.org:1433 أو 198.51.100.17:1433

يمكنك استخدام عنوان IP للمصادقة الأساسية، إذا لم تتمكن العقد من استخدام DNS لحل اسم المضيف.

إذا كنت تستخدم مصادقة Windows، فيجب عليك إدخال اسم مجال مؤهل بالكامل بالتنسيق dbhost.example.org:1433
أدخل اسم قاعدة البيانات.
أدخل اسم المستخدم وكلمة المرور لمستخدم مع كل الامتيازات الموجودة في قاعدة بيانات تخزين المفاتيح.

حدد وضع اتصال قاعدة بيانات TLS:

الوضع

الوصف

أفضِّل TLS (خيار افتراضي)

لا تتطلب عقد HDS اتصال TLS بخادم خادم قاعدة بيانات. إذا قمت بتمكين TLS على خادم قاعدة البيانات، فستحاول العقد الاتصال المشفر.

طلب TLS

تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة بيانات التفاوض على TLS.

طلب TLS وتحقق من موقع الشهادة

لا ينطبق هذا الوضع على قواعد بيانات خادم SQL.

تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة بيانات التفاوض على TLS.
بعد إنشاء اتصال TLS، تقارن العقدة موقّع الشهادة من خادم قاعدة البيانات بسلطة الشهادة في شهادة جذر قاعدة البيانات. إذا لم يتطابقوا ، فإن العقدة تسقط الاتصال.

استخدم شهادة الجذر قاعدة البيانات التحكم أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

طلب TLS وتحقق من موقع الشهادة واسم المضيف

تتصل عُقد HDS فقط إذا كان بإمكان خادم قاعدة بيانات التفاوض على TLS.
بعد إنشاء اتصال TLS، تقارن العقدة موقّع الشهادة من خادم قاعدة البيانات بسلطة الشهادة في شهادة جذر قاعدة البيانات. إذا لم يتطابقوا ، فإن العقدة تسقط الاتصال.
تحقق العقد أيضًا من أن اسم المضيف في شهادة الخادم يطابق اسم المضيف في مضيف قاعدة البيانات وحقل المنفذ. يجب أن تتطابق الأسماء تمامًا ، وإلا ستفقد العقدة الاتصال.

استخدم شهادة الجذر قاعدة البيانات التحكم أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

عند تحميل شهادة الجذر (إذا لزم الأمر) والنقر على متابعة، تختبر أداة إعداد HDS اتصال TLS بخادم قاعدة البيانات. تتحقق الأداة أيضًا من موقع التوقيع على الشهادة واسم المضيف ، إذا كان ذلك ممكنًا. في حالة فشل الاختبار ، تعرض الأداة رسالة رسالة خطأ تصف المشكلة. يمكنك اختيار تجاهل الخطأ ومتابعة الإعداد. (بسبب اختلافات الاتصال، قد تتمكن عُقد HDS من إنشاء اتصال TLS حتى إذا لم تتمكن آلة أداة إعداد HDS من اختباره بنجاح.)

في صفحة سجلات النظام، قم بتكوين خادم Syslogd الخاص بك:

أدخل عنوان URL لخادم سجل النظام.

إذا لم يكن الخادم قابلاً لحل DNS من العقد الخاصة بمجموعة HDS الخاصة بك، فاستخدم عنوان IP في عنوان URL.

مثال:
udp://10.92.43.23:514 يشير إلى تسجيل الدخول إلى مضيف Syslogd 10.92.43.23 على منفذ UDP 514.
إذا قمت بإعداد الخادم لاستخدام تشفير TLS، فتحقق من هل تم تكوين خادم سجل النظام لتشفير SSL؟.

إذا حددت خانة الاختيار هذه، فتأكد من إدخال عنوان URL لـ TCP مثل tcp://10.92.43.23:514.
من القائمة المنسدلة اختر إنهاء سجل النظام ، اختر الإعداد المناسب لملف ISO الخاص بك: يتم استخدام Choose أو Newline لـ Graylog و Rsyslog TCP
- بايت فارغ -- \x00
- الخط الجديد -- - حدد هذا الخيار لـ Graylog وRsyslog TCP.
انقر على متابعة.

(اختياري) يمكنك تغيير القيمة الافتراضية لبعض معلمات اتصال قاعدة البيانات في الإعدادات المتقدمة. بشكل عام، هذه المعلمة هي الوحيدة التي قد ترغب في تغييرها:

app_datasource_connection_pool_maxSize: 10

انقر فوق متابعة على شاشة إعادة تعيين كلمة مرور حسابات الخدمة.

مدة صلاحية كلمات مرور حساب الخدمة تسعة أشهر. استخدم هذه الشاشة عندما تقترب كلمات المرور الخاصة بك من انتهاء الصلاحية أو تريد إعادة تعيينها لإبطال ملفات ISO السابقة.

انقر فوق تنزيل ملف ISO. احفظ الملف في موقع يسهل العثور عليه.

قم بعمل نسخة احتياطية من ملف ISO على نظامك المحلي.

حافظ على أمان نسخة النسخ الاحتياطية. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. تقييد الوصول إلى مسؤولي أمان البيانات الهجين الذين يجب عليهم إجراء تغييرات في التكوين فقط.

لإيقاف تشغيل أداة الإعداد ، اكتب CTRL+C.

التصرف التالي

نسخ احتياطي ملف ISO الخاص بالتكوين. أنت بحاجة إليها لإنشاء المزيد من العقد للاسترداد، أو لإجراء تغييرات في التكوين. إذا فقدت كل نسخ ملف الأيزو، ستفقد أيضا المفتاح الرئيسي. لا يمكن استعادة المفاتيح من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

لا نملك نسخة من هذا المفتاح ولا يمكننا مساعدتك إذا فقدته.

تثبيت OVA مضيف HDS

استخدم هذا الإجراء لإنشاء آلة ظاهرية من ملف OVA.

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى مضيف ESXi الظاهري.

حدد ملف > نشر قالب OVF.

في المعالج، حدد موقع ملف OVA الذي قمت بتنزيله في وقت سابق، ثم انقر فوق التالي.

على حدد اسمًا ومجلدًا صفحة، أدخل اسم الجهاز الظاهري للعقدة (على سبيل المثال، "HDS_Node_1")، اختر موقعًا يمكن أن يقيم فيه نشر عقدة الآلة الظاهرية، ثم انقر التالي.

على حدد مورد حساب الصفحة، اختر مورد حساب الوجهة، ثم انقر التالي.

يتم تشغيل فحص التحقق. بعد الانتهاء، تظهر تفاصيل القالب.

تحقق من تفاصيل القالب، ثم انقر على Next.

إذا طُلب منك اختيار تكوين المورد في التكوين الصفحة، انقر 4 معالج ثم انقر التالي.

على تحديد التخزين الصفحة، انقر التالي لقبول تنسيق القرص الافتراضي وسياسة تخزين VM.

على تحديد الشبكات الصفحة، اختر خيار الشبكة من قائمة الإدخالات لتوفير الاتصال المطلوب بـ VM.

في صفحة تخصيص القالب، قم بتكوين إعدادات الشبكة التالية:

اسم المضيف—أدخل FQDN (اسم المضيف والمجال) أو اسم مضيف واحد للعقدة.

لا تحتاج إلى تعيين المجال ليطابق المجال الذي استخدمته للحصول على شهادة X.509.
لضمان تسجيل ناجح في السحابة، استخدم فقط الأحرف الصغيرة في FQDN أو اسم المضيف الذي قمت بتعيينه للعقدة. الأحرف الكبيرة غير مدعومة في الوقت الحالي.
يجب ألا يتجاوز إجمالي طول FQDN 64 حرفًا.

عنوان IP— أدخل عنوان IP للواجهة الداخلية للعقدة.

يجب أن تحتوي العقدة على عنوان IP واسم DNS داخلي. DHCP غير مدعوم.
قناع- أدخل عنوان قناع الشبكة الفرعية في ترميز نقطة عشرية. على سبيل المثال، 255.255.255.0.
البوابة—أدخل عنوان IP الخاص بالبوابة. البوابة هي عقدة شبكة تعمل كنقطة وصول إلى شبكة أخرى.
خوادم DNS—أدخل قائمة مفصولة بفاصلة من خوادم DNS، والتي تتعامل مع ترجمة أسماء المجالات إلى عناوين IP الرقمية. (يُسمح بإدخال ما يصل إلى 4 DNS.)
خوادم NTP—أدخل خادم NTP الخاص بمؤسستك أو خادم NTP خارجي آخر يمكن استخدامه في مؤسستك. قد لا تعمل خوادم NTP الافتراضية لجميع المؤسسات. يمكنك أيضًا استخدام قائمة مفصولة بفاصلة لإدخال خوادم NTP متعددة.

قم بنشر جميع العقد على نفس الشبكة الفرعية أو شبكة VLAN، بحيث يمكن الوصول إلى جميع العقد في مجموعة من العملاء في شبكتك لأغراض إدارية.

إذا كان ذلك مفضلاً، يمكنك تخطي تكوين إعداد الشبكة واتبع الخطوات الواردة في إعداد Hybrid Data Security VM لتكوين الإعدادات من وحدة التحكم في العقدة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 6.5. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

انقر بزر الماوس الأيمن على عقدة VM، ثم اختر الطاقة > تشغيل الطاقة.

يتم تثبيت برنامج Hybrid Data Security كضيف على مضيف VM. أنت الآن جاهز لتسجيل الدخول إلى وحدة التحكم وتكوين العقدة.

تلميحات استكشاف الأخطاء وإصلاحها

قد تواجه تأخير لبضع دقائق قبل ظهور حاويات العقدة. تظهر رسالة جدار حماية الجسر على وحدة التحكم أثناء التمهيد الأول، والتي لا يمكنك خلالها تسجيل الدخول.

إعداد VM Hybrid Data Security

استخدم هذا الإجراء لتسجيل الدخول إلى وحدة تحكم VM الخاصة بعقدة أمان البيانات الهجينة لأول مرة وقم بتعيين بيانات اعتماد تسجيل الدخول. يمكنك أيضًا استخدام وحدة التحكم لتكوين إعدادات الشبكة للعقدة إذا لم تقم بتهيئتها في وقت نشر OVA.

1	في عميل VMware vSphere، حدد VM Hybrid Data Security Node VM وحدد علامة التبويب Console. يتم تشغيل VM وتظهر مطالبة تسجيل الدخول. إذا لم يتم عرض مطالبة تسجيل الدخول، فاضغط على Enter.
2	استخدم تسجيل الدخول وكلمة المرور الافتراضية التالية لتسجيل الدخول وتغيير بيانات الاعتماد: تسجيل الدخول: `admin` كلمة المرور: `cisco` نظرًا لأنك تقوم بتسجيل الدخول إلى VM لأول مرة، يجب عليك تغيير كلمة مرور المسؤول.
3	إذا قمت بتكوين إعدادات الشبكة بالفعل في تثبيت HDS Host OVA، فقم بتخطي بقية هذا الإجراء. بخلاف ذلك، في القائمة الرئيسية، حدد خيار تحرير التكوين.
4	قم بإعداد تكوين ثابت باستخدام عنوان IP والقناع والبوابة ومعلومات DNS. يجب أن تحتوي العقدة على عنوان IP واسم DNS داخلي. DHCP غير مدعوم.
5	(اختياري) قم بتغيير اسم المضيف أو المجال أو خادم (خوادم) NTP، إذا لزم الأمر لمطابقة سياسة الشبكة الخاصة بك. لا تحتاج إلى تعيين المجال ليطابق المجال الذي استخدمته للحصول على شهادة X.509.
6	احفظ تكوين الشبكة وأعد تشغيل VM حتى تصبح التغييرات سارية.

تحميل وتثبيت ISO لتكوين HDS

استخدم هذا الإجراء لتكوين الجهاز الظاهري من ملف ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

قبل البدء

نظرًا لأن ملف ISO يحمل المفتاح الرئيسي ، يجب أن يتم كشفه فقط على أساس "الحاجة إلى المعرفة" ، للوصول إلى VMs Hybrid Data Security وأي مسؤولين قد يحتاجون إلى إجراء تغييرات. تأكد من أن هؤلاء المسؤولين فقط يمكنهم الوصول إلى قاعدة البيانات.

تحميل ملف ISO من جهاز الكمبيوتر الخاص بك:

في جزء التنقل الأيسر لعميل VMware vSphere، انقر على خادم ESXi.
في قائمة أجهزة علامة تبويب "التكوين"، انقر على Storage.
في قائمة Datastores، انقر بزر الماوس الأيمن على مركز البيانات لأجهزة VM الخاصة بك وانقر على Browse Datastore.
انقر على رمز "تحميل الملفات"، ثم انقر فوق تحميل ملف.
استعرض إلى الموقع الذي قمت بتنزيل ملف ISO على جهاز الكمبيوتر الخاص بك وانقر على Open.
انقر على نعم لقبول تحذير عملية التحميل/التنزيل، وأغلق مربع حوار البيانات.

قم بتثبيت ملف ISO:

في جزء التنقل الأيسر لعميل VMware vSphere ، نقر بزر الماوس الأيمن على الجهاز VM وانقر تحرير الإعدادات .
انقر فوق موافق لقبول تحذير خيارات التحرير المقيدة.
انقر CD/DVD Drive 1 ، حدد خيار التثبيت من ملف ISO لـ DATASTORE ، واستعرض إلى الموقع الذي قمت بتحميل ملف ISO الخاص بالتكوين.
افحص Connected وConnect عند تشغيل الطاقة.
احفظ التغييرات الخاصة بك وأعد تشغيل الجهاز الظاهري.

التصرف التالي

إذا كانت سياسة تكنولوجيا المعلومات الخاصة بك تتطلب، يمكنك إلغاء تثبيت ملف ISO اختياريًا بعد أن تلتقط كل العقد تغييرات التكوين. راجع (اختياري) إلغاء تثبيت ISO بعد تكوين HDS لمعرفة التفاصيل.

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب وكيلاً، فاستخدم هذا الإجراء لتحديد نوع الوكيل الذي تريد دمجه مع Hybrid Data Security. إذا اخترت وكيل فحص شفاف أو وكيل صريح لـ HTTPS، فيمكنك استخدام واجهة العقدة لتحميل شهادة الجذر وتثبيتها. يمكنك أيضًا التحقق من اتصال الوكيل من الواجهة واستكشاف أي مشكلات محتملة وإصلاحها.

قبل البدء

راجع دعم الوكيل للاطلاع على نظرة عامة على خيارات الوكيل المدعومة.
متطلبات الخادم الوكيل

1	أدخل عنوان URL لإعداد عقدة HDS `https://[HDS Node IP or FQDN]/setup` في مستعرض ويب، أدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ثم انقر على تسجيل الدخول.
2	انتقل إلى Trust Store & Proxy، ثم اختر خيارًا: لا يوجد وكيل—الخيار الافتراضي قبل دمج وكيل. لا يلزم تحديث الشهادة. الوكيل الشفاف غير المفتشين— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ويجب ألا تتطلب أي تغييرات للعمل مع وكيل غير مفتشين. لا يلزم تحديث الشهادة. وكيل التفتيش الشفاف — لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا توجد تغييرات في تكوين HTTPS ضرورية في نشر أمان البيانات الهجينة، ومع ذلك، تحتاج عُقد HDS إلى شهادة جذر حتى تثق في الوكيل. وعادة ما تستخدم تكنولوجيا المعلومات عمليات تفتيش الوكلاء لإنفاذ السياسات التي يمكن زيارتها على المواقع الشبكية وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من الوكيل بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS). الوكيل الصريح—مع الوكيل الصريح، تخبر العميل (عُقد HDS) الخادم الوكيل المراد استخدامه، ويدعم هذا الخيار عدة أنواع من المصادقة. بعد اختيار هذا الخيار، يجب عليك إدخال المعلومات التالية: IP/FQDN للوكيل — العنوان الذي يمكن استخدامه للوصول إلى آلة الوكيل. منفذ الوكيل—رقم المنفذ الذي يستخدمه الوكيل للاستماع لحركة المرور الموكلة. بروتوكول الوكيل—اختر http (عرض ومراقبة جميع الطلبات التي يتم استلامها من العميل) أو https (يوفر قناة للخادم ويتلقى العميل شهادة الخادم ويتحقق منها). اختر خيارًا بناءً على ما يدعمه خادمك الوكيل. نوع المصادقة—اختر من بين أنواع المصادقة التالية: لا شيء — لا يلزم إجراء مزيد من المصادقة. متوفر لوكلاء HTTP أو HTTPS. أساسي—يُستخدم لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64. متوفر لوكلاء HTTP أو HTTPS. إذا اخترت هذا الخيار، يجب عليك أيضًا إدخال اسم المستخدم وكلمة المرور. الملخص—يُستخدم لتأكيد الحساب قبل إرسال معلومات حساسة. تطبيق وظيفة التجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة. متاح لوكلاء HTTPS فقط. إذا اخترت هذا الخيار، يجب عليك أيضًا إدخال اسم المستخدم وكلمة المرور. اتبع الخطوات التالية لوكيل فحص شفاف، أو وكيل صريح لـ HTTP مع المصادقة الأساسية، أو وكيل صريح لـ HTTPS.
3	انقر على تحميل شهادة جذر أو شهادة كيان إنهاء، ثم انتقل إلى اختيار شهادة الجذر للوكيل. يتم تحميل الشهادة ولكن لم يتم تثبيتها بعد لأنه يجب عليك إعادة تشغيل العقدة لتثبيت الشهادة. انقر على سهم شيفرون باستخدام اسم جهة إصدار الشهادة للحصول على مزيد من التفاصيل أو انقر فوق حذف إذا كنت قد ارتكبت خطأً وترغب في عرض الملف.
4	انقر فوق التحقق من اتصال الوكيل لاختبار اتصال الشبكة بين العقدة والوكيل. إذا فشل اختبار الاتصال، فسترى رسالة خطأ توضح السبب وكيف يمكنك تصحيح المشكلة. إذا رأيت رسالة تفيد بأن دقة DNS الخارجية لم تنجح، فلن تتمكن العقدة من الوصول إلى خادم DNS. من المتوقع حدوث هذا الشرط في العديد من تكوينات الوكيل الصريحة. يمكنك المتابعة مع الإعداد، وسوف تعمل العقدة في وضع دقة DNS الخارجي المحظور. إذا كنت تعتقد أن هذا خطأ، فأكمل هذه الخطوات، ثم راجع إيقاف تشغيل وضع حل DNS الخارجي المحظور.
5	بعد مرور اختبار الاتصال، لتعيين الوكيل الصريح على https فقط، قم بتشغيل المفتاح لتوجيه جميع طلبات https الخاصة بالمنفذ 443/444 من هذه العقدة من خلال الوكيل الصريح. يتطلب هذا الإعداد 15 ثانية ليبدأ سريانه.
6	انقر فوق تثبيت جميع الشهادات في متجر الثقة (يظهر لوكيل صريح من HTTPS أو وكيل فحص شفاف) أو إعادة التشغيل (يظهر لوكيل صريح من HTTP)، واقرأ المطالبة، ثم انقر على Install إذا كنت جاهزًا. تتم إعادة تشغيل العقدة في غضون بضع دقائق.
7	بعد إعادة تشغيل العقدة، قم بتسجيل الدخول مرة أخرى إذا لزم الأمر، ثم افتح صفحة نظرة عامة للتحقق من عمليات التحقق من الاتصال للتأكد من أنها كلها في حالة خضراء. يقوم التحقق من اتصال الوكيل باختبارات مجال فرعي لـ webex.com فقط. إذا كانت هناك مشكلات في الاتصال، فهناك مشكلة شائعة تتمثل في حظر بعض مجالات السحابة المدرجة في تعليمات التثبيت على الوكيل.

تسجيل العقدة الأولى في المجموعة

تأخذ هذه المهمة العقدة العامة التي أنشأتها في إعداد Hybrid Data Security VM، وتسجيل العقدة باستخدام Webex على السحابة، وتحويلها إلى عقدة Hybrid Data Security.

عند تسجيل العقدة الأولى، تقوم بإنشاء مجموعة تم تعيين العقدة لها. تحتوي المجموعة على عُقد واحدة أو أكثر تم نشرها لتوفير التكرار.

قبل البدء

بمجرد أن تبدأ في تسجيل العقدة، يجب عليك إكمالها في غضون 60 دقيقة أو يجب عليك البدء من جديد.
تأكد من تعطيل أي حاصرات منبثقة في متصفحك أو السماح باستثناءات لـ admin.webex.com.

1	سجّل الدخول إلى https://admin.webex.com.
2	من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.
3	في قسم الخدمات الهجينة، ابحث عن أمان البيانات الهجينة وانقر على إعداد. تظهر صفحة Register Hybrid Data Security Node.
4	حدد نعم للإشارة إلى قيامك بإعداد العقدة واستعدادها لتسجيلها، ثم انقر فوق "التالي".
5	في الحقل الأول، أدخل اسمًا لمجموعة النظام التي تريد تعيين عقدة أمان البيانات الهجينة إليها. نوصيك بتسمية مجموعة بناء على مكان وجود عُقد المجموعة جغرافيًا. الأمثلة: "سان فرانسيسكو" أو "نيويورك" أو "دالاس"
6	في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) لعقدتك وانقر على Next. يجب أن يتطابق عنوان IP هذا أو FQDN مع عنوان IP أو اسم المضيف والمجال الذي استخدمته في إعداد Hybrid Data Security VM. تظهر رسالة تشير إلى أنه يمكنك تسجيل عقدة الخاص بك في Webex.
7	انقر على الانتقال إلى العقدة.
8	انقر على متابعة في رسالة التحذير. بعد بضع لحظات، تتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا كانت جميع الاختبارات ناجحة، فستظهر صفحة "السماح بالوصول إلى عقدة أمان البيانات الهجينة". هناك، تؤكد أنك تريد منح الأذونات لمؤسسة Webex الخاصة بك للوصول إلى عقدة الخاص بك.
9	حدد خانة اختيار السماح بالوصول إلى عقدة أمان البيانات الهجينة ، ثم انقر فوق متابعة. تم التحقق من صحة حسابك وتشير رسالة "إكمال التسجيل" إلى أن عقدة الخاص بك مسجلة الآن في Webex على السحابة.
10	انقر فوق الارتباط أو أغلق علامة التبويب للرجوع إلى صفحة أمان بيانات Control Hub الهجينة. في صفحة Hybrid Data Security، يتم عرض المجموعة الجديدة التي تحتوي على العقدة التي قمت بتسجيلها. ستقوم العقدة بتنزيل أحدث البرامج تلقائيًا من السحابة.

إنشاء وتسجيل المزيد من العُقد

لإضافة عُقد إضافية إلى المجموعة الخاصة بك، يمكنك ببساطة إنشاء VM إضافية وتثبيت نفس ملف ISO الخاص بالتكوين، ثم تسجيل العقدة. نوصي بأن يكون لديك 3 عُقد على الأقل.

في هذا الوقت، تعد أجهزة VM الاحتياطية التي أنشأتها في إكمال المتطلبات المسبقة لأمن البيانات الهجينة مضيفين احتياطيين لا تُستخدم إلا في حالة استعادة البيانات بعد الكوارث؛ ولا يتم تسجيلها في النظام حتى ذلك الحين. للحصول على مزيد من التفاصيل، راجع Disaster Recovery باستخدام Standby Data Center.

قبل البدء

بمجرد أن تبدأ في تسجيل العقدة، يجب عليك إكمالها في غضون 60 دقيقة أو يجب عليك البدء من جديد.
تأكد من تعطيل أي حاصرات منبثقة في متصفحك أو السماح باستثناءات لـ admin.webex.com.

1	قم بإنشاء جهاز ظاهري جديد من OVA، مع تكرار الخطوات الواردة في تثبيت OVA مضيف HDS.
2	قم بإعداد التكوين الأولي على VM الجديد، مع تكرار الخطوات الواردة في إعداد Hybrid Data Security VM.
3	في VM الجديد، كرر الخطوات الواردة في تحميل وتثبيت تكوين HDS ISO.
4	إذا كنت تقوم بإعداد وكيل لعملية النشر الخاصة بك، فكرر الخطوات الواردة في تكوين عقدة HDS لتكامل الوكيل حسب الحاجة للعقدة الجديدة.
5	قم بتسجيل العقدة. في https://admin.webex.com، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة. في قسم الخدمات الهجينة، ابحث عن بطاقة أمان البيانات الهجينة وانقر على Resources. تظهر صفحة موارد أمان البيانات الهجينة. انقر على إضافة مورد. في الحقل الأول، حدد اسم المجموعة الموجودة لديك. في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) لعقدتك وانقر على Next. تظهر رسالة تشير إلى أنه يمكنك تسجيل عقدة الخاص بك في سحابة Webex. انقر على الانتقال إلى العقدة. بعد بضع لحظات، تتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا كانت جميع الاختبارات ناجحة، فستظهر صفحة "السماح بالوصول إلى عقدة أمان البيانات الهجينة". هناك، أنت تؤكد أنك تريد منح الأذونات لمؤسستك للوصول إلى عقدة الخاص بك. حدد خانة اختيار السماح بالوصول إلى عقدة أمان البيانات الهجينة ، ثم انقر فوق متابعة. تم التحقق من صحة حسابك وتشير رسالة "إكمال التسجيل" إلى أن عقدة الخاص بك مسجلة الآن في Webex على السحابة. انقر فوق الارتباط أو أغلق علامة التبويب للرجوع إلى صفحة أمان بيانات Control Hub الهجينة. تم تسجيل العقدة الخاصة بك. لاحظ أنه حتى تبدأ الإصدار التجريبي، تقوم العُقد بإنشاء تنبيه يشير إلى أن الخدمة لم يتم تنشيطها بعد.

التصرف التالي

تشغيل الإصدار التجريبي والانتقال إلى الإنتاج (الفصل التالي)

تشغيل الإصدار التجريبي والانتقال إلى الإنتاج

الإصدار التجريبي لتدفق مهمة الإنتاج

بعد إعداد مجموعة Hybrid Data Security، يمكنك بدء تشغيل تجريبي وإضافة مستخدمين إليه والبدء في استخدامه لاختبار النشر والتحقق منه استعدادًا للانتقال إلى الإنتاج.

قبل البدء

إعداد مجموعة أمان البيانات الهجينة

1	إذا أمكن، قم بمزامنة `HdsTrialGroup` كائن المجموعة. إذا كانت مؤسستك تستخدم مزامنة الدليل للمستخدمين، فيجب عليك تحديد `HdsTrialGroup` كائن المجموعة للمزامنة مع السحابة قبل أن تتمكن من بدء إصدار تجريبي. للحصول على تعليمات، راجع دليل النشر الخاص بموصل دليل Cisco.
2	تنشيط الإصدار التجريبي ابدأ تجربة. حتى تقوم بهذه المهمة، تقوم العُقد بإنشاء تنبيه يشير إلى أن الخدمة لم يتم تنشيطها بعد.
3	اختبار نشر أمان البيانات الهجينة لديك تحقق من تمرير الطلبات الرئيسية إلى نشر Hybrid Data Security الخاص بك.
4	مراقبة صحة أمان البيانات الهجينة تحقق من الحالة، وقم بإعداد إشعارات البريد الإلكتروني للتنبيهات.
5	إضافة أو إزالة مستخدمين من الإصدار التجريبي الخاص بك
6	أكمل مرحلة التجربة بأحد الإجراءات التالية: الانتقال من الإصدار التجريبي إلى الإنتاج إنهاء تجربتك دون الانتقال إلى الإنتاج

تنشيط الإصدار التجريبي

قبل البدء

إذا كانت مؤسستك تستخدم مزامنة الدليل للمستخدمين، فيجب عليك تحديد HdsTrialGroup قم بتجميع كائن للمزامنة مع السحابة قبل أن تتمكن من بدء إصدار تجريبي لمؤسستك. للحصول على تعليمات، راجع دليل النشر الخاص بموصل دليل Cisco.

1	سجّل الدخول إلى https://admin.webex.com، ثم حدد الخدمات.
2	ضمن "أمان البيانات الهجينة"، انقر فوق الإعدادات.
3	في قسم حالة الخدمة، انقر فوق Start Trial. تتغير حالة الخدمة إلى الوضع التجريبي.
4	انقر على Add Users وأدخل عنوان البريد الإلكتروني لمستخدم واحد أو أكثر ليتم تجريبه باستخدام عُقد Hybrid Data Security الخاصة بك لخدمات التشفير والفهرسة. (إذا كانت مؤسستك تستخدم مزامنة الدليل، فاستخدم Active Directory لإدارة المجموعة التجريبية، `HdsTrialGroup`.)

اختبار نشر أمان البيانات الهجينة لديك

استخدم هذا الإجراء لاختبار سيناريوهات تشفير أمان البيانات الهجينة.

قبل البدء

قم بإعداد نشر Hybrid Data Security.
قم بتنشيط الإصدار التجريبي وإضافة العديد من مستخدمي الإصدار التجريبي.
تأكد من أن لديك صلاحية الوصول إلى سجل النظام للتحقق من أن الطلبات الرئيسية تنتقل إلى نشر Hybrid Data Security.

يتم تعيين مفاتيح مساحة معينة من قبل منشئ المساحة. سجّل الدخول إلى تطبيق Webex كأحد المستخدمين التجريبيين، ثم قم بإنشاء مساحة ودعوة مستخدم تجريبي واحد على الأقل ومستخدم غير تجريبي واحد.

إذا قمت بإلغاء تنشيط نشر "أمان البيانات الهجينة"، فلن يصبح الوصول إلى المحتوى الموجود في المساحات التي ينشئها المستخدمون التجريبيون بمجرد استبدال النسخ المخزنة من مفاتيح التشفير.

أرسل رسائل إلى المساحة الجديدة.

تحقق من مخرجات سجل النظام للتحقق من أن الطلبات الرئيسية تنتقل إلى نشر أمان البيانات الهجينة.

للتحقق من قيام مستخدم أولاً بإنشاء قناة آمنة إلى KMS، قم بالتصفية على kms.data.method=create و kms.data.type=EPHEMERAL_KEY_COLLECTION:

يجب عليك العثور على إدخال مثل ما يلي (يتم اختصار المعرفات للقراءة):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

للتحقق من وجود مستخدم يطلب مفتاح موجود من KMS، قم بالتصفية kms.data.method=retrieve و kms.data.type=KEY:

يجب أن تجد مدخلاً مثل:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

للتحقق من وجود مستخدم يطلب إنشاء مفتاح KMS جديد، قم بالتصفية على kms.data.method=create و kms.data.type=KEY_COLLECTION:

يجب أن تجد مدخلاً مثل:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

للتحقق من وجود مستخدم يطلب إنشاء كائن موارد KMS (KRO) جديد عند إنشاء مساحة أو مورد محمي آخر، قم بالتصفية على kms.data.method=create و kms.data.type=RESOURCE_COLLECTION:

يجب أن تجد مدخلاً مثل:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

مراقبة صحة أمان البيانات الهجينة

يوضح لك مؤشر الحالة داخل Control Hub ما إذا كان كل شيء على ما يرام مع نشر Hybrid Data Security. لمزيد من التنبيه الاستباقي، قم بالتسجيل للحصول على إشعارات البريد الإلكتروني. سيتم إعلامك عند وجود أجهزة إنذار تؤثر على الخدمة أو ترقيات للبرامج.

1	في Control Hub، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة.
2	في قسم الخدمات الهجينة، ابحث عن Hybrid Data Security وانقر على Settings. تظهر صفحة إعدادات أمان البيانات الهجينة.
3	في قسم "إعلامات البريد الإلكتروني"، اكتب عنوان بريد إلكتروني واحد أو أكثر مفصولة بفواصل، واضغط على Enter.

إضافة أو إزالة مستخدمين من الإصدار التجريبي الخاص بك

بعد تنشيط الإصدار التجريبي وإضافة المجموعة الأولية من مستخدمي الإصدار التجريبي، يمكنك إضافة أعضاء الإصدار التجريبي أو إزالتهم في أي وقت أثناء تنشيط الإصدار التجريبي.

إذا قمت بإزالة مستخدم من الإصدار التجريبي، فسيطلب عميل المستخدم إنشاء المفاتيح والمفاتيح من نظام KMS السحابي بدلاً من نظام KMS الخاص بك. إذا كان العميل يحتاج إلى مفتاح يتم تخزينه على نظام KMS الخاص بك، فسيقوم نظام KMS السحابي بجلبه نيابة عن المستخدم.

إذا كانت مؤسستك تستخدم مزامنة الدليل، فاستخدم Active Directory (بدلاً من هذا الإجراء) لإدارة مجموعة الإصدار التجريبي، HdsTrialGroup ؛ يمكنك عرض أعضاء المجموعة في Control Hub ولكن لا يمكن إضافتهم أو إزالتهم.

1	سجّل الدخول إلى Control Hub، ثم حدد الخدمات.
2	ضمن "أمان البيانات الهجينة"، انقر فوق الإعدادات.
3	في قسم "وضع الإصدار التجريبي" في منطقة "حالة الخدمة"، انقر فوق إضافة مستخدمين، أو انقر فوق عرض وتحرير لإزالة المستخدمين من الإصدار التجريبي.
4	أدخل عنوان البريد الإلكتروني الخاص بمستخدم واحد أو أكثر لإضافته، أو انقر فوق X بواسطة معرف مستخدم لإزالة المستخدم من الإصدار التجريبي. ثم انقر فوق احفظ .

الانتقال من الإصدار التجريبي إلى الإنتاج

عندما تشعر بالرضا لأن عملية النشر الخاصة بك تعمل بشكل جيد لمستخدمي الإصدار التجريبي، يمكنك الانتقال إلى مرحلة الإنتاج. عند الانتقال إلى الإنتاج، سيستخدم جميع المستخدمين في المؤسسة مجال Hybrid Data Security الداخلي الخاص بك لمفاتيح التشفير وخدمات النطاق الأمني الأخرى. لا يمكنك الانتقال إلى وضع الإصدار التجريبي من الإنتاج ما لم تقم بإلغاء تنشيط الخدمة كجزء من استعادة القدرة على العمل بعد الكوارث. تتطلب إعادة تنشيط الخدمة إعداد إصدار تجريبي جديد.

1	سجّل الدخول إلى Control Hub، ثم حدد الخدمات.
2	ضمن "أمان البيانات الهجينة"، انقر فوق الإعدادات.
3	في قسم حالة الخدمة، انقر فوق نقل إلى الإنتاج.
4	تأكد من رغبتك في نقل جميع المستخدمين لديك إلى الإنتاج.

إنهاء تجربتك دون الانتقال إلى الإنتاج

إذا قررت أثناء الفترة التجريبية عدم المضي قدمًا في نشر Hybrid Data Security الخاص بك، فيمكنك إلغاء تنشيط Hybrid Data Security، مما ينهي الإصدار التجريبي وينقل مستخدمي الإصدار التجريبي إلى خدمات أمان البيانات السحابية. سيفقد مستخدمو الإصدار التجريبي إمكانية الوصول إلى البيانات التي تم تشفيرها أثناء الإصدار التجريبي.

1	سجّل الدخول إلى Control Hub، ثم حدد الخدمات.
2	ضمن "أمان البيانات الهجينة"، انقر فوق الإعدادات.
3	في قسم إلغاء التنشيط، انقر فوق إلغاء التنشيط.
4	تأكد من رغبتك في إلغاء تنشيط الخدمة وإنهاء الإصدار التجريبي.

إدارة نشر HDS الخاص بك

إدارة نشر HDS

استخدم المهام الموضحة هنا لإدارة نشر Hybrid Data Security.

تعيين جدول ترقية مجموعة النظام

تتم ترقيات البرامج الخاصة بأمن البيانات الهجينة تلقائيًا على مستوى المجموعة، مما يضمن أن جميع العقد تعمل دائمًا على إصدار البرنامج نفسه. تتم الترقيات وفقًا لجدول الترقية الخاص بالمجموعة. عند توفر ترقية برنامج ما، يكون لديك خيار ترقية المجموعة يدويًا قبل وقت الترقية المجدول. يمكنك تعيين جدول ترقية معين أو استخدام الجدول الافتراضي في الساعة 3:00 صباحًا Daily United States: أمريكا / لوس أنجلوس. يمكنك أيضًا اختيار تأجيل الترقية القادمة، إذا لزم الأمر.

لتعيين جدول الترقية:

1	سجّل الدخول إلى Control Hub .
2	في صفحة النظرة العامة، ضمن Hybrid Services، حدد Hybrid Data Security.
3	في صفحة موارد أمان البيانات الهجينة، حدد المجموعة.
4	في لوحة "نظرة عامة" على اليمين، ضمن "إعدادات المجموعة"، حدد اسم المجموعة.
5	في صفحة "الإعدادات"، ضمن "الترقية"، حدد الوقت والمنطقة الزمنية لجدول الترقية. ملاحظة: ضمن المنطقة الزمنية، يتم عرض تاريخ ووقت الترقية المتاحين التالي. يمكنك تأجيل الترقية إلى اليوم التالي، إذا لزم الأمر، عن طريق النقر على تأجيل.

تغيير تكوين العقدة

من حين لآخر ، قد تحتاج إلى تغيير تكوين عقدة Hybrid Data Security الخاصة بك لسبب مثل:

تغيير شهادات X.509 بسبب انتهاء الصلاحية أو لأسباب أخرى.

لا ندعم تغيير اسم المجال CN للشهادة. يجب أن يتطابق المجال مع المجال الأصلي المستخدم لتسجيل المجموعة.

تحديث إعدادات قاعدة البيانات للتغيير إلى نسخة متماثلة من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

لا ندعم ترحيل البيانات من PostgreSQL إلى Microsoft SQL Server ، أو العكس. لتبديل بيئة قاعدة البيانات ، ابدأ عملية نشر جديدة لـ Hybrid Data Security.

إنشاء تكوين جديد لإعداد مركز بيانات جديد.

أيضًا ، لأغراض الأمان ، يستخدم Hybrid Data Security كلمات مرور حساب خدمة التي يبلغ عمرها تسعة أشهر. بعد أن تنشئ أداة إعداد HDS كلمات المرور هذه ، يمكنك نشرها على كل عقد من عقد HDS في ملف تكوين ISO . عندما تقترب كلمات مرور مؤسستك من انتهاء صلاحيتها ، تتلقى إشعارًا من فريق Webex لإعادة تعيين كلمة المرور لحساب جهازك. (يتضمن البريد الإلكتروني النص ، "استخدام API حساب الجهاز لتحديث كلمة المرور.") إذا لم تنته صلاحية كلمات المرور الخاصة بك حتى الآن ، تمنحك الأداة خيارين:

إعادة تعيين ضعيف —تعمل كلمتا المرور القديمة والجديدة لمدة تصل إلى 10 أيام. استخدم هذه الفترة لاستبدال ملف ISO على العقد بالتدريج.
إعادة تعيين الثابت —توقف كلمات المرور القديمة عن العمل على الفور.

إذا انتهت صلاحية كلمات المرور الخاصة بك دون إعادة تعيين ، فسيؤثر ذلك على خدمة HDS الخاصة بك ، مما يتطلب إعادة تعيين ثابت واستبدال ملف ISO على جميع العقد.

استخدم هذا الإجراء لإنشاء ملف ISO جديد للتكوين وتطبيقه على المجموعة الخاصة بك.

قبل البدء

إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم، المنفذ، بيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في 1.e. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

الوصف	المتغير
بروكسي HTTP بدون مصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
وكيل HTTPS بدون مصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
بروكسي HTTP مع المصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
وكيل HTTPS مع المصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

تحتاج إلى نسخة من ملف ISO للتكوين الحالي لإنشاء تكوين جديد. يحتوي ISO على المفتاح الرئيسي الذي يقوم بتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى ISO عند إجراء تغييرات على التكوين ، بما في ذلك بيانات اعتماد قاعدة البيانات ، أو تحديثات الشهادة ، أو التغييرات التي تطرأ على سياسة التفويض.

باستخدام Docker على جهاز محلي ، قم بتشغيل أداة إعداد HDS.

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فسيتم إرجاع خطأ يمكنك تجاهله.

تسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:
```
docker login -u hdscustomersro
```
في موجه كلمة المرور ، أدخل هذه التجزئة:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

docker pull ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

تأكد من سحب أحدث أداة إعداد لهذا الإجراء. لا تحتوي إصدارات الأداة التي تم إنشاؤها قبل 22 فبراير 2018 على شاشات إعادة تعيين كلمة المرور.

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية بدون وكيل:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

في البيئات العادية باستخدام وكيل HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

في البيئات العادية باستخدام وكيل HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

في بيئات FedRAMP بدون وكيل:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

في بيئات FedRAMP باستخدام وكيل HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

في بيئات FedRAMP باستخدام وكيل HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "الاستماع السريع للخادم على المنفذ 8080."

استخدم مستعرضًا للاتصال بالمضيف المحلي ، http://127.0.0.1:8080.

لا تدعم أداة الإعداد الاتصال بالمضيف المحلي من خلال http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بالمضيف المحلي.

عند المطالبة ، أدخل بيانات اعتماد تسجيل دخول العميل في Control Hub ، ثم انقر فوق قبول للمتابعة.
قم باستيراد ملف ISO للتكوين الحالي.
اتبع المطالبات لإكمال الأداة وتنزيل الملف المحدث.

لإيقاف تشغيل أداة الإعداد ، اكتب CTRL+C.
قم بإنشاء نسخة احتياطية من الملف المحدث في مركز بيانات آخر.

إذا كان لديك عقدة HDS واحدة فقط قيد التشغيل ، قم بإنشاء عقدة Hybrid Data Security VM وقم بتسجيلها باستخدام ملف ISO للتكوين الجديد. للحصول على مزيد من التعليمات التفصيلية، راجع إنشاء المزيد من العُقد وتسجيلها.

قم بتثبيت مضيف HDS OVA.
قم بإعداد HDS VM.
قم بتحميل ملف التكوين المحدث.
قم بتسجيل العقدة الجديدة في Control Hub.

بالنسبة لعقد HDS الحالية التي تقوم بتشغيل ملف التكوين الأقدم ، قم بتركيب ملف ISO . قم بتنفيذ الإجراء التالي على كل عقدة على حدة ، وقم بتحديث كل عقدة قبل إيقاف تشغيل العقدة التالية:

قم بإيقاف تشغيل ماكينة افتراضية.
في جزء التنقل الأيسر لعميل VMware vSphere ، نقر بزر الماوس الأيمن على الجهاز VM وانقر تحرير الإعدادات .
انقر CD/DVD Drive 1 ، حدد خيار التحميل من ملف ISO ، واستعرض الموقع الذي قمت بتنزيل ملف ISO للتكوين الجديد فيه.
تحقق قم بالتوصيل في وضع التشغيل .
احفظ التغييرات وقم بتشغيل ماكينة افتراضية.

كرر الخطوة 3 لاستبدال التكوين على كل عقدة متبقية تقوم بتشغيل التكوين القديم.

إيقاف تشغيل وضع حل DNS الخارجي المحظور

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية البحث عن DNS والاتصال بسحابة Cisco Webex. إذا لم يتمكن خادم DNS الخاص بالعقدة من حل أسماء DNS العامة، فستذهب العقدة تلقائيًا إلى وضع حل DNS الخارجي المحظور.

إذا كانت العقد قادرة على حل أسماء DNS العامة من خلال خوادم DNS الداخلية، فيمكنك إيقاف تشغيل هذا الوضع عن طريق إعادة تشغيل اختبار اتصال الوكيل على كل عقدة.

قبل البدء

تأكد من أن خوادم DNS الداخلية يمكن أن تحل أسماء DNS العامة، وأن العقد الخاصة بك يمكن أن تتواصل معها.

1	في مستعرض ويب، افتح واجهة عقدة أمان البيانات الهجينة (عنوان/إعداد IP، على سبيل المثال، https://192.0.2.0/setup), أدخل بيانات اعتماد المسؤول التي أعدتها للعقدة، ثم انقر على تسجيل الدخول.
2	انتقل إلى نظرة عامة (الصفحة الافتراضية). عند التمكين ، حل DNS الخارجي المحظور تم تعيينه على نعم .
3	انتقل إلى صفحة Trust Store & Proxy.
4	انقر فوق التحقق من اتصال الوكيل. إذا رأيت رسالة تفيد بأن دقة DNS الخارجية لم تنجح، فلن تتمكن العقدة من الوصول إلى خادم DNS وستبقى في هذا الوضع. بخلاف ذلك، بعد إعادة تشغيل العقدة والرجوع إلى صفحة نظرة عامة، يجب تعيين دقة DNS الخارجية المحظورة على لا.

التصرف التالي

كرر اختبار اتصال الوكيل على كل عقدة في مجموعة أمان البيانات الهجينة الخاصة بك.

إزالة عقدة

استخدم هذا الإجراء لإزالة عقدة أمان البيانات الهجينة من سحابة Webex. بعد إزالة العقدة من المجموعة، احذف الجهاز الظاهري لمنع المزيد من الوصول إلى بيانات الأمان الخاصة بك.

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى مضيف ESXi الظاهري وقم بإيقاف تشغيل الجهاز الظاهري.

إزالة العقدة:

سجّل الدخول إلى Control Hub، ثم حدد الخدمات.
في بطاقة أمان البيانات الهجينة، انقر فوق عرض الكل لعرض صفحة موارد أمان البيانات الهجينة.
حدد المجموعة الخاصة بك لعرض لوحة النظرة العامة الخاصة بها.
انقر على Open Nodes list.
في علامة تبويب "العقد"، حدد العقدة التي تريد إزالتها.
انقر الإجراءات > إلغاء تسجيل العقدة.

في عميل vSphere، احذف VM. (في جزء التنقل الأيسر، انقر بزر الماوس الأيمن على VM وانقر فوق حذف.)

إذا لم تحذف VM، فتذكر إلغاء تثبيت ملف ISO الخاص بالتكوين. بدون ملف ISO، لا يمكنك استخدام VM للوصول إلى بيانات الأمان الخاصة بك.

استعادة الحالات المستعصية باستخدام مركز البيانات الاحتياطي

الخدمة الأكثر أهمية التي توفرها مجموعة Hybrid Data Security هي إنشاء وتخزين المفاتيح المستخدمة لتشفير الرسائل والمحتوى الآخر المخزن في سحابة Webex. بالنسبة لكل مستخدم داخل المؤسسة تم تعيينه لأمان البيانات الهجينة، يتم توجيه طلبات إنشاء المفاتيح الجديدة إلى المجموعة. المجموعة مسؤولة أيضًا عن إرجاع المفاتيح التي تم إنشاؤها إلى أي مستخدمين مصرح لهم باستردادها، على سبيل المثال، أعضاء مساحة المحادثة.

نظرًا لأن المجموعة تؤدي الوظيفة الحاسمة لتوفير هذه المفاتيح، فمن الضروري أن تظل المجموعة قيد التشغيل وأن يتم الاحتفاظ بالنسخ الاحتياطية المناسبة. سيؤدي فقدان قاعدة بيانات Hybrid Data Security أو التكوين ISO المستخدم للمخطط إلى فقدان غير قابل للاسترداد لمحتوى العميل. الممارسات التالية إلزامية لمنع مثل هذه الخسارة:

إذا تسببت كارثة في عدم توفر نشر HDS في مركز البيانات الأساسي، فاتبع هذا الإجراء لتجاوز الفشل يدويًا إلى مركز البيانات الاحتياطي.

ابدأ أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء تكوين ISO لمضيفي HDS.

بعد تكوين خادم Syslogd، انقر على الإعدادات المتقدمة

في صفحة الإعدادات المتقدمة، أضف التكوين أدناه أو قم بإزالة passiveMode التكوين لجعل العقدة نشطة. يمكن أن تتعامل العقدة مع حركة المرور بمجرد تكوينها.


passiveMode: 'false'

أكمل عملية التكوين وحفظ ملف ISO في موقع يسهل العثور عليه.

في جزء التنقل الأيسر لعميل VMware vSphere، انقر بزر الماوس الأيمن على VM وانقر فوق تحرير الإعدادات..

انقر فوق تحرير الإعدادات >CD / DVD Drive 1 وحدد Datastore ISO File.

تأكد من تحديد Connected وConnect عند التشغيل حتى تصبح تغييرات التكوين المحدّثة سارية المفعول بعد بدء تشغيل العقد.

قم بتشغيل عقدة HDS وتأكد من عدم وجود أجهزة إنذار لمدة 15 دقيقة على الأقل.

كرر العملية لكل عقدة في مركز البيانات الاحتياطي.

تحقق من مخرجات سجل النظام للتحقق من أن عُقد مركز البيانات الاحتياطي ليست في الوضع السلبي. يجب ألا يظهر "تكوين KMS في الوضع السلبي" في سجلات النظام.

التصرف التالي

بعد تجاوز الفشل، إذا أصبح مركز البيانات الأساسي نشطًا مرة أخرى، ضع مركز البيانات الاحتياطي في وضع سلبي مرة أخرى باتباع الخطوات الموضحة في مركز بيانات الإعداد الاحتياطي لاستعادة القدرة على العمل بعد الكوارث.

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

يتم تشغيل تكوين HDS القياسي مع تثبيت ISO. ولكن بعض العملاء يفضلون عدم ترك ملفات ISO مثبتة باستمرار. يمكنك إلغاء تثبيت ملف ISO بعد أن تلتقط كل عقد HDS التكوين الجديد.

لا تزال تستخدم ملفات ISO لإجراء تغييرات في التكوين. عند إنشاء ISO جديد أو تحديث ISO من خلال أداة الإعداد، يجب عليك تثبيت ISO المحدث على جميع عُقد HDS الخاصة بك. بمجرد أن تقوم كل العقد بالتقاط تغييرات التكوين، يمكنك إلغاء تثبيت ISO مرة أخرى بهذا الإجراء.

قبل البدء

قم بترقية جميع عُقد HDS الخاصة بك إلى الإصدار 2021.01.22.4720 أو إصدار أحدث.

1	أغلق إحدى عُقد HDS الخاصة بك.
2	في جهاز خادم vCenter، حدد عقدة HDS.
3	اختر تحرير الإعدادات > محرك أقراص CD/DVD وقم بإلغاء تحديد ملف Datastore ISO.
4	قم بتشغيل عقدة HDS وضمان عدم وجود أجهزة إنذار لمدة 20 دقيقة على الأقل.
5	كرر كل عقدة HDS بدورها.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

يعتبر نشر Hybrid Data Security غير متوفر إذا تعذر الوصول إلى جميع العقد الموجودة في المجموعة، أو تعمل المجموعة ببطء شديد مما يتطلب انتهاء المهلة. إذا لم يتمكن المستخدمون من الوصول إلى مجموعة أمان البيانات الهجينة الخاصة بك، فإنهم يواجهون الأعراض التالية:

لا يمكن إنشاء مساحات جديدة (يتعذر إنشاء مفاتيح جديدة)
فشل فك تشفير الرسائل وعناوين المساحات لـ:
- تمت إضافة مستخدمين جدد إلى مساحة (يتعذر جلب المفاتيح)
- المستخدمون الحاليون في مساحة باستخدام عميل جديد (يتعذر جلب المفاتيح)
سيستمر تشغيل المستخدمين الموجودين في مساحة بنجاح طالما أن عملائهم لديهم ذاكرة تخزين مؤقت لمفاتيح التشفير

من المهم أن تراقب مجموعة أمان البيانات الهجينة بشكل صحيح وأن تعالج أي تنبيهات على الفور لتجنب انقطاع الخدمة.

التنبيهات

إذا كانت هناك مشكلة في إعداد أمان البيانات الهجينة، يعرض Control Hub تنبيهات لمسؤول المؤسسة، ويرسل رسائل بريد إلكتروني إلى عنوان البريد الإلكتروني الذي تم تكوينه. تغطي التنبيهات العديد من السيناريوهات الشائعة.

الجدول رقم 1. القضايا المشتركة والخطوات الرامية إلى حلها
تنبيه	الإجراء
فشل الوصول إلى قاعدة البيانات المحلية.	تحقق من وجود أخطاء في قاعدة البيانات أو مشكلات في الشبكة المحلية.
فشل اتصال قاعدة البيانات المحلية.	تحقق من توفر خادم قاعدة البيانات، وتم استخدام بيانات اعتماد حساب الخدمة الصحيحة في تكوين العقدة.
فشل الوصول إلى الخدمة السحابية.	تحقق من قدرة العقد على الوصول إلى خوادم Webex كما هو محدد في متطلبات الاتصال الخارجي.
تجديد تسجيل الخدمة السحابية.	تم إسقاط التسجيل في الخدمات السحابية. تجديد التسجيل قيد التقدم.
تم إسقاط تسجيل خدمة السحابة.	تم إنهاء التسجيل في الخدمات السحابية. الخدمة تتوقف.
لم يتم تنشيط الخدمة بعد.	قم بتنشيط الإصدار التجريبي، أو قم بإنهاء نقل الإصدار التجريبي إلى الإنتاج.
المجال الذي تم تكوينه لا يتطابق مع شهادة الخادم.	تأكد من أن شهادة الخادم الخاصة بك تطابق مجال تنشيط الخدمة الذي تم تكوينه. السبب الأكثر احتمالاً هو أن شهادة CN تم تغييرها مؤخراً وهي الآن مختلفة عن CN التي استخدمت أثناء الإعداد الأولي.
فشل المصادقة على الخدمات السحابية.	تحقق من الدقة وإمكانية انتهاء صلاحية بيانات اعتماد حساب الخدمة.
فشل فتح ملف المفاتيح المحلي.	تحقق من النزاهة ودقة كلمة المرور في ملف متجر المفاتيح المحلي.
شهادة الخادم المحلي غير صالحة.	تحقق من تاريخ انتهاء صلاحية شهادة الخادم وتأكد من أن الجهة الموثوق بها قد أصدرت الشهادة.
يتعذر نشر القياسات.	تحقق من وصول الشبكة المحلية إلى الخدمات السحابية الخارجية.
دليل الوسائط/configdrive/hds غير موجود.	تحقق من تكوين تركيب ISO على المضيف الظاهري. تحقق من وجود ملف ISO، وأنه تم تكوينه للتثبيت عند إعادة التشغيل، وأنه يتصاعد بنجاح.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

استخدم الإرشادات العامة التالية عند استكشاف مشكلات Hybrid Data Security وإصلاحها.

1	راجع Control Hub للتعرف على أي تنبيهات وقم بإصلاح أي عناصر تجدها هناك.
2	راجع إخراج خادم سجل النظام للنشاط من نشر Hybrid Data Security.
3	اتصل بدعم Cisco.

ملاحظات أخرى

المشاكل المعروفة لأمن البيانات الهجينة

إذا أغلقت مجموعة أمان البيانات الهجينة (عن طريق حذفها في Control Hub أو عن طريق إغلاق جميع العقد)، أو فقدت ملف ISO الخاص بالتكوين، أو فقدت الوصول إلى قاعدة بيانات متجر المفاتيح، فلن يتمكن مستخدمو تطبيق Webex بعد الآن من استخدام المساحات الموجودة ضمن قائمة الأشخاص الخاصة بهم والتي تم إنشاؤها باستخدام مفاتيح من نظام KMS الخاص بك. وينطبق ذلك على عمليات نشر التجارب والإنتاج على حد سواء. ليس لدينا حاليًا حل أو حل لهذه المشكلة ونحثك على عدم إغلاق خدمات HDS الخاصة بك بمجرد التعامل مع حسابات المستخدمين النشطين.
العميل الذي لديه اتصال ECDH موجود مع KMS يحافظ على هذا الاتصال لفترة من الوقت (على الأرجح ساعة واحدة). عندما يصبح المستخدم عضوًا في تجربة Hybrid Data Security، يستمر عميل المستخدم في استخدام اتصال ECDH الحالي حتى ينتهي. بدلاً من ذلك، يمكن للمستخدم تسجيل الخروج والعودة إلى تطبيق Webex لتحديث الموقع الذي يتصل به التطبيق لمفاتيح التشفير.

يحدث نفس السلوك عند نقل الإصدار التجريبي إلى الإنتاج للمؤسسة. سيستمر جميع المستخدمين غير الخاضعين للتجربة الذين لديهم اتصالات ECDH الحالية بخدمات أمن البيانات السابقة في استخدام هذه الخدمات حتى يتم إعادة التفاوض على اتصال ECDH (من خلال المهلة الزمنية أو عن طريق تسجيل الخروج والعودة).

استخدم OpenSSL لإنشاء ملف PKCS12

قبل البدء

OpenSSL أداة واحدة يمكن استخدامها لجعل ملف PKCS12 بالتنسيق الصحيح للتحميل في أداة إعداد HDS. وهناك طرق أخرى للقيام بذلك، ونحن لا ندعم ولا نروج بطريقة تلو الأخرى.
إذا اخترت استخدام OpenSSL، فإننا نقدم هذا الإجراء كدليل لمساعدتك في إنشاء ملف يفي بمتطلبات شهادة X.509 في متطلبات شهادة X.509. فهم هذه المتطلبات قبل المتابعة.
قم بتثبيت OpenSSL في بيئة مدعومة. راجع https://www.openssl.org للاطلاع على البرنامج والوثائق.
إنشاء مفتاح خاص.
ابدأ هذا الإجراء عند استلام شهادة الخادم من جهة منح الشهادات (CA).

1	عندما تتلقى شهادة الخادم من CA الخاصة بك، قم بحفظها كـ `hdsnode.pem`.
2	اعرض الشهادة كنص، وقم بالتحقق من التفاصيل. `openssl x509 -text -noout -in hdsnode.pem`
3	إستعمل a نص محرِّر إلى إ_ نشئ a شهادة حزمة ملفّ `hdsnode-bundle.pem`. يجب أن يتضمن ملف الحزمة شهادة الخادم وأي شهادات CA وسيطة وشهادات CA الجذر بالتنسيق أدناه: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	قم بإنشاء ملف .p12 بالاسم الودي `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	تحقق من تفاصيل شهادة الخادم. `openssl pkcs12 -in hdsnode.p12` أدخل كلمة مرور عند المطالبة لتشفير المفتاح الخاص بحيث يتم إدراجه في المخرجات. ثم تحقق من أن المفتاح الخاص والشهادة الأولى يتضمنان الخطوط `friendlyName: kms-private-key`. مثال: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

التصرف التالي

ارجع إلى إكمال المتطلبات المسبقة لأمن البيانات الهجينة. سوف تستخدم hdsnode.p12 الملف وكلمة المرور التي قمت بتعيينها له، في إنشاء تكوين ISO لمضيفي HDS.

يمكنك إعادة استخدام هذه الملفات لطلب شهادة جديدة عند انتهاء صلاحية الشهادة الأصلية.

حركة المرور بين عُقد HDS والسحابة

حركة مرور مجموعة القياسات الصادرة

ترسل عُقد أمان البيانات الهجينة قياسات معينة إلى سحابة Webex. وتشمل هذه المقاييس قياسات النظام لأقصى عدد من الكتل، والكوام المستخدم، وحمل وحدة المعالجة المركزية، وعدد الخيط؛ والمقاييس على الخيوط المتزامنة وغير المتزامنة؛ والمقاييس على التنبيهات التي تنطوي على عتبة اتصالات التشفير، أو الكمون، أو طول قائمة انتظار الطلب؛ والقياسات على قاعدة البيانات؛ ومقاييس اتصال التشفير. ترسل العقد مواد أساسية مشفرة عبر قناة خارج النطاق (منفصلة عن الطلب).

حركة المرور الواردة

تتلقى عُقد أمان البيانات الهجينة الأنواع التالية من حركة المرور الواردة من سحابة Webex:

طلبات التشفير من العملاء، والتي يتم توجيهها بواسطة خدمة التشفير
الترقيات إلى برنامج العقدة

تكوين وكلاء الحبار لأمن البيانات الهجينة

لا يمكن توصيل Websocket من خلال وكيل الحبار

يمكن أن تتداخل وكلاء الحبار الذين يفحصون حركة مرور HTTPS مع إنشاء مأخذ ويب ( wss:) الاتصالات التي يتطلبها Hybrid Data Security. تقدم هذه الأقسام إرشادات حول كيفية تكوين إصدارات مختلفة من Squid لتجاهلها wss: حركة المرور للتشغيل السليم للخدمات.

الحبار 4 و 5

إضافة on_unsupported_protocol توجيه إلى squid.conf:

on_unsupported_protocol tunnel all

الحبار 3.5.27

لقد اختبرنا أمان البيانات الهجينة بنجاح باستخدام القواعد التالية التي تمت إضافتها إلى squid.conf. تخضع هذه القواعد للتغيير أثناء قيامنا بتطوير الميزات وتحديث سحابة Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

مقدمة

معلومات جديدة ومتغيرة

التاريخ

التغييرات التي تم إجراؤها

20 أكتوبر 2023

تم تحديث المعلومات في متطلبات خادم قاعدة البيانات.
تمت إضافة إعداد مركز بيانات احتياطي للتعافي من الكوارث.
تم تحديث المعلومات في مركز البيانات الاحتياطي للتعافي من الكوارث والتعافي من الكوارث باستخدام مركز البيانات الاحتياطي.

7 أغسطس 2023

تمت إضافة ملاحظة في تنزيل ملفات التثبيت.
تمت إضافة ملاحظة في إنشاء ملف ISO للتكوين لمضيفات HDS وتغيير تكوين العقدة.

23 مايو 2023

تم حذف المعلومات من متطلبات خادم قاعدة البيانات التي تطلب تمكين الميزة عن طريق الاتصال بفريق الحساب.
تم تحديث المعلومات في متطلبات الاتصال الخارجية وتمت إضافة كندا إلى جدول مضيفات CI.
تمت إضافة ملاحظة في توقعات نشر أمان البيانات الهجينة فيما يتعلق بعدم توفر الآليات اللازمة لنقل المفاتيح مرة أخرى إلى السحابة.

6 ديسمبر 2022

يتم الآن استضافة صور أداة إعداد HDS في مستودع dockerhub ciscocitg .
تم تحديث موضوعي إنشاء ISO للتكوين لمضيفات HDS وتغيير تكوين العقدة لتعكس التغييرات في الأوامر.

23 نوفمبر 2022

يمكن الآن لعقد HDS استخدام مصادقة Windows ضد Microsoft SQL Server.

تم تحديث موضوع متطلبات خادم قاعدة البيانات بمتطلبات إضافية لوضع المصادقة هذا.

تم تحديث إنشاء ISO للتكوين لمضيفات HDS باستخدام الإجراء لتكوين مصادقة Windows على العقد.
تم تحديث موضوع متطلبات خادم قاعدة البيانات بالإصدارات الجديدة المطلوبة كحد أدنى (PostgreSQL 10).

13 تشرين الأول/أكتوبر 2021

يحتاج Docker Desktop إلى تشغيل برنامج إعداد قبل أن تتمكن من تثبيت عقد HDS. راجع متطلبات سطح مكتب Docker.

21 يونيو 2020

لاحظ أنه يمكنك إعادة استخدام ملف المفتاح الخاص وطلب CSR لطلب شهادة أخرى. راجع استخدام OpenSSL لإنشاء ملف PKCS12 للحصول على التفاصيل.

30 أبريل 2021

تم تغيير متطلبات الجهاز الافتراضي لمساحة القرص الصلب المحلي إلى 30 جيجابايت. راجع متطلبات المضيف الافتراضي للحصول على التفاصيل.

24 فبراير 2021

يمكن الآن تشغيل أداة إعداد HDS خلف وكيل. راجع إنشاء ملف ISO للتكوين لمضيفات HDS للحصول على التفاصيل.

2 فبراير 2021

يمكن الآن تشغيل HDS بدون ملف ISO مثبت. راجع (اختياري) إلغاء تثبيت ISO بعد تكوين HDS للحصول على التفاصيل.

11 يناير 2021

تمت إضافة معلومات حول أداة إعداد HDS والوكلاء لـ إنشاء ملف ISO للتكوين لمضيفات HDS.

13 أكتوبر 2020

تم تحديث ملفات تنزيل التثبيت.

8 أكتوبر 2020

تم تحديث إنشاء ISO للتكوين لمضيفات HDS وتغيير تكوين العقدة باستخدام الأوامر لبيئات FedRAMP.

14 أغسطس عام 2020

تم تحديث إنشاء ISO للتكوين لمضيفات HDS وتغيير تكوين العقدة مع التغييرات في عملية تسجيل الدخول.

5 أغسطس 2020

تم تحديث اختبار نشر أمان البيانات الهجينة بحثًا عن التغييرات في رسائل السجل.

تم تحديث متطلبات المضيف الافتراضي لإزالة الحد الأقصى لعدد المضيفين.

16 يونيو 2020

تم تحديث إزالة عقدة للتغييرات في واجهة مستخدم مركز التحكم.

4 يونيو 2020

تم تحديث إنشاء ISO تكوين لمضيفات HDS للتغييرات في الإعدادات المتقدمة التي قد تقوم بتعيينها.

29 مايو 2020

تم تحديث إنشاء ISO للتكوين لمضيفات HDS لإظهار أنه يمكنك أيضًا استخدام TLS مع قواعد بيانات SQL Server وتغييرات واجهة المستخدم والتوضيحات الأخرى.

5 مايو 2020

تم تحديث متطلبات المضيف الافتراضي لإظهار المتطلبات الجديدة لـ ESXi 6.5.

21 أبريل 2020

تم تحديث متطلبات الاتصال الخارجية مع مضيفات Americas CI الجديدة.

1 أبريل 2020

تم تحديث متطلبات الاتصال الخارجية بمعلومات حول مضيفات CI الإقليمية.

20 فبراير 2020 تم تحديث إنشاء ISO للتكوين لمضيفات HDS بمعلومات حول شاشة الإعدادات المتقدمة الاختيارية الجديدة في أداة إعداد HDS.

4 فبراير 2020 تم تحديث متطلبات خادم الوكيل.

16 ديسمبر 2019 تم توضيح متطلبات وضع حل DNS الخارجي المحظور للعمل في متطلبات خادم الوكيل.

19 نوفمبر 2019

تمت إضافة معلومات حول وضع حل DNS الخارجي المحظور في الأقسام التالية:

دعم البروكسي
تكوين عقدة HDS لتكامل الوكيل
إيقاف تشغيل وضع دقة DNS الخارجي المحظور

8 نوفمبر 2019

بإمكانك الآن تكوين إعدادات الشبكة لعقدة أثناء نشر OVA بدلاً من القيام بذلك بعد ذلك.

تم تحديث الأقسام التالية وفقًا لذلك:

تدفق مهام نشر أمان البيانات الهجينة
تثبيت HDS Host OVA
إعداد جهاز VM للأمان الهجين للبيانات

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 6.5. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

6 سبتمبر 2019

تمت إضافة SQL Server Standard إلى متطلبات خادم قاعدة البيانات.

29 أغسطس 2019 تمت إضافة الملحق تكوين وكلاء Squid لأمان البيانات الهجينة مع إرشادات حول تكوين وكلاء Squid لتجاهل حركة مرور websocket لضمان التشغيل السليم.

20 أغسطس 2019

تمت إضافة وتحديث الأقسام لتغطية دعم الوكيل لاتصالات عقدة أمان البيانات الهجينة إلى سحابة Webex.

دعم البروكسي
متطلبات الخادم الوكيل
تكوين عقدة HDS لتكامل الوكيل

للوصول فقط إلى محتوى دعم الوكيل لنشر موجود، راجع مقالة المساعدة دعم الوكيل لأمان البيانات الهجين وWebex Video Mesh .

13 يونيو 2019 تم تحديث تدفق مهام الإصدار التجريبي إلى الإنتاج بتذكير لمزامنة كائن المجموعة HdsTrialGroup قبل بدء الإصدار التجريبي إذا كانت مؤسستك تستخدم مزامنة الدليل.

6 مارس 2019

تم نقل المتطلبات والمتطلبات الأساسية إلى فصل منفصل، إعداد البيئة الخاصة بك.
تمت إضافة نظرة عامة على تدفق مهام نشر أمان البيانات الهجين في الفصل إعداد مجموعة أمان البيانات الهجينة.

لاحظ أنه حتى تبدأ الإصدار التجريبي (باستخدام الإرشادات المذكورة في الفصل اللاحق)، فإن العقد الخاصة بك تولد إنذارًا يشير إلى أن الخدمة لم يتم تنشيطها بعد.
تمت إضافة تدفق مهمة الانتقال من الإصدار التجريبي إلى الإنتاج في الفصل تشغيل الإصدار التجريبي والانتقال إلى الإنتاج.

27 فبراير عام 2020

تم تصحيح مقدار مساحة القرص الصلب المحلي لكل خادم التي يجب تخصيصها عند إعداد المضيفات الافتراضية التي تصبح عقد أمان البيانات الهجين، من 50 جيجابايت إلى 20 جيجابايت، لتعكس حجم القرص الذي ينشئه OVA.

26 فبراير 2019

تدعم عقد أمان البيانات الهجينة الآن الاتصالات المشفرة مع خوادم قاعدة بيانات PostgreSQL، واتصالات التسجيل المشفرة إلى خادم syslog القادر على TLS. تم تحديث إنشاء ملف ISO للتكوين لمضيفات HDS مع الإرشادات.
تمت إزالة عناوين URL المقصودة من جدول "متطلبات الاتصال بالإنترنت لأجهزة VM الخاصة بعقد أمان البيانات الهجينة". يشير الجدول الآن إلى القائمة المحفوظة في جدول "عناوين URL الإضافية لخدمات Webex Teams الهجينة" ضمن متطلبات الشبكة لخدمات Webex Teams.

يناير 24, 2019

يدعم Hybrid Data Security الآن Microsoft SQL Server كقاعدة بيانات. يتم دعم SQL Server Always On (Always On Failover Clusters وAlways on Availability Groups) بواسطة برامج تشغيل JDBC المستخدمة في Hybrid Data Security. تمت إضافة محتوى متعلق بالنشر باستخدام SQL Server.

5 نوفمبر 2018

تمت إضافة خطوة أولية لتنظيف أي حالات Docker hds موجودة في إنشاء ISO للتكوين لمضيفات HDS وتغيير تكوين العقدة.
تم تحديث خطوة مستوى وصول المفتاح في إنشاء ISO للتكوين لمضيفات HDS لتتناسب مع الواجهة.

19 أكتوبر 2018

قم بتقسيم معلومات اتصال جدار الحماية إلى متطلبات العقدة ومتطلبات جهاز تكوين ISO في استكمل المتطلبات الأساسية لأمان البيانات الهجينة.

31 يوليو 2018

تمت إضافة المنفذ 22 (وصول SSH) ومعلومات حول اتصالات NAT وجدار الحماية من أجل استكمال المتطلبات الأساسية لأمان البيانات الهجينة.

21 مايو 2018

تم تغيير المصطلحات لتعكس إعادة تسمية العلامة التجارية لشركة Cisco Spark:

أصبح Cisco Spark Hybrid Data Security الآن Hybrid Data Security.
أصبح تطبيق Cisco Spark الآن تطبيق Webex App.
أصبحت Cisco Collaboraton Cloud الآن سحابة Webex.

11 أبريل 2018

تمت إضافة مركز بيانات احتياطي للتعافي من الكوارث.
تم تحديث استكمال المتطلبات الأساسية لأمان البيانات الهجينة لتحديد أن بيئة النسخ الاحتياطي يجب أن تكون في مركز بيانات مختلف.
تم تحديث الاسترداد من الكوارث باستخدام مركز البيانات الاحتياطي.

22 فبراير 2018

تمت إضافة معلومات حول عمر كلمة مرور حساب الخدمة الذي يبلغ 9 أشهر واستخدام أداة إعداد HDS لإعادة تعيين كلمات مرور حساب الخدمة، في إنشاء ملف ISO للتكوين لمضيفات HDS وتغيير تكوين العقدة.

15 فبراير 2018

في جدول متطلبات شهادة X.509 ، تم تحديد أن الشهادة لا يمكن أن تكون شهادة عامة، وأن KMS يستخدم نطاق CN، وليس أي نطاق محدد في حقول SAN الخاصة بـ x.509v3.

18 يناير 2018

تمت إضافة الملحق حركة المرور بين عقد HDS والسحابة.
تمت إزالة مشكلة تم حلها من المشكلات المعروفة لأمان البيانات الهجينة.
تم تغيير index.docker.io إلى *.docker.io وتمت إضافة *.cloudfront.net إلى قائمة متطلبات اتصال TCP لعقد HDS في استكمال المتطلبات الأساسية لأمان البيانات الهجينة.
تم تحديث إنشاء ISO تكوين لمضيفات HDS للإشارة إلى أنه إذا لم يكن مضيف قاعدة البيانات وخادم Syslogd قابلين للحل من خلال DNS من عقد HDS، فيجب تكوينهما باستخدام عناوين IP.

2 نوفمبر 2017

تم توضيح مزامنة الدليل لـ HdsTrialGroup.
تعليمات ثابتة لتحميل ملف تكوين ISO للتثبيت على عقد VM.

18 أغسطس 2017

نُشرت لأول مرة

البدء في استخدام أمان البيانات الهجين

نظرة عامة على أمن البيانات الهجينة

منذ اليوم الأول، كان أمن البيانات هو المحور الأساسي في تصميم تطبيق Webex. حجر الأساس لهذا الأمان هو تشفير المحتوى من البداية إلى النهاية، والذي يتم تمكينه من خلال عملاء تطبيق Webex الذين يتفاعلون مع خدمة إدارة المفاتيح (KMS). KMS مسؤول عن إنشاء وإدارة مفاتيح التشفير التي يستخدمها العملاء لتشفير الرسائل والملفات وفك تشفيرها ديناميكيا.

بشكل افتراضي، يحصل جميع عملاء تطبيق Webex على تشفير شامل باستخدام مفاتيح ديناميكية مخزنة في KMS السحابي، في نطاق أمان Cisco. ينقل أمان البيانات المختلط KMS والوظائف الأخرى المتعلقة بالأمان إلى مركز بيانات مؤسستك، بحيث لا أحد غيرك يحمل مفاتيح المحتوى المشفر.

هندسة المجال الأمني

تقوم بنية سحابة Webex بفصل أنواع مختلفة من الخدمات إلى مجالات منفصلة، أو مجالات ثقة، كما هو موضح أدناه.

***عوالم الانفصال (بدون أمان البيانات الهجين)***

لفهم أمان البيانات الهجينة بشكل أفضل، دعونا أولاً نلقي نظرة على حالة السحابة البحتة هذه، حيث توفر شركة Cisco جميع الوظائف في مجالات السحابة الخاصة بها. إن خدمة الهوية، وهي المكان الوحيد الذي يمكن فيه ربط المستخدمين بشكل مباشر بمعلوماتهم الشخصية مثل عنوان البريد الإلكتروني، منفصلة منطقيًا وجسديًا عن مجال الأمان في مركز البيانات B. وكلاهما منفصلان بدورهما عن المجال الذي يتم فيه تخزين المحتوى المشفر في النهاية، في مركز البيانات C.

في هذا الرسم التخطيطي، العميل هو تطبيق Webex الذي يعمل على الكمبيوتر المحمول الخاص بالمستخدم، وقد تم مصادقته باستخدام خدمة الهوية. عندما يقوم المستخدم بإنشاء رسالة لإرسالها إلى مساحة ما، تتم الخطوات التالية:

يقوم العميل بإنشاء اتصال آمن مع خدمة إدارة المفاتيح (KMS)، ثم يطلب مفتاحًا لتشفير الرسالة. يستخدم الاتصال الآمن بروتوكول ECDH، ويقوم نظام KMS بتشفير المفتاح باستخدام مفتاح رئيسي AES-256.
يتم تشفير الرسالة قبل خروجها من العميل. يقوم العميل بإرسالها إلى خدمة الفهرسة، والتي تقوم بإنشاء فهرس بحث مشفر للمساعدة في عمليات البحث المستقبلية عن المحتوى.
يتم إرسال الرسالة المشفرة إلى خدمة الامتثال للتحقق من الامتثال.
يتم تخزين الرسالة المشفرة في منطقة التخزين.

عند نشر Hybrid Data Security، يمكنك نقل وظائف نطاق الأمان (KMS والفهرسة والامتثال) إلى مركز البيانات المحلي لديك. وتظل الخدمات السحابية الأخرى التي تشكل Webex (بما في ذلك تخزين الهوية والمحتوى) ضمن نطاق Cisco.

التعاون مع المنظمات الأخرى

قد يستخدم المستخدمون في مؤسستك تطبيق Webex بانتظام للتعاون مع المشاركين الخارجيين في مؤسسات أخرى. عندما يطلب أحد المستخدمين مفتاحًا لمساحة مملوكة لمؤسستك (لأنها تم إنشاؤها بواسطة أحد المستخدمين)، يرسل نظام إدارة المفاتيح الخاص بك المفتاح إلى العميل عبر قناة مؤمنة بواسطة ECDH. ومع ذلك، عندما تمتلك منظمة أخرى المفتاح للمساحة، يقوم نظام إدارة المفاتيح الخاص بك بتوجيه الطلب إلى سحابة Webex من خلال قناة ECDH منفصلة للحصول على المفتاح من نظام إدارة المفاتيح المناسب، ثم يقوم بإرجاع المفتاح إلى المستخدم على القناة الأصلية.

تقوم خدمة KMS التي تعمل على Org A بالتحقق من صحة الاتصالات بأنظمة KMS في المؤسسات الأخرى باستخدام شهادات x.509 PKI. راجع إعداد البيئة الخاصة بك للحصول على تفاصيل حول إنشاء شهادة x.509 لاستخدامها مع نشر أمان البيانات الهجين.

التوقعات بشأن نشر أمن البيانات الهجين

يتطلب نشر أمان البيانات الهجين التزامًا كبيرًا من جانب العملاء والوعي بالمخاطر التي تأتي مع امتلاك مفاتيح التشفير.

لنشر أمان البيانات الهجين، يجب عليك توفير:

مركز بيانات آمن في بلد يعتبر موقعًا مدعومًا لخطط Cisco Webex Teams.
المعدات والبرامج والوصول إلى الشبكة الموضحة في إعداد البيئة الخاصة بك.

سيؤدي الفقدان الكامل لملف ISO الخاص بالتكوين الذي تقوم بإنشائه لأمان البيانات الهجين أو قاعدة البيانات التي تقدمها إلى فقدان المفاتيح. يؤدي فقدان المفتاح إلى منع المستخدمين من فك تشفير محتوى المساحة والبيانات المشفرة الأخرى في تطبيق Webex. إذا حدث هذا، فيمكنك إنشاء نشر جديد، ولكن المحتوى الجديد فقط سيكون مرئيًا. لتجنب فقدان الوصول إلى البيانات، يجب عليك:

إدارة النسخ الاحتياطي واستعادة قاعدة البيانات وتكوين ISO.
كن مستعدًا لإجراء استرداد سريع للكوارث في حالة حدوث كارثة، مثل فشل قرص قاعدة البيانات أو كارثة مركز البيانات.

لا توجد آلية لنقل المفاتيح مرة أخرى إلى السحابة بعد نشر HDS.

عملية الإعداد رفيعة المستوى

تغطي هذه الوثيقة إعداد وإدارة نشر أمان البيانات الهجين:

إعداد أمان البيانات الهجين—يتضمن ذلك إعداد البنية الأساسية المطلوبة وتثبيت برنامج أمان البيانات الهجين، واختبار النشر مع مجموعة فرعية من المستخدمين في وضع التجربة، وبمجرد اكتمال الاختبار، الانتقال إلى الإنتاج. يؤدي هذا إلى تحويل المؤسسة بأكملها لاستخدام مجموعة أمان البيانات الهجينة الخاصة بك لوظائف الأمان.
سيتم تناول مراحل الإعداد والتجربة والإنتاج بالتفصيل في الفصول الثلاثة التالية.
حافظ على نشر أمان البيانات الهجين الخاص بك - توفر سحابة Webex ترقيات مستمرة تلقائيًا. يمكن لقسم تكنولوجيا المعلومات الخاص بك توفير الدعم من الدرجة الأولى لهذا النشر، والاستفادة من دعم Cisco حسب الحاجة. يمكنك استخدام الإشعارات التي تظهر على الشاشة وإعداد تنبيهات عبر البريد الإلكتروني في Control Hub.
فهم التنبيهات الشائعة وخطوات استكشاف الأخطاء وإصلاحها والمشكلات المعروفة—إذا واجهت مشكلة في نشر أو استخدام أمان البيانات الهجين، فقد يساعدك الفصل الأخير من هذا الدليل وملحق المشكلات المعروفة في تحديد المشكلة وإصلاحها.

نموذج نشر أمن البيانات الهجين

داخل مركز بيانات مؤسستك، يمكنك نشر أمان البيانات الهجين كمجموعة واحدة من العقد على مضيفين افتراضيين منفصلين. تتواصل العقد مع سحابة Webex من خلال منافذ الويب الآمنة وبروتوكول HTTP الآمن.

أثناء عملية التثبيت، نوفر لك ملف OVA لإعداد الجهاز الظاهري على أجهزة VM التي تقدمها. تستخدم أداة إعداد HDS لإنشاء ملف ISO لتكوين مجموعة مخصصة تقوم بتثبيته على كل عقدة. تستخدم مجموعة أمان البيانات الهجينة خادم Syslogd المقدم لك وقاعدة بيانات PostgreSQL أو Microsoft SQL Server. (يمكنك تكوين تفاصيل اتصال Syslogd وقاعدة البيانات في أداة إعداد HDS.)

نموذج نشر أمن البيانات الهجين

الحد الأدنى لعدد العقد التي يمكنك الحصول عليها في مجموعة هو اثنان. نوصي بثلاثة على الأقل، ويمكنك الحصول على ما يصل إلى خمسة. يضمن وجود عقد متعددة عدم انقطاع الخدمة أثناء ترقية البرنامج أو أي نشاط صيانة آخر على عقدة ما. (تقوم سحابة Webex بترقية عقدة واحدة فقط في كل مرة.)

تتمكن جميع العقد في المجموعة من الوصول إلى نفس مخزن البيانات الرئيسي، وتسجيل النشاط على نفس خادم syslog. العقد نفسها عديمة الجنسية، وتتعامل مع طلبات المفاتيح بطريقة دائرية، وفقًا لتوجيهات السحابة.

تصبح العقد نشطة عند تسجيلها في Control Hub. لإخراج عقدة فردية من الخدمة، يمكنك إلغاء تسجيلها، ثم إعادة تسجيلها لاحقًا إذا لزم الأمر.

نحن ندعم مجموعة واحدة فقط لكل منظمة.

وضع تجريبي لأمن البيانات الهجين

بعد إعداد نشر أمان البيانات الهجين، يمكنك تجربته أولاً مع مجموعة من المستخدمين التجريبيين. أثناء فترة التجربة، يستخدم هؤلاء المستخدمون مجال Hybrid Data Security المحلي الخاص بك للحصول على مفاتيح التشفير وخدمات مجال الأمان الأخرى. يستمر المستخدمون الآخرون في استخدام نطاق أمان السحابة.

إذا قررت عدم الاستمرار في النشر أثناء الفترة التجريبية وإلغاء تنشيط الخدمة، فسيفقد مستخدمو النسخة التجريبية وأي مستخدمين تفاعلوا معهم من خلال إنشاء مساحات جديدة أثناء الفترة التجريبية الوصول إلى الرسائل والمحتوى. سيظهر لهم "لا يمكن فك تشفير هذه الرسالة" في تطبيق Webex.

إذا كنت راضيًا عن عمل نشرك بشكل جيد لمستخدمي الإصدار التجريبي وكنت مستعدًا لتوسيع نطاق أمان البيانات الهجين ليشمل جميع المستخدمين، فيمكنك نقل النشر إلى الإنتاج. يستمر مستخدمو البرنامج التجريبي في الوصول إلى المفاتيح التي كانت قيد الاستخدام أثناء التجربة. ومع ذلك، لا يمكنك التنقل ذهابًا وإيابًا بين وضع الإنتاج والتجربة الأصلية. إذا كان يجب عليك إلغاء تنشيط الخدمة، مثل إجراء استرداد الكوارث، فيجب عليك عند إعادة تنشيطها بدء فترة تجريبية جديدة وإعداد مجموعة المستخدمين التجريبيين للتجربة الجديدة قبل العودة إلى وضع الإنتاج. يعتمد احتفاظ المستخدمين بإمكانية الوصول إلى البيانات في هذه المرحلة على ما إذا كنت قد حافظت بنجاح على نسخ احتياطية لمخزن البيانات الرئيسي وملف تكوين ISO لعقد أمان البيانات الهجين في مجموعتك.

مركز بيانات احتياطي للتعافي من الكوارث

أثناء النشر، يمكنك إعداد مركز بيانات احتياطي آمن. في حالة حدوث كارثة في مركز البيانات، يمكنك إرسال عملية النشر يدويًا إلى مركز البيانات الاحتياطي.

قبل الفشل، يحتوي مركز البيانات A على عقد HDS نشطة وقاعدة بيانات PostgreSQL أو Microsoft SQL Server الأساسية، بينما يحتوي B على نسخة من ملف ISO مع تكوينات إضافية، وأجهزة افتراضية مسجلة لدى المؤسسة، وقاعدة بيانات احتياطية. بعد الفشل، يحتوي مركز البيانات B على عقد HDS نشطة وقاعدة البيانات الأساسية، بينما يحتوي A على أجهزة افتراضية غير مسجلة ونسخة من ملف ISO، وتكون قاعدة البيانات في وضع الاستعداد. — ***التحويل اليدوي إلى مركز بيانات احتياطي***

تتم مزامنة قواعد بيانات مراكز البيانات النشطة والاحتياطية مع بعضها البعض مما يقلل من الوقت المستغرق لإجراء عملية التعافي من الفشل. يتم تحديث ملف ISO لمركز البيانات الاحتياطي بتكوينات إضافية تضمن تسجيل العقد في المؤسسة، ولكنها لن تتعامل مع حركة المرور. ومن ثم، تظل عقد مركز البيانات الاحتياطي محدثة دائمًا بأحدث إصدار من برنامج HDS.

يجب أن تكون عقد أمان البيانات الهجينة النشطة دائمًا في نفس مركز البيانات مثل خادم قاعدة البيانات النشط.

إعداد مركز بيانات احتياطي للتعافي من الكوارث

اتبع الخطوات التالية لتكوين ملف ISO لمركز البيانات الاحتياطي:

قبل البدء

يجب أن يعكس مركز البيانات الاحتياطي بيئة إنتاج الأجهزة الافتراضية وقاعدة بيانات PostgreSQL أو Microsoft SQL Server الاحتياطية. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 أجهزة افتراضية تعمل على عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 أجهزة افتراضية. (راجع مركز البيانات الاحتياطي للتعافي من الكوارث للحصول على نظرة عامة على نموذج التعافي من الفشل هذا.)
تأكد من تمكين مزامنة قاعدة البيانات بين قاعدة بيانات العقد النشطة والسلبية.

ابدأ تشغيل أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء ملف ISO للتكوين لمضيفات HDS.

يجب أن يكون ملف ISO عبارة عن نسخة من ملف ISO الأصلي لمركز البيانات الأساسي الذي سيتم إجراء تحديثات التكوين التالية عليه.

بعد تكوين خادم Syslogd، انقر فوق الإعدادات المتقدمة

في صفحة الإعدادات المتقدمة ، أضف التكوين أدناه لوضع العقدة في الوضع السلبي. في هذا الوضع، سيتم تسجيل العقدة في المؤسسة وتوصيلها بالسحابة، لكنها لن تتعامل مع أي حركة مرور.

 الوضع السلبي: 'حقيقي'

أكمل عملية التكوين واحفظ ملف ISO في مكان يمكنك العثور عليه بسهولة.

قم بعمل نسخة احتياطية من ملف ISO على نظامك المحلي. احتفظ بنسخة احتياطية آمنة. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. تقييد الوصول إلى مسؤولي أمان البيانات الهجينة فقط الذين يتعين عليهم إجراء تغييرات على التكوين.

في جزء التنقل الأيسر لعميل VMware vSphere، انقر بزر الماوس الأيمن فوق الجهاز الافتراضي وانقر فوق تحرير الإعدادات..

انقر فوق تحرير الإعدادات >محرك الأقراص المضغوطة/أقراص DVD 1 وحدد ملف ISO الخاص بمخزن البيانات.

تأكد من تحديد متصل ومتصل عند التشغيل حتى تتمكن تغييرات التكوين المحدثة من الدخول حيز التنفيذ بعد بدء تشغيل العقد.

قم بتشغيل عقدة HDS وتأكد من عدم وجود أي إنذارات لمدة 15 دقيقة على الأقل.

كرر العملية لكل عقدة في مركز البيانات الاحتياطي.

تحقق من syslogs للتأكد من أن العقد في الوضع السلبي. يجب أن تكون قادرًا على عرض الرسالة "تم تكوين KMS في الوضع السلبي" في syslogs.

التصرف التالي

بعد تكوين passiveMode في ملف ISO وحفظه، يمكنك إنشاء نسخة أخرى من ملف ISO بدون تكوين passiveMode وحفظها في مكان آمن. يمكن أن تساعد هذه النسخة من ملف ISO بدون تكوين passiveMode في عملية التعافي من الفشل السريع أثناء استرداد البيانات بعد الكارثة. راجع استرداد الكوارث باستخدام مركز البيانات الاحتياطي للحصول على إجراءات التعافي من الفشل بالتفصيل.

دعم البروكسي

يدعم أمان البيانات المختلط الوكلاء الصريحين والشفافين وغير الخاضعين للتفتيش. يمكنك ربط هذه البروكسيات بالنشر الخاص بك بحيث يمكنك تأمين ومراقبة حركة المرور من المؤسسة إلى السحابة. يمكنك استخدام واجهة مسؤول النظام الأساسي على العقد لإدارة الشهادات والتحقق من حالة الاتصال العامة بعد إعداد الوكيل على العقد.

تدعم عقد أمان البيانات المختلطة خيارات الوكيل التالية:

لا يوجد وكيل—الإعداد الافتراضي إذا لم تستخدم إعداد عقدة HDS لتكوين Trust Store & Proxy لدمج وكيل. لا يلزم تحديث الشهادة.
وكيل شفاف غير فاحص—لا يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ولا ينبغي أن تتطلب أي تغييرات للعمل مع وكيل غير فاحص. لا يلزم تحديث الشهادة.
النفق الشفاف أو فحص الوكيل—لا يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTP أو HTTPS على العقد. ومع ذلك ، تحتاج العقد إلى شهادة جذر بحيث تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).
الوكيل الصريح - باستخدام الوكيل الصريح، يمكنك إخبار عقد HDS بخادم الوكيل ونظام المصادقة الذي يجب استخدامه. لتكوين وكيل صريح، يجب إدخال المعلومات التالية على كل عقدة:
1. عنوان IP/FQDN للوكيل — العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.
2. منفذ الوكيل - رقم المنفذ الذي يستخدمه الوكيل للاستماع إلى حركة المرور التي يتم التوكيل إليها.
3. بروتوكول الوكيل—اعتمادًا على ما يدعمه خادم الوكيل الخاص بك، اختر من بين البروتوكولات التالية:
  - HTTP—يعرض ويتحكم في جميع الطلبات التي يرسلها العميل.
  - HTTPS—يوفر قناة للخادم. يتلقى العميل شهادة الخادم ويتحقق من صحتها.
4. نوع المصادقة—اختر من بين أنواع المصادقة التالية:
  - لا شيء—لا يلزم إجراء أي مصادقة إضافية.
    
    متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.
  - أساسي - يستخدم لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.
    
    متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.
    
    يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.
  - الملخص — يُستخدم لتأكيد الحساب قبل إرسال المعلومات الحساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.
    
    متوفر فقط إذا قمت بتحديد HTTPS كبروتوكول وكيل.
    
    يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

مثال على عقد أمان البيانات المختلطة والوكيل

يوضح هذا الرسم التخطيطي مثالا على الاتصال بين أمان البيانات المختلطة والشبكة والوكيل. بالنسبة لخيارات الفحص الشفاف ووكيل الفحص الصريح HTTPS ، يجب تثبيت نفس شهادة الجذر على الوكيل وعلى عقد أمان البيانات المختلطة.

وضع دقة DNS الخارجي المحظور (تكوينات الوكيل الصريحة)

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. في عمليات النشر ذات تكوينات الوكيل الصريحة التي لا تسمح بدقة DNS الخارجية للعملاء الداخليين، إذا لم تتمكن العقدة من الاستعلام عن خوادم DNS، فإنها تنتقل تلقائيا إلى وضع حل DNS الخارجي المحظور. في هذا الوضع، يمكن متابعة تسجيل العقدة واختبارات اتصال الوكيل الأخرى.

جهز بيئتك

متطلبات أمن البيانات الهجينة

متطلبات ترخيص Cisco Webex

لنشر أمان البيانات الهجين:

يجب أن يكون لديك Pro Pack لـ Cisco Webex Control Hub. (انظر https://www.cisco.com/go/pro-pack.)

متطلبات سطح مكتب Docker

قبل تثبيت عقد HDS، ستحتاج إلى Docker Desktop لتشغيل برنامج الإعداد. قامت Docker مؤخرًا بتحديث نموذج الترخيص الخاص بها. قد تتطلب مؤسستك اشتراكًا مدفوعًا لـ Docker Desktop. للحصول على التفاصيل، راجع منشور مدونة Docker، "Docker يقوم بتحديث وتوسيع اشتراكات منتجاتنا".

متطلبات شهادة X.509

يجب أن تلبي سلسلة الشهادات المتطلبات التالية:

الجدول رقم 1. متطلبات شهادة X.509 لنشر أمان البيانات الهجينة
المتطلبات	تفاصيل
تم التوقيع عليه من قبل هيئة إصدار الشهادات الموثوقة (CA)	بشكل افتراضي، نثق في السلطات المصدقة في قائمة Mozilla (باستثناء WoSign وStartCom) في https://wiki.mozilla.org/CA:IncludedCAs.
يحمل اسم نطاق الاسم الشائع (CN) الذي يحدد نشر أمان البيانات الهجين الخاص بك ليست شهادة عامة	لا يلزم أن يكون CN قابلاً للوصول أو مضيفًا مباشرًا. نوصيك باستخدام اسم يعكس مؤسستك، على سبيل المثال، `hds.company.com`. لا يجب أن يحتوي CN على * (حرف بدل). يتم استخدام CN للتحقق من عقد أمان البيانات الهجينة لعملاء تطبيق Webex. تستخدم كافة عقد أمان البيانات الهجينة في مجموعتك نفس الشهادة. يقوم نظام KMS الخاص بك بتعريف نفسه باستخدام نطاق CN، وليس أي نطاق تم تعريفه في حقول SAN x.509v3. بمجرد تسجيل عقدة باستخدام هذه الشهادة، فإننا لا ندعم تغيير اسم نطاق CN. اختر المجال الذي يمكن تطبيقه على كل من عمليات النشر التجريبية والإنتاجية.
توقيع غير SHA1	لا يدعم برنامج KMS توقيعات SHA1 للتحقق من صحة الاتصالات بأنظمة KMS الخاصة بالمؤسسات الأخرى.
تم تنسيقه كملف PKCS #12 محمي بكلمة مرور استخدم الاسم المألوف `kms-private-key` لوضع علامة على الشهادة والمفتاح الخاص وأي شهادات وسيطة للتحميل.	بإمكانك استخدام محول مثل OpenSSL لتغيير تنسيق الشهادة الخاصة بك. سوف تحتاج إلى إدخال كلمة المرور عند تشغيل أداة إعداد HDS.

لا يفرض برنامج KMS استخدام المفتاح أو قيود استخدام المفتاح الممتدة. تتطلب بعض هيئات إصدار الشهادات تطبيق قيود استخدام المفتاح الموسعة على كل شهادة، مثل مصادقة الخادم. لا بأس من استخدام مصادقة الخادم أو الإعدادات الأخرى.

متطلبات المضيف الافتراضي

تحتوي المضيفات الافتراضية التي ستقوم بإعدادها كعقد أمان بيانات هجينة في مجموعتك على المتطلبات التالية:

على الأقل مضيفان منفصلان (يوصى بثلاثة) موجودان في نفس مركز البيانات الآمن
تم تثبيت VMware ESXi 6.5 (أو أحدث) وتشغيله.

يجب عليك الترقية إذا كان لديك إصدار سابق من ESXi.
الحد الأدنى 4 وحدات معالجة مركزية افتراضية، وذاكرة رئيسية بحجم 8 جيجابايت، ومساحة قرص ثابت محلي بحجم 30 جيجابايت لكل خادم

متطلبات خادم قاعدة البيانات

إنشاء قاعدة بيانات جديدة لتخزين المفاتيح. لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، يتم إنشاء مخطط قاعدة البيانات.

هناك خياران لخادم قاعدة البيانات. المتطلبات لكل منها هي كما يلي:

الجدول رقم 2. متطلبات خادم قاعدة البيانات حسب نوع قاعدة البيانات

بوستجرس كيو ال

مايكروسوفت إس كيو إل سيرفر

تم تثبيت PostgreSQL 14، 15، أو 16 وتشغيله.

تم تثبيت SQL Server 2016 أو 2017 أو 2019 (Enterprise أو Standard).

يتطلب SQL Server 2016 Service Pack 2 والتحديث التراكمي 2 أو الإصدار الأحدث.

الحد الأدنى 8 وحدات معالجة مركزية افتراضية، وذاكرة رئيسية بحجم 16 جيجابايت، ومساحة كافية على القرص الصلب ومراقبة للتأكد من عدم تجاوزها (يوصى بـ 2 تيرابايت إذا كنت تريد تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

يقوم برنامج HDS حاليًا بتثبيت إصدارات برنامج التشغيل التالية للتواصل مع خادم قاعدة البيانات:

بوستجرس كيو ال

مايكروسوفت إس كيو إل سيرفر

برنامج تشغيل Postgres JDBC 42.2.5

برنامج تشغيل SQL Server JDBC 4.6

يدعم إصدار برنامج التشغيل هذا SQL Server Always On (Always On Failover Cluster Instances وAlways On provide groups).

متطلبات إضافية لمصادقة Windows على Microsoft SQL Server

إذا كنت تريد أن تستخدم عقد HDS مصادقة Windows للوصول إلى قاعدة بيانات مخزن المفاتيح على Microsoft SQL Server، فأنت بحاجة إلى التكوين التالي في بيئتك:

يجب مزامنة جميع عقد HDS والبنية الأساسية لـ Active Directory وMS SQL Server مع NTP.
يجب أن يتمتع حساب Windows الذي توفره لعقد HDS بإمكانية القراءة والكتابة إلى قاعدة البيانات.
يجب أن تكون خوادم DNS التي تقدمها لعقد HDS قادرة على حل مركز توزيع المفتاح (KDC) الخاص بك.
يمكنك تسجيل مثيل قاعدة بيانات HDS على Microsoft SQL Server الخاص بك باعتباره اسم الخدمة الرئيسي (SPN) على Active Directory الخاص بك. راجع تسجيل اسم رئيس الخدمة لاتصالات Kerberos.

تحتاج أداة إعداد HDS ومشغل HDS وKMS المحلي إلى استخدام مصادقة Windows للوصول إلى قاعدة بيانات مخزن المفاتيح. إنهم يستخدمون التفاصيل من تكوين ISO الخاص بك لإنشاء SPN عند طلب الوصول باستخدام مصادقة Kerberos.

متطلبات الاتصال الخارجي

قم بتكوين جدار الحماية الخاص بك للسماح بالاتصالات التالية لتطبيقات HDS:

التطبيق	البروتوكول	المنفذ	الاتجاه من التطبيق	الوجهة
عقد أمان البيانات الهجينة	TCP	443	HTTPS وWSS الصادر	خوادم Webex: * .wbx2.com .ciscospark.com جميع مضيفات الهوية المشتركة عناوين URL الأخرى المدرجة لأمان البيانات الهجين في جدول عناوين URL الإضافية لخدمات Webex الهجينة* ضمن متطلبات الشبكة لخدمات Webex
أداة إعداد HDS	TCP	443	HTTPS الصادر	* .wbx2.com جميع مضيفات الهوية المشتركة hub.docker.com

تعمل عقد أمان البيانات الهجينة مع ترجمة الوصول إلى الشبكة (NAT) أو خلف جدار الحماية، طالما أن NAT أو جدار الحماية يسمح بالاتصالات الصادرة المطلوبة إلى وجهات المجال في الجدول السابق. بالنسبة للاتصالات الواردة إلى عقد أمان البيانات الهجينة، لا ينبغي أن تكون أي منافذ مرئية من الإنترنت. داخل مركز البيانات الخاص بك، يحتاج العملاء إلى الوصول إلى عقد أمان البيانات الهجين على منافذ TCP 443 و22، لأغراض إدارية.

عناوين URL لمضيفات الهوية المشتركة (CI) محددة حسب المنطقة. هؤلاء هم مضيفو CI الحاليون:

المنطقة	عناوين URL لمضيف الهوية المشتركة
الأمريكتان	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
الاتحاد الأوروبي	https://idbroker-eu.webex.com https://identity-eu.webex.com
كندا	https://idbroker-ca.webex.com https://identity-ca.webex.com

متطلبات الخادم الوكيل

نحن ندعم رسميا حلول البروكسي التالية التي يمكن أن تتكامل مع عقد أمان البيانات المختلطة الخاصة بك.

وكيل شفاف - جهاز أمان الويب من Cisco (WSA).

وكيل صريح - الحبار.

يمكن أن تتداخل وكلاء Squid الذين يقومون بفحص حركة مرور HTTPS مع إنشاء اتصالات websocket (wss:). للتغلب على هذه المشكلة، راجع تكوين وكلاء Squid لأمان البيانات الهجينة.

نحن ندعم مجموعات أنواع المصادقة التالية للوكلاء الصريحين:
- لا توجد مصادقة باستخدام HTTP أو HTTPS
- المصادقة الأساسية باستخدام HTTP أو HTTPS
- تلخيص المصادقة باستخدام HTTPS فقط
للحصول على وكيل فحص شفاف أو وكيل HTTPS صريح، يجب أن يكون لديك نسخة من الشهادة الجذرية للوكيل. تخبرك إرشادات النشر الواردة في هذا الدليل بكيفية تحميل النسخة إلى مخازن الثقة الخاصة بعقد أمان البيانات المختلطة.
يجب تكوين الشبكة التي تستضيف عقد HDS لإجبار حركة مرور TCP الصادرة على المنفذ 443 على التوجيه عبر الوكيل.
قد تتداخل الوكلاء الذين يفحصون حركة مرور الويب مع اتصالات مقبس الويب. في حالة حدوث هذه المشكلة، سيؤدي تجاوز (عدم فحص) حركة المرور إلى wbx2.com ciscospark.com إلى حل المشكلة.

استكمال المتطلبات الأساسية لأمن البيانات الهجينة

استخدم قائمة المراجعة هذه للتأكد من استعدادك لتثبيت مجموعة أمان البيانات الهجينة وتكوينها.

تأكد من تمكين مؤسسة Webex الخاصة بك لـ Pro Pack لـ Cisco Webex Control Hub، واحصل على بيانات اعتماد حساب يتمتع بحقوق مسؤول المؤسسة الكاملة. اتصل بشريك Cisco أو مدير الحساب الخاص بك للحصول على المساعدة في هذه العملية.

اختر اسم المجال لنشر HDS الخاص بك (على سبيل المثال، hds.company.com) واحصل على سلسلة شهادات تحتوي على شهادة X.509 ومفتاح خاص وأي شهادات وسيطة. يجب أن تفي سلسلة الشهادات بالمتطلبات الواردة في متطلبات شهادة X.509.

قم بإعداد مضيفين افتراضيين متطابقين ستقوم بإعدادهما كعقد أمان بيانات هجينة في مجموعتك. تحتاج إلى مضيفين منفصلين على الأقل (يوصى بثلاثة) متواجدين في نفس مركز البيانات الآمن، والذين يستوفون المتطلبات المذكورة في متطلبات المضيف الافتراضي.

قم بإعداد خادم قاعدة البيانات الذي سيعمل كمخزن بيانات رئيسي للمجموعة، وفقًا لـ متطلبات خادم قاعدة البيانات. يجب أن يكون خادم قاعدة البيانات موجودًا في مركز البيانات الآمن مع المضيفين الافتراضيين.

إنشاء قاعدة بيانات لتخزين المفاتيح. (يجب عليك إنشاء قاعدة البيانات هذه - لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، يتم إنشاء مخطط قاعدة البيانات.)
جمع التفاصيل التي ستستخدمها العقد للتواصل مع خادم قاعدة البيانات:
- اسم المضيف أو عنوان IP (المضيف) والمنفذ
- اسم قاعدة البيانات (dbname) لتخزين المفاتيح
- اسم المستخدم وكلمة المرور للمستخدم الذي يتمتع بجميع الامتيازات على قاعدة بيانات تخزين المفاتيح

للتعافي السريع من الكوارث، قم بإعداد بيئة نسخ احتياطي في مركز بيانات مختلف. تعكس بيئة النسخ الاحتياطي بيئة الإنتاج الخاصة بالأجهزة الافتراضية وخادم قاعدة بيانات النسخ الاحتياطي. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 أجهزة افتراضية تعمل على عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 أجهزة افتراضية.

قم بإعداد مضيف syslog لجمع السجلات من العقد الموجودة في المجموعة. قم بتجميع عنوان الشبكة ومنفذ syslog (الافتراضي هو UDP 514).

إنشاء سياسة نسخ احتياطي آمنة لعقد أمان البيانات الهجينة وخادم قاعدة البيانات ومضيف syslog. على الأقل، لمنع فقدان البيانات غير القابل للاسترداد، يجب عليك عمل نسخة احتياطية لقاعدة البيانات وملف ISO للتكوين الذي تم إنشاؤه لعقد Hybrid Data Security.

نظرًا لأن عقد أمان البيانات الهجين تخزن المفاتيح المستخدمة في تشفير وفك تشفير المحتوى، فإن الفشل في الحفاظ على النشر التشغيلي سيؤدي إلى خسارة غير قابلة للاسترداد لهذا المحتوى.

يقوم عملاء تطبيق Webex بتخزين مفاتيحهم مؤقتًا، لذا قد لا يكون الانقطاع ملحوظًا على الفور ولكنه سيصبح واضحًا بمرور الوقت. على الرغم من أنه من المستحيل منع الانقطاعات المؤقتة، إلا أنه يمكن إصلاحها. ومع ذلك، فإن الخسارة الكاملة (عدم توفر نسخ احتياطية) لقاعدة البيانات أو ملف ISO للتكوين سوف تؤدي إلى عدم إمكانية استرداد بيانات العميل. ومن المتوقع أن يقوم مشغلو عقد أمان البيانات الهجين بالحفاظ على نسخ احتياطية متكررة لقاعدة البيانات وملف ISO للتكوين، وأن يكونوا مستعدين لإعادة بناء مركز بيانات أمان البيانات الهجين في حالة حدوث فشل كارثي.

تأكد من أن تكوين جدار الحماية الخاص بك يسمح بالاتصال بعقد أمان البيانات الهجينة كما هو موضح في متطلبات الاتصال الخارجية.

قم بتثبيت Docker ( https://www.docker.com) على أي جهاز محلي يعمل بنظام تشغيل مدعوم (Microsoft Windows 10 Professional أو Enterprise 64-bit، أو Mac OSX Yosemite 10.10.3 أو أعلى) مع متصفح ويب يمكنه الوصول إليه على ⁦http://127.0.0.1:8080.⁩

تستخدم مثيل Docker لتنزيل أداة إعداد HDS وتشغيلها، والتي تقوم ببناء معلومات التكوين المحلية لجميع عقد Hybrid Data Security. قد تحتاج مؤسستك إلى ترخيص Docker Desktop. راجع متطلبات سطح مكتب Docker للحصول على مزيد من المعلومات.

لتثبيت أداة إعداد HDS وتشغيلها، يجب أن يكون الجهاز المحلي مزودًا بالاتصال الموضح في متطلبات الاتصال الخارجية.

إذا كنت تقوم بدمج وكيل مع Hybrid Data Security، فتأكد من أنه يلبي متطلبات خادم الوكيل.

إذا كانت مؤسستك تستخدم مزامنة الدليل، فأنشئ مجموعة في Active Directory تسمى HdsTrialGroup، وأضف مستخدمي الإصدار التجريبي. يمكن أن تضم المجموعة التجريبية ما يصل إلى 250 مستخدمًا. يجب مزامنة الكائن HdsTrialGroup مع السحابة قبل أن تتمكن من بدء تجربة لمنظمتك. لمزامنة كائن المجموعة، حدده في قائمة التكوين > اختيار الكائن في موصل الدليل. (للحصول على تعليمات مفصلة، راجع دليل النشر لـ Cisco Directory Connector.)

يتم تعيين المفاتيح لمساحة معينة من قبل منشئ المساحة. عند تحديد مستخدمي الإصدار التجريبي، ضع في اعتبارك أنه إذا قررت إلغاء تنشيط نشر أمان البيانات الهجين بشكل دائم، فسيفقد جميع المستخدمين إمكانية الوصول إلى المحتوى في المساحات التي أنشأها مستخدمو الإصدار التجريبي. تصبح الخسارة واضحة بمجرد قيام تطبيقات المستخدمين بتحديث نسخها المخزنة مؤقتًا من المحتوى.

إعداد مجموعة أمان بيانات هجينة

تدفق مهام نشر أمان البيانات الهجينة

قبل البدء

جهز بيئتك

تنزيل ملفات التثبيت

قم بتنزيل ملف OVA على جهازك المحلي لاستخدامه لاحقًا.

إنشاء ملف ISO للتكوين لمضيفات HDS

استخدم أداة إعداد HDS لإنشاء ملف تكوين ISO لعقد أمان البيانات الهجين.

تثبيت HDS Host OVA

قم بإنشاء جهاز افتراضي من ملف OVA وقم بإجراء التكوين الأولي، مثل إعدادات الشبكة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 6.5. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

إعداد جهاز VM للأمان الهجين للبيانات

قم بتسجيل الدخول إلى وحدة التحكم VM وقم بتعيين بيانات اعتماد تسجيل الدخول. قم بتكوين إعدادات الشبكة للعقدة إذا لم تقم بتكوينها في وقت نشر OVA.

تحميل وتثبيت ISO الخاص بتكوين HDS

قم بتكوين الجهاز الافتراضي من ملف تكوين ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب تكوين وكيل، فحدد نوع الوكيل الذي ستستخدمه للعقدة، وأضف شهادة الوكيل إلى مخزن الثقة إذا لزم الأمر.

تسجيل العقدة الأولى في المجموعة

قم بتسجيل الجهاز الافتراضي مع سحابة Cisco Webex كعقدة أمان بيانات هجينة.

إنشاء وتسجيل المزيد من العقد

أكمل إعداد المجموعة.

قم بتشغيل الإصدار التجريبي وانتقل إلى الإنتاج (الفصل التالي)

حتى تبدأ الإصدار التجريبي، ستنشئ العقد الخاصة بك إنذارًا يشير إلى أن الخدمة لم يتم تنشيطها بعد.

تنزيل ملفات التثبيت

في هذه المهمة، يمكنك تنزيل ملف OVA إلى جهازك (وليس إلى الخوادم التي قمت بإعدادها كعقد أمان بيانات هجينة). يمكنك استخدام هذا الملف لاحقًا في عملية التثبيت.

قم بتسجيل الدخول إلى https://admin.webex.com، ثم انقر فوق الخدمات.

في قسم الخدمات الهجينة، ابحث عن بطاقة أمان البيانات الهجينة، ثم انقر فوق إعداد.

إذا كانت البطاقة معطلة أو لا تراها، فاتصل بفريق حسابك أو مؤسستك الشريكة. أعطيهم رقم حسابك واطلب منهم تمكين مؤسستك من أمان البيانات الهجين. للعثور على رقم الحساب، انقر فوق رمز الترس الموجود في أعلى اليمين، بجوار اسم مؤسستك.

يمكنك أيضًا تنزيل OVA في أي وقت من قسم المساعدة في صفحة الإعدادات . في بطاقة أمان البيانات الهجينة، انقر فوق تحرير الإعدادات لفتح الصفحة. بعد ذلك، انقر فوق تنزيل برنامج Hybrid Data Security في قسم المساعدة .

لن تكون الإصدارات الأقدم من حزمة البرامج (OVA) متوافقة مع أحدث ترقيات أمان البيانات الهجينة. قد يؤدي هذا إلى حدوث مشكلات أثناء ترقية التطبيق. تأكد من تنزيل الإصدار الأحدث من ملف OVA.

حدد لا للإشارة إلى أنك لم تقم بإعداد العقدة بعد، ثم انقر فوق التالي.

يبدأ تنزيل ملف OVA تلقائيًا. احفظ الملف في مكان على جهازك.

اختياريًا، انقر فوق فتح دليل النشر للتحقق مما إذا كان هناك إصدار أحدث من هذا الدليل متاحًا.

إنشاء ملف ISO للتكوين لمضيفات HDS

إن عملية إعداد أمان البيانات الهجينة تقوم بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف أمان البيانات الهجين الخاص بك.

قبل البدء

الوصف	المتغير
وكيل HTTP بدون مصادقة	`وكيل عالمي_HTTP_PROXY=http://SERVER_IP:PORT`_
وكيل HTTPS بدون مصادقة	`وكيل عالمي_HTTPS_PROXY=http://SERVER_IP:PORT` _
وكيل HTTP مع المصادقة	`وكيل عالمي_HTTP_PROXY=http://اسم المستخدم:كلمة المرور@الخادم_عنوان IP:المنفذ`_
وكيل HTTPS مع المصادقة	`وكيل عالمي_HTTPS_PROXY=http://اسم المستخدم:كلمة المرور@الخادم_عنوان IP:المنفذ`_

يحتوي ملف ISO للتكوين الذي تقوم بإنشائه على المفتاح الرئيسي الذي يقوم بتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في كل مرة تقوم فيها بإجراء تغييرات على التكوين، مثل هذه:
- بيانات اعتماد قاعدة البيانات
- تحديثات الشهادة
- تغييرات على سياسة الترخيص
إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL Server الخاص بك لـ TLS.

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

تسجيل الدخول إلى docker -u hdscustomersro

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

سحب ملف docker ciscocitg/hds-setup:stable

في بيئات FedRAMP:

سحب ملف docker ciscocitg/hds-setup-fedramp:stable

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية بدون وكيل:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

في البيئات العادية باستخدام وكيل HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

في البيئات العادية مع وكيل HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

في بيئات FedRAMP بدون وكيل:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

في بيئات FedRAMP باستخدام وكيل HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

في بيئات FedRAMP باستخدام وكيل HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

لا تدعم أداة الإعداد الاتصال بـ localhost عبر http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بـ localhost.

استخدم متصفح الويب للانتقال إلى localhost، http://127.0.0.1:8080، وأدخل اسم مستخدم مسؤول العميل لـ Control Hub عند المطالبة.

تستخدم الأداة هذا الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لهذا الحساب. ثم تعرض الأداة مطالبة تسجيل الدخول القياسية.

عند مطالبتك بذلك، أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول عميل Control Hub، ثم انقر فوق تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة لأمان البيانات الهجينة.

في صفحة نظرة عامة على أداة الإعداد، انقر فوق البدء.

في صفحة استيراد ISO ، لديك الخيارات التالية:

لا—إذا كنت تقوم بإنشاء عقدة HDS الأولى، فلن يكون لديك ملف ISO لتحميله.
نعم—إذا كنت قد أنشأت بالفعل عقد HDS، فحدد ملف ISO الخاص بك في الاستعراض وقم بتحميله.

تأكد من أن شهادة X.509 الخاصة بك تلبي المتطلبات المذكورة في متطلبات شهادة X.509.

إذا لم تقم بتحميل شهادة من قبل، فقم بتحميل شهادة X.509، وأدخل كلمة المرور، ثم انقر فوق متابعة.
إذا كانت شهادتك جيدة، انقر فوق متابعة.
إذا انتهت صلاحية شهادتك أو كنت تريد استبدالها، فحدد لا لـ هل تريد الاستمرار في استخدام سلسلة شهادة HDS والمفتاح الخاص من ISO السابقة؟. قم بتحميل شهادة X.509 جديدة، وأدخل كلمة المرور، ثم انقر فوق متابعة.

أدخل عنوان قاعدة البيانات والحساب الخاص بـ HDS للوصول إلى مخزن البيانات الرئيسي الخاص بك:

حدد نوع قاعدة البيانات (PostgreSQL أو Microsoft SQL Server).

إذا اخترت Microsoft SQL Server، فستحصل على حقل نوع المصادقة.
(Microsoft SQL Server فقط) حدد نوع المصادقة الخاص بك:
- المصادقة الأساسية: يجب أن يكون لديك اسم حساب SQL Server محلي في الحقل اسم المستخدم .
- مصادقة Windows: يجب أن يكون لديك حساب Windows بالتنسيق username@DOMAIN في الحقل Username .
أدخل عنوان خادم قاعدة البيانات في النموذج hostname>: أو IP-address>:.

مثال:
dbhost.example.org:1433 أو 198.51.100.17:1433

يمكنك استخدام عنوان IP للمصادقة الأساسية، إذا لم تتمكن العقد من استخدام DNS لحل اسم المضيف.

إذا كنت تستخدم مصادقة Windows، فيجب عليك إدخال اسم المجال المؤهل بالكامل بالتنسيق dbhost.example.org:1433
أدخل اسم قاعدة البيانات.
أدخل اسم المستخدم وكلمة المرور للمستخدم الذي يتمتع بجميع الامتيازات على قاعدة بيانات تخزين المفاتيح.

حدد وضع اتصال قاعدة بيانات TLS:

الوضع

الوصف

تفضيل TLS (الخيار الافتراضي)

لا تتطلب عقد HDS بروتوكول TLS للاتصال بخادم قاعدة البيانات. إذا قمت بتمكين TLS على خادم قاعدة البيانات، فستحاول العقد إجراء اتصال مشفر.

يتطلب TLS

تتصل عقد HDS فقط إذا كان خادم قاعدة البيانات قادرًا على التفاوض على TLS.

تتطلب TLS والتحقق من توقيع الشهادة

لا ينطبق هذا الوضع على قواعد بيانات SQL Server.

تتصل عقد HDS فقط إذا كان خادم قاعدة البيانات قادرًا على التفاوض على TLS.
بعد إنشاء اتصال TLS، تقوم العقدة بمقارنة مُوقّع الشهادة من خادم قاعدة البيانات مع هيئة الشهادة في شهادة جذر قاعدة البيانات. إذا لم يتطابقا، تقوم العقدة بإسقاط الاتصال.

استخدم عنصر التحكم شهادة جذر قاعدة البيانات أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

يتطلب TLS والتحقق من مُوقِّع الشهادة واسم المضيف

تتصل عقد HDS فقط إذا كان خادم قاعدة البيانات قادرًا على التفاوض على TLS.
بعد إنشاء اتصال TLS، تقوم العقدة بمقارنة مُوقّع الشهادة من خادم قاعدة البيانات مع هيئة الشهادة في شهادة جذر قاعدة البيانات. إذا لم يتطابقا، تقوم العقدة بإسقاط الاتصال.
تتحقق العقد أيضًا من أن اسم المضيف في شهادة الخادم يتطابق مع اسم المضيف في حقل مضيف قاعدة البيانات والمنفذ . يجب أن تتطابق الأسماء تمامًا، وإلا ستفقد العقدة الاتصال.

استخدم عنصر التحكم شهادة جذر قاعدة البيانات أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

عند تحميل شهادة الجذر (إذا لزم الأمر) والنقر فوق متابعة، تقوم أداة إعداد HDS باختبار اتصال TLS بخادم قاعدة البيانات. وتقوم الأداة أيضًا بالتحقق من مُوقّع الشهادة واسم المضيف، إذا لزم الأمر. إذا فشل الاختبار، تعرض الأداة رسالة خطأ تصف المشكلة. يمكنك اختيار ما إذا كنت تريد تجاهل الخطأ ومواصلة الإعداد. (بسبب اختلافات الاتصال، قد تتمكن عقد HDS من إنشاء اتصال TLS حتى إذا لم يتمكن جهاز أداة إعداد HDS من اختباره بنجاح.)

في صفحة سجلات النظام، قم بتكوين خادم Syslogd الخاص بك:

أدخل عنوان URL لخادم syslog.

إذا لم يكن الخادم قابلاً للحل من خلال DNS من العقد الخاصة بمجموعة HDS الخاصة بك، فاستخدم عنوان IP في عنوان URL.

مثال:
يشير udp://10.92.43.23:514 إلى تسجيل الدخول إلى مضيف Syslogd 10.92.43.23 على منفذ UDP 514.
إذا قمت بإعداد الخادم الخاص بك لاستخدام تشفير TLS، فتحقق من هل تم تكوين خادم syslog الخاص بك لتشفير SSL؟.

إذا قمت بتحديد مربع الاختيار هذا، فتأكد من إدخال عنوان URL الخاص بـ TCP مثل tcp://10.92.43.23:514.
من القائمة المنسدلة اختر إنهاء سجل syslog ، اختر الإعداد المناسب لملف ISO الخاص بك: يتم استخدام Choose أو Newline لـ Graylog و Rsyslog TCP
- بايت فارغ -- \x00
- Newline -- \n—حدد هذا الخيار لـ Graylog وRsyslog TCP.
انقر على متابعة.

(اختياري) يمكنك تغيير القيمة الافتراضية لبعض معلمات اتصال قاعدة البيانات في الإعدادات المتقدمة. بشكل عام، هذه المعلمة هي المعلمة الوحيدة التي قد ترغب في تغييرها:

app_datasource_connection_pool_maxالحجم: 10

انقر فوق متابعة على شاشة إعادة تعيين كلمة مرور حسابات الخدمة .

تتمتع كلمات مرور حسابات الخدمة بفترة صلاحية تصل إلى تسعة أشهر. استخدم هذه الشاشة عندما تقترب صلاحية كلمات المرور الخاصة بك من الانتهاء أو عندما تريد إعادة تعيينها لإبطال ملفات ISO السابقة.

انقر فوق تنزيل ملف ISO. احفظ الملف في مكان يمكنك العثور عليه بسهولة.

قم بعمل نسخة احتياطية من ملف ISO على نظامك المحلي.

احتفظ بنسخة احتياطية آمنة. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. تقييد الوصول إلى مسؤولي أمان البيانات الهجينة فقط الذين يتعين عليهم إجراء تغييرات على التكوين.

لإيقاف تشغيل أداة الإعداد، اكتب CTRL+C.

التصرف التالي

قم بعمل نسخة احتياطية لملف ISO الخاص بالتكوين. تحتاج إليه لإنشاء المزيد من العقد للاسترداد، أو لإجراء تغييرات على التكوين. إذا فقدت جميع نسخ ملف ISO، فستفقد أيضًا المفتاح الرئيسي. ليس من الممكن استرداد المفاتيح من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

ليس لدينا نسخة من هذا المفتاح أبدًا ولا يمكننا مساعدتك إذا فقدته.

تثبيت HDS Host OVA

استخدم هذا الإجراء لإنشاء جهاز افتراضي من ملف OVA.

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى المضيف الافتراضي ESXi.

حدد ملف > نشر قالب OVF.

في المعالج، حدد موقع ملف OVA الذي قمت بتنزيله مسبقًا، ثم انقر فوق التالي.

في صفحة تحديد اسم ومجلد ، أدخل اسم الجهاز الظاهري للعقدة (على سبيل المثال، "HDS_Node_1")، واختر موقعًا حيث يمكن نشر عقدة الجهاز الظاهري، ثم انقر فوق التالي.

في صفحة تحديد مورد الحوسبة ، اختر مورد الحوسبة الوجهة، ثم انقر فوق التالي.

يتم تشغيل فحص التحقق. بعد الانتهاء، تظهر تفاصيل القالب.

تحقق من تفاصيل القالب ثم انقر فوق التالي.

إذا طُلب منك اختيار تكوين الموارد في صفحة التكوين ، فانقر فوق 4 وحدة المعالجة المركزية ثم انقر فوق التالي.

في صفحة تحديد التخزين ، انقر فوق التالي لقبول تنسيق القرص الافتراضي وسياسة تخزين الجهاز الظاهري.

في صفحة تحديد الشبكات ، اختر خيار الشبكة من قائمة الإدخالات لتوفير الاتصال المطلوب بالجهاز الافتراضي.

في صفحة تخصيص القالب ، قم بتكوين إعدادات الشبكة التالية:

اسم المضيف - أدخل اسم المضيف والنطاق (FQDN) أو اسم مضيف مكون من كلمة واحدة للعقدة.

لا يلزمك تعيين النطاق ليتطابق مع النطاق الذي استخدمته للحصول على شهادة X.509.
لضمان تسجيل ناجح في السحابة، استخدم فقط الأحرف الصغيرة في FQDN أو اسم المضيف الذي قمت بتعيينه للعقدة. الأحرف الكبيرة غير مدعومة في الوقت الحالي.
يجب ألا يتجاوز الطول الإجمالي لـ FQDN 64 حرفًا.

عنوان IP — أدخل عنوان IP للواجهة الداخلية للعقدة.

يجب أن تحتوي العقدة الخاصة بك على عنوان IP داخلي واسم DNS. لا يتم دعم DHCP.
القناع—أدخل عنوان قناع الشبكة الفرعية بتنسيق النقاط العشرية. على سبيل المثال، 255.255.255.0.
البوابة—أدخل عنوان IP الخاص بالبوابة. البوابة هي عقدة شبكة تعمل كنقطة وصول إلى شبكة أخرى.
خوادم DNS—أدخل قائمة مفصولة بفواصل لخوادم DNS، والتي تتولى ترجمة أسماء النطاقات إلى عناوين IP رقمية. (يُسمح بما يصل إلى 4 إدخالات DNS.)
خوادم NTP—أدخل خادم NTP الخاص بمؤسستك أو خادم NTP خارجي آخر يمكن استخدامه في مؤسستك. قد لا تعمل خوادم NTP الافتراضية مع جميع المؤسسات. يمكنك أيضًا استخدام قائمة مفصولة بفاصلة لإدخال خوادم NTP المتعددة.

قم بنشر كافة العقد على نفس الشبكة الفرعية أو شبكة VLAN، بحيث يمكن الوصول إلى كافة العقد في المجموعة من العملاء في شبكتك لأغراض إدارية.

إذا كنت تفضل ذلك، يمكنك تخطي تكوين إعدادات الشبكة واتباع الخطوات الواردة في إعداد جهاز VM لأمان البيانات الهجين لتكوين الإعدادات من وحدة التحكم في العقدة.

تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 6.5. قد لا يكون الخيار متاحًا في الإصدارات السابقة.

انقر بزر الماوس الأيمن على عقدة VM، ثم اختر الطاقة > الطاقة.

يتم تثبيت برنامج Hybrid Data Security كضيف على VM Host. أنت الآن جاهز لتسجيل الدخول إلى وحدة التحكم وتكوين العقدة.

تلميحات استكشاف الأخطاء وإصلاحها

قد تواجه تأخيرًا لمدة بضع دقائق قبل ظهور حاويات العقدة. تظهر رسالة جدار حماية الجسر على وحدة التحكم أثناء التشغيل الأول، وخلال هذه الفترة لا يمكنك تسجيل الدخول.

إعداد جهاز VM للأمان الهجين للبيانات

استخدم هذا الإجراء لتسجيل الدخول إلى وحدة التحكم VM الخاصة بعقدة Hybrid Data Security للمرة الأولى وتعيين بيانات اعتماد تسجيل الدخول. يمكنك أيضًا استخدام وحدة التحكم لتكوين إعدادات الشبكة للعقدة إذا لم تقم بتكوينها في وقت نشر OVA.

1	في عميل VMware vSphere، حدد VM لعقدة Hybrid Data Security الخاصة بك وحدد علامة التبويب Console . يتم تشغيل الجهاز الافتراضي ويظهر موجه تسجيل الدخول. إذا لم يتم عرض مطالبة تسجيل الدخول، اضغط على Enter.
2	استخدم اسم المستخدم وكلمة المرور الافتراضيين التاليين لتسجيل الدخول وتغيير بيانات الاعتماد: تسجيل الدخول: `المسؤول` كلمة المرور: `سيسكو` نظرًا لأنك تقوم بتسجيل الدخول إلى جهاز VM الخاص بك لأول مرة، فسوف يُطلب منك تغيير كلمة مرور المسؤول.
3	إذا كنت قد قمت بالفعل بتكوين إعدادات الشبكة في تثبيت HDS Host OVA، فتخط بقية هذا الإجراء. وإلا، في القائمة الرئيسية، حدد خيار تحرير التكوين .
4	إعداد تكوين ثابت باستخدام عنوان IP والقناع والبوابة ومعلومات DNS. يجب أن تحتوي العقدة الخاصة بك على عنوان IP داخلي واسم DNS. لا يتم دعم DHCP.
5	(اختياري) قم بتغيير اسم المضيف أو المجال أو خادم NTP، إذا لزم الأمر لتتوافق مع سياسة الشبكة الخاصة بك. لا يلزمك تعيين النطاق ليتطابق مع النطاق الذي استخدمته للحصول على شهادة X.509.
6	احفظ تكوين الشبكة وأعد تشغيل الجهاز الافتراضي حتى تسري التغييرات.

تحميل وتثبيت ISO الخاص بتكوين HDS

استخدم هذا الإجراء لتكوين الجهاز الظاهري من ملف ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

قبل البدء

نظرًا لأن ملف ISO يحمل المفتاح الرئيسي، فيجب عرضه فقط على أساس "الحاجة إلى المعرفة"، للوصول إليه بواسطة أجهزة VM الخاصة بأمان البيانات الهجينة وأي مسؤولين قد يحتاجون إلى إجراء تغييرات. تأكد من أن هؤلاء المسؤولين فقط هم من يمكنهم الوصول إلى مخزن البيانات.

قم بتحميل ملف ISO من جهاز الكمبيوتر الخاص بك:

في جزء التنقل الأيسر لعميل VMware vSphere، انقر فوق خادم ESXi.
في قائمة الأجهزة الموجودة في علامة التبويب "التكوين"، انقر فوق التخزين.
في قائمة مخازن البيانات، انقر بزر الماوس الأيمن فوق مخزن البيانات الخاص بأجهزة VM الخاصة بك وانقر فوق استعراض مخزن البيانات.
انقر على أيقونة تحميل الملفات، ثم انقر على تحميل الملف.
انتقل إلى الموقع الذي قمت بتنزيل ملف ISO فيه على جهاز الكمبيوتر الخاص بك وانقر فوق فتح.
انقر فوق نعم لقبول تحذير عملية التحميل/التنزيل، ثم أغلق مربع حوار مخزن البيانات.

قم بتثبيت ملف ISO:

في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .
انقر فوق موافق لقبول تحذير خيارات التحرير المقيدة.
انقر فوق محرك الأقراص المضغوطة/أقراص DVD 1، وحدد خيار التحميل من ملف ISO لمخزن البيانات، وانتقل إلى الموقع الذي قمت بتحميل ملف ISO الخاص بالتكوين إليه.
حدد متصل ومتصل عند تشغيل الطاقة.
احفظ التغييرات وأعد تشغيل الجهاز الظاهري.

التصرف التالي

إذا كانت سياسة تكنولوجيا المعلومات الخاصة بك تتطلب ذلك، فيمكنك بشكل اختياري إلغاء تحميل ملف ISO بعد أن تلتقط جميع العقد الخاصة بك تغييرات التكوين. راجع (اختياري) إلغاء تثبيت ISO بعد تكوين HDS للحصول على التفاصيل.

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب وكيلا، فاستخدم هذا الإجراء لتحديد نوع الوكيل الذي تريد دمجه مع "أمان البيانات المختلطة". إذا اخترت وكيل فحص شفاف أو وكيل HTTPS صريح، فيمكنك استخدام واجهة العقدة لتحميل الشهادة الجذر وتثبيتها. يمكنك أيضا التحقق من اتصال الوكيل من الواجهة ، واستكشاف أي مشكلات محتملة وإصلاحها.

قبل البدء

راجع دعم الوكيل للحصول على نظرة عامة على خيارات الوكيل المدعومة.
متطلبات الخادم الوكيل

1	أدخل عنوان URL `لإعداد عقدة HDS https://[HDS Node IP أو FQDN]/الإعداد` في مستعرض ويب، وأدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ثم انقر فوق تسجيل الدخول.
2	انتقل إلى متجر الثقة والوكيل، ثم حدد خيارا: لا يوجد وكيل - الخيار الافتراضي قبل دمج الوكيل. لا يلزم تحديث الشهادة. وكيل شفاف غير فاحص—لا يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ولا ينبغي أن تتطلب أي تغييرات للعمل مع وكيل غير فاحص. لا يلزم تحديث الشهادة. وكيل التفتيش الشفاف—لا يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTPS على نشر أمان البيانات المختلط ، ومع ذلك ، تحتاج عقد HDS إلى شهادة جذر حتى تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS). الوكيل الصريح - باستخدام الوكيل الصريح، يمكنك إخبار العميل (عقد HDS) بخادم الوكيل الذي يجب استخدامه، ويدعم هذا الخيار أنواعًا متعددة من المصادقة. بعد تحديد هذا الخيار، يجب إدخال المعلومات التالية: عنوان IP/FQDN للوكيل — العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل. منفذ الوكيل - رقم المنفذ الذي يستخدمه الوكيل للاستماع إلى حركة المرور التي يتم التوكيل إليها. بروتوكول الوكيل - اختر http (يعرض ويتحكم في جميع الطلبات التي يتم تلقيها من العميل) أو https (يوفر قناة إلى الخادم ويستقبل العميل شهادة الخادم ويتحقق من صحتها). حدد خيارا استنادا إلى ما يدعمه الخادم الوكيل. نوع المصادقة—اختر من بين أنواع المصادقة التالية: لا شيء—لا يلزم إجراء أي مصادقة إضافية. متوفر لبروكسيات HTTP أو HTTPS. أساسي - يستخدم لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64. متوفر لبروكسيات HTTP أو HTTPS. إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور. الملخص — يُستخدم لتأكيد الحساب قبل إرسال المعلومات الحساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة. متوفر لبروكسيات HTTPS فقط. إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور. اتبع الخطوات التالية للحصول على وكيل فحص شفاف أو وكيل HTTP صريح مع مصادقة أساسية أو وكيل HTTPS صريح.
3	انقر فوق تحميل شهادة جذر أو شهادة كيان نهاية، ثم انتقل إلى اختيار الشهادة الجذر للوكيل. تم تحميل الشهادة ولكن لم يتم تثبيتها بعد لأنه يجب إعادة تشغيل العقدة لتثبيت الشهادة. انقر فوق سهم شيفرون بجوار اسم جهة إصدار الشهادة للحصول على مزيد من التفاصيل أو انقر على حذف إذا ارتكبت خطأ وتريد إعادة تحميل الملف.
4	انقر فوق التحقق من اتصال الوكيل لاختبار اتصال الشبكة بين العقدة والوكيل. إذا فشل اختبار الاتصال، فسترى رسالة خطأ توضح السبب وكيفية تصحيح المشكلة. إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة غير قادرة على الوصول إلى خادم DNS. هذا الشرط متوقع في العديد من تكوينات الوكيل الصريحة. يمكنك متابعة الإعداد، وستعمل العقدة في وضع حل DNS الخارجي المحظور. إذا كنت تعتقد أن هذا خطأ، فاستكمل هذه الخطوات، ثم راجع إيقاف تشغيل وضع حل DNS الخارجي المحظور.
5	بعد اجتياز اختبار الاتصال، بالنسبة إلى الوكيل الصريح الذي تم تعيينه على https فقط، قم بتشغيل مفتاح التبديل إلى توجيه جميع طلبات https للمنفذ 443/444 من هذه العقدة عبر الوكيلالصريح. يتطلب هذا الإعداد 15 ثانية ليصبح ساري المفعول.
6	انقر فوق تثبيت كافة الشهادات في مخزن الثقة (يظهر لوكيل HTTPS صريح أو وكيل فحص شفاف) أو إعادة تشغيل (يظهر لوكيل HTTP صريح)، واقرأ المطالبة، ثم انقر فوق تثبيت إذا كنت مستعدا. تتم إعادة تشغيل العقدة في غضون بضع دقائق.
7	بعد إعادة تشغيل العقدة، قم بتسجيل الدخول مرة أخرى إذا لزم الأمر، ثم افتح صفحة نظرة عامة للتحقق من عمليات التحقق من الاتصال للتأكد من أنها جميعا في حالة خضراء. يختبر فحص اتصال الوكيل نطاقا فرعيا من webex.com فقط. إذا كانت هناك مشاكل في الاتصال ، فهناك مشكلة شائعة تتمثل في حظر بعض المجالات السحابية المدرجة في إرشادات التثبيت في الوكيل.

تسجيل العقدة الأولى في المجموعة

تأخذ هذه المهمة العقدة العامة التي أنشأتها في إعداد VM لأمان البيانات الهجين، وتسجل العقدة في سحابة Webex، وتحولها إلى عقدة لأمان البيانات الهجين.

عندما تقوم بتسجيل العقدة الأولى الخاصة بك، فإنك تقوم بإنشاء مجموعة يتم تعيين العقدة إليها. تحتوي المجموعة على عقدة واحدة أو أكثر تم نشرها لتوفير التكرار.

قبل البدء

بمجرد البدء في تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة وإلا سيتعين عليك البدء من جديد.
تأكد من تعطيل جميع أدوات حظر النوافذ المنبثقة في متصفحك أو السماح باستثناء لـ admin.webex.com.

1	سجّل الدخول إلى https://admin.webex.com.
2	من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.
3	في قسم الخدمات الهجينة، ابحث عن أمان البيانات الهجينة وانقر على إعداد. تظهر صفحة تسجيل عقدة أمان البيانات الهجينة.
4	حدد نعم للإشارة إلى أنك قمت بإعداد العقدة وأنك مستعد لتسجيلها، ثم انقر فوق التالي.
5	في الحقل الأول، أدخل اسمًا للمجموعة التي تريد تعيين عقدة أمان البيانات الهجينة لها. نوصيك بتسمية المجموعة استنادًا إلى الموقع الجغرافي لعقد المجموعة. أمثلة: "سان فرانسيسكو" أو "نيويورك" أو "دالاس"
6	في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) للعقدة الخاصة بك وانقر فوق التالي. يجب أن يتطابق عنوان IP أو FQDN هذا مع عنوان IP أو اسم المضيف والنطاق الذي استخدمته في إعداد Hybrid Data Security VM. تظهر رسالة تشير إلى أنه بإمكانك تسجيل العقدة الخاصة بك في Webex.
7	انقر فوق الانتقال إلى العقدة.
8	انقر فوق متابعة في رسالة التحذير. بعد لحظات قليلة، سيتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا نجحت جميع الاختبارات، تظهر صفحة السماح بالوصول إلى عقدة أمان البيانات الهجينة. هناك، يمكنك تأكيد رغبتك في منح الأذونات لمؤسسة Webex الخاصة بك للوصول إلى العقدة الخاصة بك.
9	حدد مربع الاختيار السماح بالوصول إلى عقدة أمان البيانات الهجينة الخاصة بك ، ثم انقر فوق متابعة. تم التحقق من صحة حسابك وتشير رسالة "اكتمل التسجيل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.
10	انقر فوق الرابط أو أغلق علامة التبويب للرجوع إلى صفحة أمان البيانات الهجينة في Control Hub. في صفحة أمان البيانات الهجينة ، يتم عرض المجموعة الجديدة التي تحتوي على العقدة التي قمت بتسجيلها. ستقوم العقدة تلقائيًا بتنزيل أحدث البرامج من السحابة.

إنشاء وتسجيل المزيد من العقد

لإضافة عقد إضافية إلى مجموعتك، ما عليك سوى إنشاء أجهزة افتراضية إضافية وتثبيت نفس ملف ISO للتكوين، ثم تسجيل العقدة. نوصي بأن يكون لديك 3 عقد على الأقل.

في هذا الوقت، تعد أجهزة VM الاحتياطية التي قمت بإنشائها في استكمال المتطلبات الأساسية لأمان البيانات الهجينة عبارة عن أجهزة مضيفة احتياطية يتم استخدامها فقط في حالة الاسترداد من الكوارث؛ ولا يتم تسجيلها في النظام حتى ذلك الحين. للحصول على التفاصيل، راجع استرداد الكوارث باستخدام مركز البيانات الاحتياطي.

قبل البدء

بمجرد البدء في تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة وإلا سيتعين عليك البدء من جديد.
تأكد من تعطيل جميع أدوات حظر النوافذ المنبثقة في متصفحك أو السماح باستثناء لـ admin.webex.com.

1	قم بإنشاء جهاز افتراضي جديد من OVA، وكرر الخطوات الموجودة في تثبيت HDS Host OVA.
2	قم بإعداد التكوين الأولي على الجهاز الافتراضي الجديد، وكرر الخطوات الموجودة في إعداد الجهاز الافتراضي لأمان البيانات الهجين.
3	على الجهاز الافتراضي الجديد، كرر الخطوات الموجودة في تحميل وتثبيت ISO لتكوين HDS.
4	إذا كنت تقوم بإعداد وكيل لنشرك، فكرر الخطوات الموجودة في تكوين عقدة HDS لتكامل الوكيل حسب الحاجة للعقدة الجديدة.
5	تسجيل العقدة. في https://admin.webex.com، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة. في قسم الخدمات الهجينة، ابحث عن بطاقة أمان البيانات الهجينة وانقر على الموارد. تظهر صفحة موارد أمان البيانات الهجينة. انقر فوق إضافة مورد. في الحقل الأول، حدد اسم المجموعة الموجودة لديك. في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) للعقدة الخاصة بك وانقر فوق التالي. تظهر رسالة تشير إلى أنه بإمكانك تسجيل العقدة الخاصة بك في سحابة Webex. انقر فوق الانتقال إلى العقدة. بعد لحظات قليلة، سيتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا نجحت جميع الاختبارات، تظهر صفحة السماح بالوصول إلى عقدة أمان البيانات الهجينة. هناك، يمكنك التأكيد على أنك تريد منح الأذونات لمنظمتك للوصول إلى العقدة الخاصة بك. حدد مربع الاختيار السماح بالوصول إلى عقدة أمان البيانات الهجينة الخاصة بك ، ثم انقر فوق متابعة. تم التحقق من صحة حسابك وتشير رسالة "اكتمل التسجيل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex. انقر فوق الرابط أو أغلق علامة التبويب للرجوع إلى صفحة أمان البيانات الهجينة في Control Hub. لقد تم تسجيل العقدة الخاصة بك. لاحظ أنه حتى تبدأ الإصدار التجريبي، ستُنشئ العقد الخاصة بك إنذارًا يشير إلى أن الخدمة لم يتم تنشيطها بعد.

التصرف التالي

قم بتشغيل الإصدار التجريبي وانتقل إلى الإنتاج (الفصل التالي)

قم بتشغيل الإصدار التجريبي وانتقل إلى الإنتاج

تدفق المهام من التجربة إلى الإنتاج

بعد إعداد مجموعة أمان البيانات الهجينة، يمكنك بدء تشغيل إصدار تجريبي وإضافة مستخدمين إليها والبدء في استخدامها لاختبار والتحقق من نشرك استعدادًا للانتقال إلى الإنتاج.

قبل البدء

إعداد مجموعة أمان بيانات هجينة

1	إذا كان ذلك ممكنًا، قم بمزامنة كائن المجموعة `HdsTrialGroup` . إذا كانت مؤسستك تستخدم مزامنة الدليل للمستخدمين، فيجب عليك تحديد كائن المجموعة `HdsTrialGroup` للمزامنة مع السحابة قبل أن تتمكن من بدء الإصدار التجريبي. للحصول على الإرشادات، راجع دليل النشر لـ Cisco Directory Connector.
2	تفعيل النسخة التجريبية ابدأ المحاكمة. حتى تقوم بهذه المهمة، ستنشئ العقد الخاصة بك إنذارًا يشير إلى أن الخدمة لم يتم تنشيطها بعد.
3	اختبار نشر أمان البيانات الهجينة لديك تأكد من تمرير طلبات المفاتيح إلى نشر أمان البيانات الهجين الخاص بك.
4	مراقبة صحة وأمان البيانات الهجينة التحقق من الحالة وإعداد إشعارات البريد الإلكتروني للتنبيهات.
5	إضافة أو إزالة المستخدمين من النسخة التجريبية الخاصة بك
6	أكمل مرحلة المحاكمة بأحد الإجراءات التالية: الانتقال من التجربة إلى الإنتاج إنهاء الإصدار التجريبي الخاص بك دون الانتقال إلى الإنتاج

تفعيل النسخة التجريبية

قبل البدء

إذا كانت مؤسستك تستخدم مزامنة الدليل للمستخدمين، فيجب عليك تحديد كائن المجموعة HdsTrialGroup للمزامنة مع السحابة قبل أن تتمكن من بدء تجربة لمؤسستك. للحصول على الإرشادات، راجع دليل النشر لـ Cisco Directory Connector.

1	قم بتسجيل الدخول إلى https://admin.webex.com، ثم حدد الخدمات.
2	تحت أمان البيانات الهجينة، انقر فوق الإعدادات.
3	في قسم حالة الخدمة، انقر فوق بدء الإصدار التجريبي. تتغير حالة الخدمة إلى الوضع التجريبي.
4	انقر فوق إضافة مستخدمين وأدخل عنوان البريد الإلكتروني لمستخدم واحد أو أكثر لتجربته باستخدام عقد أمان البيانات الهجينة الخاصة بك لخدمات التشفير والفهرسة. (إذا كانت مؤسستك تستخدم مزامنة الدليل، فاستخدم Active Directory لإدارة مجموعة التجارب، `HdsTrialGroup`.)

اختبار نشر أمان البيانات الهجينة لديك

استخدم هذا الإجراء لاختبار سيناريوهات تشفير أمان البيانات الهجين.

قبل البدء

قم بإعداد نشر أمان البيانات الهجين الخاص بك.
قم بتفعيل النسخة التجريبية، وإضافة عدة مستخدمين تجريبيين.
تأكد من أن لديك إمكانية الوصول إلى syslog للتحقق من تمرير طلبات المفاتيح إلى نشر أمان البيانات الهجين الخاص بك.

يتم تعيين المفاتيح لمساحة معينة من قبل منشئ المساحة. قم بتسجيل الدخول إلى تطبيق Webex كأحد مستخدمي الإصدار التجريبي، ثم قم بإنشاء مساحة ودعوة مستخدم تجريبي واحد على الأقل ومستخدم غير تجريبي واحد.

إذا قمت بإلغاء تنشيط نشر أمان البيانات الهجين، فلن يكون المحتوى في المساحات التي ينشئها المستخدمون التجريبيون متاحًا بعد استبدال نسخ مفاتيح التشفير المخزنة مؤقتًا لدى العميل.

إرسال الرسائل إلى المساحة الجديدة.

تحقق من إخراج syslog للتأكد من تمرير طلبات المفاتيح إلى نشر Hybrid Data Security الخاص بك.

للتحقق من قيام المستخدم أولاً بإنشاء قناة آمنة إلى KMS، قم بالتصفية على kms.data.method=create وkms.data.type=EPHEMERAL_KEY_COLLECTION:

يجب أن تجد إدخالاً مثل التالي (المعرفات مختصرة لسهولة القراءة):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - تم استلام [KMS:REQUEST]، معرف الجهاز: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0، kms.data.method=create، kms.merc.id=8[~]a، kms.merc.sync=false، kms.data.uriHost=hds2.org5.portun.us، kms.data.type=EPHEMERAL_KEY_COLLECTION، kms.data.requestId=9[~]6، kms.data.uri=kms://hds2.org5.portun.us/ecdhe، kms.data.userId=0[~]2

للتحقق من وجود مستخدم يطلب مفتاحًا موجودًا من KMS، قم بالتصفية على kms.data.method=retrieve وkms.data.type=KEY:

يجب أن تجد إدخالاً مثل:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - تم استلام [KMS:REQUEST]، معرف الجهاز: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0، kms.data.method=retrieve، kms.merc.id=c[~]7، kms.merc.sync=false، kms.data.uriHost=ciscospark.com، kms.data.type=KEY، kms.data.requestId=9[~]3، kms.data.uri=kms://ciscospark.com/keys/d[~]2، kms.data.userId=1[~]b

للتحقق من وجود مستخدم يطلب إنشاء مفتاح KMS جديد، قم بالتصفية على kms.data.method=create وkms.data.type=KEY_COLLECTION:

يجب أن تجد إدخالاً مثل:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - تم استلام [KMS:REQUEST]، معرف الجهاز: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0، kms.data.method=create، kms.merc.id=6[~]e، kms.merc.sync=false، kms.data.uriHost=null، kms.data.type=KEY_COLLECTION، kms.data.requestId=6[~]4، kms.data.uri=/keys، kms.data.userId=1[~]b

للتحقق من قيام المستخدم بطلب إنشاء كائن مورد KMS (KRO) جديد عند إنشاء مساحة أو مورد محمي آخر، قم بالتصفية على kms.data.method=create وkms.data.type=RESOURCE_COLLECTION:

يجب أن تجد إدخالاً مثل:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - تم استلام [KMS:REQUEST]، معرف الجهاز: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0، kms.data.method=create، kms.merc.id=5[~]3، kms.merc.sync=true، kms.data.uriHost=null، kms.data.type=RESOURCE_COLLECTION، kms.data.requestId=d[~]e، kms.data.uri=/resources، kms.data.userId=1[~]b

مراقبة صحة وأمان البيانات الهجينة

يُظهر لك مؤشر الحالة داخل Control Hub ما إذا كان كل شيء على ما يرام مع نشر Hybrid Data Security. لمزيد من التنبيهات الاستباقية، قم بالتسجيل لتلقي إشعارات البريد الإلكتروني. سيتم إعلامك عند وجود إنذارات تؤثر على الخدمة أو ترقيات للبرامج.

1	في مركز التحكم، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة.
2	في قسم الخدمات الهجينة، ابحث عن أمان البيانات الهجينة وانقر على الإعدادات. تظهر صفحة إعدادات أمان البيانات الهجينة.
3	في قسم إشعارات البريد الإلكتروني، اكتب عنوان بريد إلكتروني واحدًا أو أكثر مفصولًا بفاصلات، ثم اضغط على Enter.

إضافة أو إزالة المستخدمين من النسخة التجريبية الخاصة بك

بعد تنشيط النسخة التجريبية وإضافة المجموعة الأولية من مستخدمي النسخة التجريبية، يمكنك إضافة أعضاء النسخة التجريبية أو إزالتهم في أي وقت أثناء نشاط النسخة التجريبية.

إذا قمت بإزالة مستخدم من النسخة التجريبية، فسوف يطلب عميل المستخدم المفاتيح وإنشاء المفتاح من نظام إدارة المفاتيح السحابي بدلاً من نظام إدارة المفاتيح الخاص بك. إذا احتاج العميل إلى مفتاح مخزّن على نظام إدارة المفاتيح الخاص بك، فسوف يقوم نظام إدارة المفاتيح السحابي بجلبه نيابة عن المستخدم.

إذا كانت مؤسستك تستخدم مزامنة الدليل، فاستخدم Active Directory (بدلاً من هذا الإجراء) لإدارة مجموعة التجارب، HdsTrialGroup؛ يمكنك عرض أعضاء المجموعة في Control Hub ولكن لا يمكنك إضافتهم أو إزالتهم.

1	قم بتسجيل الدخول إلى مركز التحكم، ثم حدد الخدمات.
2	تحت أمان البيانات الهجينة، انقر فوق الإعدادات.
3	في قسم وضع التجربة في منطقة حالة الخدمة، انقر فوق إضافة مستخدمين، أو انقر فوق عرض وتحرير لإزالة المستخدمين من التجربة.
4	أدخل عنوان البريد الإلكتروني لمستخدم واحد أو أكثر لإضافته، أو انقر على X بجوار معرف المستخدم لإزالة المستخدم من النسخة التجريبية. ثم انقر على حفظ.

الانتقال من التجربة إلى الإنتاج

عندما تكون راضيًا عن عمل نشرك بشكل جيد لمستخدمي الإصدار التجريبي، يمكنك الانتقال إلى الإنتاج. عند الانتقال إلى الإنتاج، سيستخدم جميع المستخدمين في المؤسسة مجال أمان البيانات الهجين الموجود في المؤسسة للحصول على مفاتيح التشفير وخدمات مجال الأمان الأخرى. لا يمكنك الرجوع إلى الوضع التجريبي من الإنتاج إلا إذا قمت بإلغاء تنشيط الخدمة كجزء من عملية الاسترداد من الكوارث. تتطلب إعادة تنشيط الخدمة إعداد فترة تجريبية جديدة.

1	قم بتسجيل الدخول إلى مركز التحكم، ثم حدد الخدمات.
2	تحت أمان البيانات الهجينة، انقر فوق الإعدادات.
3	في قسم حالة الخدمة، انقر فوق نقل إلى الإنتاج.
4	تأكد من أنك تريد نقل جميع المستخدمين إلى الإنتاج.

إنهاء الإصدار التجريبي الخاص بك دون الانتقال إلى الإنتاج

إذا قررت أثناء الفترة التجريبية عدم المضي قدمًا في نشر Hybrid Data Security، فيمكنك إلغاء تنشيط Hybrid Data Security، مما يؤدي إلى إنهاء الفترة التجريبية ونقل مستخدمي الفترة التجريبية إلى خدمات أمان البيانات السحابية. سيفقد مستخدمو الإصدار التجريبي إمكانية الوصول إلى البيانات التي تم تشفيرها أثناء الإصدار التجريبي.

1	قم بتسجيل الدخول إلى مركز التحكم، ثم حدد الخدمات.
2	تحت أمان البيانات الهجينة، انقر فوق الإعدادات.
3	في قسم إلغاء التنشيط، انقر فوق إلغاء التنشيط.
4	تأكد من رغبتك في إلغاء تنشيط الخدمة وإنهاء الفترة التجريبية.

إدارة نشر HDS الخاص بك

إدارة نشر HDS

استخدم المهام الموضحة هنا لإدارة نشر أمان البيانات الهجين الخاص بك.

تعيين جدول ترقية المجموعة

يتم إجراء ترقيات البرامج الخاصة بأمان البيانات الهجينة تلقائيًا على مستوى المجموعة، مما يضمن تشغيل جميع العقد دائمًا نفس إصدار البرنامج. يتم إجراء الترقيات وفقًا لجدول الترقية للمجموعة. عندما يصبح ترقية البرنامج متاحة، يكون لديك خيار ترقية المجموعة يدويًا قبل وقت الترقية المجدول. يمكنك تعيين جدول ترقية محدد أو استخدام الجدول الافتراضي الساعة 3:00 صباحًا يوميًا في الولايات المتحدة: أمريكا/لوس أنجلوس. يمكنك أيضًا اختيار تأجيل الترقية القادمة، إذا لزم الأمر.

لتعيين جدول الترقية:

1	سجل الدخول إلى مركز التحكم.
2	في صفحة النظرة العامة، ضمن الخدمات الهجينة، حدد أمان البيانات الهجين.
3	في صفحة موارد أمان البيانات الهجينة، حدد المجموعة.
4	في لوحة النظرة العامة على اليمين، ضمن إعدادات المجموعة، حدد اسم المجموعة.
5	في صفحة الإعدادات، ضمن الترقية، حدد الوقت والمنطقة الزمنية لجدول الترقية. ملاحظات تحت المنطقة الزمنية، يتم عرض تاريخ ووقت الترقية المتاحة التالية. يمكنك تأجيل الترقية إلى اليوم التالي، إذا لزم الأمر، بالنقر فوق تأجيل.

تغيير تكوين العقدة

في بعض الأحيان قد تحتاج إلى تغيير تكوين عقدة أمان البيانات المختلطة لسبب مثل:

تغيير شهادات X.509 بسبب انتهاء الصلاحية أو لأسباب أخرى.

لا ندعم تغيير اسم مجال CN للشهادة. يجب أن يتطابق المجال مع المجال الأصلي المستخدم لتسجيل الكتلة.

تحديث إعدادات قاعدة البيانات للتغيير إلى نسخة متماثلة من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

إنشاء تكوين جديد لإعداد مركز بيانات جديد.

أيضا ، لأغراض أمنية ، يستخدم Hybrid Data Security كلمات مرور حساب الخدمة التي لها عمر افتراضي يبلغ تسعة أشهر. بعد أن تقوم أداة إعداد HDS بإنشاء كلمات المرور هذه، يمكنك نشرها على كل عقد من عقد HDS في ملف تكوين ISO. عندما تقترب كلمات مرور مؤسستك من انتهاء الصلاحية، تتلقى إشعارا من فريق Webex لإعادة تعيين كلمة المرور لحساب الجهاز. (يتضمن البريد الإلكتروني النص ، "استخدم واجهة برمجة تطبيقات حساب الجهاز لتحديث كلمة المرور.") إذا لم تنته صلاحية كلمات المرور الخاصة بك بعد ، تمنحك الأداة خيارين:

إعادة الضبط الناعمة — تعمل كل من كلمات المرور القديمة والجديدة لمدة تصل إلى 10 أيام. استخدم هذه الفترة لاستبدال ملف ISO على العقد بالتدريج.
إعادة الضبط الشاملة - تتوقف كلمات المرور القديمة عن العمل على الفور.

استخدم هذا الإجراء لإنشاء ملف ISO تكوين جديد وتطبيقه على نظام المجموعة الخاص بك.

قبل البدء

الوصف	المتغير
وكيل HTTP بدون مصادقة	`وكيل عالمي_HTTP_PROXY=http://SERVER_IP:PORT`_
وكيل HTTPS بدون مصادقة	`وكيل عالمي_HTTPS_PROXY=http://SERVER_IP:PORT` _
وكيل HTTP مع المصادقة	`وكيل عالمي_HTTP_PROXY=http://اسم المستخدم:كلمة المرور@الخادم_عنوان IP:المنفذ`_
وكيل HTTPS مع المصادقة	`وكيل عالمي_HTTPS_PROXY=http://اسم المستخدم:كلمة المرور@الخادم_عنوان IP:المنفذ`_

أنت بحاجة إلى نسخة من ملف ISO للتكوين الحالي لإنشاء تكوين جديد. يحتوي ISO على المفتاح الرئيسي الذي يعمل على تشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. أنت بحاجة إلى ISO عند إجراء تغييرات التكوين ، بما في ذلك بيانات اعتماد قاعدة البيانات أو تحديثات الشهادة أو التغييرات على سياسة التفويض.

باستخدام Docker على جهاز محلي ، قم بتشغيل أداة إعداد HDS.

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:
```
تسجيل الدخول إلى docker -u hdscustomersro
```
في موجه كلمة المرور ، أدخل هذه التجزئة:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

سحب ملف docker ciscocitg/hds-setup:stable

في بيئات FedRAMP:

سحب ملف docker ciscocitg/hds-setup-fedramp:stable

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية بدون وكيل:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

في البيئات العادية باستخدام وكيل HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

في البيئات العادية باستخدام HTTPSproxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

في بيئات FedRAMP بدون وكيل:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

في بيئات FedRAMP باستخدام وكيل HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

في بيئات FedRAMP باستخدام وكيل HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عند تشغيل الحاوية، سترى "الاستماع السريع إلى الخادم على المنفذ 8080".

استخدم متصفحا للاتصال بالمضيف المحلي ، http://127.0.0.1:8080.

لا تدعم أداة الإعداد الاتصال بـ localhost عبر http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بـ localhost.

عند مطالبتك بذلك، أدخل بيانات اعتماد تسجيل الدخول الخاصة بعميل Control Hub، ثم انقر فوق قبول للمتابعة.
قم باستيراد ملف ISO للتكوين الحالي.
اتبع المطالبات لإكمال الأداة وتنزيل الملف المحدث.

لإيقاف تشغيل أداة الإعداد، اكتب CTRL+C.
قم بإنشاء نسخة احتياطية من الملف المحدث في مركز بيانات آخر.

إذا كان لديك عقدة HDS واحدة فقط قيد التشغيل، فأنشئ آلة افتراضية جديدة لعقدة Hybrid Data Security وقم بتسجيلها باستخدام ملف ISO الجديد للتكوين. للحصول على تعليمات أكثر تفصيلاً، راجع إنشاء المزيد من العقد وتسجيلها.

قم بتثبيت مضيف HDS OVA.
قم بإعداد HDS VM.
قم بتحميل ملف التكوين المحدث.
سجل العقدة الجديدة في مركزالتحكم.

بالنسبة لعقد HDS الحالية التي تقوم بتشغيل ملف التكوين الأقدم ، قم بتحميل ملف ISO. نفذ الإجراء التالي على كل عقدة على حدة ، وقم بتحديث كل عقدة قبل إيقاف تشغيل العقدة التالية:

قم بإيقاف تشغيل الآلة الافتراضية.
في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .
انقر فوق محرك الأقراص المضغوطة/أقراص DVD 1، وحدد خيار التحميل من ملف ISO، واستعرض وصولا إلى الموقع الذي قمت بتنزيل ملف ISO الجديد منه للتكوين.
حدد التوصيل أثناء التشغيل .
احفظ التغييرات وقم بتشغيل الجهاز الظاهري.

كرر الخطوة 3 لاستبدال التكوين على كل عقدة متبقية تقوم بتشغيل التكوين القديم.

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. إذا تعذر على خادم DNS الخاص بالعقدة حل أسماء DNS العامة، فستنتقل العقدة تلقائيا إلى وضع حل DNS الخارجي المحظور.

قبل البدء

تأكد من أن خوادم DNS الداخلية يمكنها حل أسماء DNS العامة، وأن العقد يمكنها التواصل معها.

1	في مستعرض ويب، افتح واجهة عقدة أمان البيانات المختلطة (عنوان IP/الإعداد، على سبيل المثال، أدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ⁦https://192.0.2.0/setup),⁩ ثم انقر فوق تسجيل الدخول.
2	انتقل إلى نظرة عامة (الصفحة الافتراضية). عند تمكينه، يتم تعيين دقة DNS الخارجية المحظورة إلى نعم.
3	انتقل إلى صفحة متجر الثقة والوكيل .
4	انقر فوق التحقق من اتصال الوكيل. إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة لم تتمكن من الوصول إلى خادم DNS وستظل في هذا الوضع. وإلا، بعد إعادة تشغيل العقدة والعودة إلى صفحة نظرة عامة ، يجب تعيين دقة DNS الخارجية المحظورة إلى لا.

التصرف التالي

كرر اختبار اتصال الوكيل على كل عقدة في مجموعة أمان البيانات المختلطة.

إزالة عقدة

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى المضيف الظاهري ESXi وإيقاف تشغيل الجهاز الظاهري.

إزالة العقدة:

قم بتسجيل الدخول إلى مركز التحكم، ثم حدد الخدمات.
في بطاقة أمان البيانات الهجينة، انقر فوق عرض الكل لعرض صفحة موارد أمان البيانات الهجينة.
قم بتحديد المجموعة الخاصة بك لعرض لوحة النظرة العامة الخاصة بها.
انقر فوق فتح قائمة العقد.
في علامة التبويب "العقد"، حدد العقدة التي تريد إزالتها.
انقر فوق الإجراءات > إلغاء تسجيل العقدة.

في عميل vSphere، احذف الجهاز الافتراضي. (في جزء التنقل الأيسر، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر على حذف.)

إذا لم تقم بحذف الجهاز الافتراضي، فتذكر إلغاء تحميل ملف ISO الخاص بالتكوين. بدون ملف ISO، لا يمكنك استخدام الجهاز الافتراضي للوصول إلى بيانات الأمان الخاصة بك.

استعادة البيانات بعد الكوارث باستخدام مركز البيانات الاحتياطي

الخدمة الأكثر أهمية التي تقدمها مجموعة أمان البيانات الهجينة الخاصة بك هي إنشاء وتخزين المفاتيح المستخدمة لتشفير الرسائل والمحتويات الأخرى المخزنة في سحابة Webex. بالنسبة لكل مستخدم داخل المؤسسة تم تعيينه لأمان البيانات الهجين، يتم توجيه طلبات إنشاء مفتاح جديد إلى المجموعة. كما أن المجموعة مسؤولة أيضًا عن إرجاع المفاتيح التي تم إنشاؤها إلى أي مستخدمين مخولين لاسترجاعها، على سبيل المثال، أعضاء مساحة المحادثة.

نظرًا لأن المجموعة تؤدي وظيفة أساسية تتمثل في توفير هذه المفاتيح، فمن الضروري أن تظل المجموعة قيد التشغيل وأن يتم الاحتفاظ بالنسخ الاحتياطية المناسبة. سيؤدي فقدان قاعدة بيانات أمان البيانات الهجينة أو تكوين ISO المستخدم للمخطط إلى خسارة غير قابلة للاسترداد لمحتوى العميل. إن الممارسات التالية إلزامية لمنع مثل هذه الخسارة:

إذا تسببت كارثة في عدم توفر نشر HDS في مركز البيانات الأساسي، فاتبع هذا الإجراء للانتقال يدويًا إلى مركز البيانات الاحتياطي.

ابدأ تشغيل أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء ملف ISO للتكوين لمضيفات HDS.

بعد تكوين خادم Syslogd، انقر فوق الإعدادات المتقدمة

في صفحة الإعدادات المتقدمة ، أضف التكوين أدناه أو قم بإزالة تكوين passiveMode لجعل العقدة نشطة. يمكن للعقدة التعامل مع حركة المرور بمجرد تكوين ذلك.

 الوضع السلبي: 'خطأ شنيع'

أكمل عملية التكوين واحفظ ملف ISO في مكان يمكنك العثور عليه بسهولة.

في جزء التنقل الأيسر لعميل VMware vSphere، انقر بزر الماوس الأيمن فوق الجهاز الافتراضي وانقر فوق تحرير الإعدادات..

انقر فوق تحرير الإعدادات >محرك الأقراص المضغوطة/أقراص DVD 1 وحدد ملف ISO الخاص بمخزن البيانات.

قم بتشغيل عقدة HDS وتأكد من عدم وجود أي إنذارات لمدة 15 دقيقة على الأقل.

كرر العملية لكل عقدة في مركز البيانات الاحتياطي.

تحقق من إخراج syslog للتأكد من أن عقد مركز البيانات الاحتياطي ليست في الوضع السلبي. لا ينبغي أن يظهر "KMS الذي تم تكوينه في الوضع السلبي" في syslogs.

التصرف التالي

بعد الفشل، إذا أصبح مركز البيانات الأساسي نشطًا مرة أخرى، ضع مركز البيانات الاحتياطي في الوضع السلبي مرة أخرى باتباع الخطوات الموضحة في إعداد مركز البيانات الاحتياطي للتعافي من الكوارث.

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

يتم تشغيل تكوين HDS القياسي مع تثبيت ISO. لكن بعض العملاء يفضلون عدم ترك ملفات ISO مثبتة بشكل مستمر. يمكنك إلغاء تحميل ملف ISO بعد أن تقوم كافة عقد HDS بالتقاط التكوين الجديد.

لا تزال تستخدم ملفات ISO لإجراء تغييرات التكوين. عند إنشاء ملف ISO جديد أو تحديث ملف ISO من خلال أداة الإعداد، يجب عليك تثبيت ملف ISO المحدث على جميع عقد HDS الخاصة بك. بمجرد أن تلتقط جميع العقد الخاصة بك تغييرات التكوين، يمكنك إلغاء تثبيت ISO مرة أخرى باستخدام هذا الإجراء.

قبل البدء

قم بترقية جميع عقد HDS الخاصة بك إلى الإصدار 2021.01.22.4720 أو أحدث.

1	قم بإغلاق إحدى عقد HDS الخاصة بك.
2	في جهاز vCenter Server، حدد عقدة HDS.
3	اختر تحرير الإعدادات > محرك الأقراص المضغوطة/أقراص DVD وقم بإلغاء تحديد ملف ISO الخاص بمخزن البيانات.
4	قم بتشغيل عقدة HDS وتأكد من عدم وجود أي إنذارات لمدة 20 دقيقة على الأقل.
5	كرر ذلك لكل عقدة HDS بالتناوب.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

يعتبر نشر أمان البيانات الهجين غير متاح إذا كانت جميع العقد في المجموعة غير قابلة للوصول، أو إذا كانت المجموعة تعمل ببطء شديد بحيث تنتهي مهلة الطلبات. إذا لم يتمكن المستخدمون من الوصول إلى مجموعة Hybrid Data Security الخاصة بك، فسوف يواجهون الأعراض التالية:

لا يمكن إنشاء مساحات جديدة (غير قادر على إنشاء مفاتيح جديدة)
تفشل الرسائل وعناوين المساحات في فك التشفير لـ:
- تمت إضافة مستخدمين جدد إلى مساحة (غير قادرين على جلب المفاتيح)
- المستخدمون الحاليون في مساحة باستخدام عميل جديد (غير قادرين على جلب المفاتيح)
سيستمر المستخدمون الحاليون في مساحة ما في العمل بنجاح طالما أن عملائهم لديهم ذاكرة تخزين مؤقتة لمفاتيح التشفير

من المهم مراقبة مجموعة أمان البيانات الهجينة لديك بشكل صحيح والتعامل مع أي تنبيهات على الفور لتجنب انقطاع الخدمة.

التنبيهات

إذا كانت هناك مشكلة في إعداد أمان البيانات الهجين، يعرض Control Hub التنبيهات لمسؤول المؤسسة، ويرسل رسائل بريد إلكتروني إلى عنوان البريد الإلكتروني الذي تم تكوينه. وتغطي التنبيهات العديد من السيناريوهات الشائعة.

الجدول رقم 1. المشكلات الشائعة وخطوات حلها
تنبيه	الإجراء
فشل الوصول إلى قاعدة البيانات المحلية.	التحقق من وجود أخطاء في قاعدة البيانات أو مشكلات الشبكة المحلية.
فشل الاتصال بقاعدة البيانات المحلية.	تأكد من أن خادم قاعدة البيانات متاح، وتم استخدام بيانات اعتماد حساب الخدمة الصحيحة في تكوين العقدة.
فشل الوصول إلى الخدمة السحابية.	تأكد من أن العقد يمكنها الوصول إلى خوادم Webex كما هو محدد في متطلبات الاتصال الخارجية.
تجديد تسجيل الخدمة السحابية.	تم إسقاط التسجيل في الخدمات السحابية. جاري تجديد التسجيل.
تم إسقاط تسجيل الخدمة السحابية.	تم إنهاء التسجيل في الخدمات السحابية. تم إيقاف الخدمة.
لم يتم تفعيل الخدمة بعد.	قم بتنشيط الإصدار التجريبي، أو أكمل نقل الإصدار التجريبي إلى الإنتاج.
المجال الذي تم تكوينه لا يتطابق مع شهادة الخادم.	تأكد من أن شهادة الخادم لديك تطابق نطاق تنشيط الخدمة الذي قمت بتكوينه. السبب الأكثر ترجيحًا هو أن شهادة CN تم تغييرها مؤخرًا وهي الآن مختلفة عن CN التي تم استخدامها أثناء الإعداد الأولي.
فشل في المصادقة على الخدمات السحابية.	التحقق من دقة بيانات اعتماد حساب الخدمة وانتهاء صلاحيتها.
فشل في فتح ملف مخزن المفاتيح المحلي.	التحقق من سلامة ودقة كلمة المرور في ملف مخزن المفاتيح المحلي.
شهادة الخادم المحلي غير صالحة.	تحقق من تاريخ انتهاء صلاحية شهادة الخادم وتأكد من إصدارها من قبل هيئة شهادة موثوقة.
غير قادر على نشر المقاييس.	التحقق من وصول الشبكة المحلية إلى الخدمات السحابية الخارجية.
الدليل /media/configdrive/hds غير موجود.	تحقق من تكوين تثبيت ISO على المضيف الافتراضي. تأكد من وجود ملف ISO، ومن تكوينه ليتم تحميله عند إعادة التشغيل، ومن أنه يتم التحميل بنجاح.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

استخدم الإرشادات العامة التالية عند استكشاف مشكلات أمان البيانات الهجينة وإصلاحها.

1	قم بمراجعة مركز التحكم بحثًا عن أي تنبيهات وإصلاح أي عناصر تجدها هناك.
2	قم بمراجعة مخرجات خادم syslog للنشاط الناتج عن نشر أمان البيانات الهجين.
3	اتصل بـ دعم Cisco.

ملاحظات أخرى

المشكلات المعروفة المتعلقة بأمان البيانات الهجينة

إذا قمت بإيقاف تشغيل مجموعة Hybrid Data Security (عن طريق حذفها في Control Hub أو عن طريق إيقاف تشغيل جميع العقد)، أو فقدت ملف ISO للتكوين، أو فقدت الوصول إلى قاعدة بيانات مخزن المفاتيح، فلن يتمكن مستخدمو تطبيق Webex من استخدام المساحات الموجودة ضمن قائمة الأشخاص الخاصة بهم والتي تم إنشاؤها باستخدام مفاتيح من KMS. ينطبق هذا على كل من عمليات النشر التجريبية والإنتاجية. لا يوجد لدينا حاليًا حل بديل أو إصلاح لهذه المشكلة ونحثك على عدم إيقاف تشغيل خدمات HDS بمجرد تعاملها مع حسابات المستخدمين النشطة.
العميل الذي لديه اتصال ECDH موجود مع KMS يحافظ على هذا الاتصال لفترة زمنية (على الأرجح ساعة واحدة). عندما يصبح المستخدم عضوًا في تجربة Hybrid Data Security، يستمر عميل المستخدم في استخدام اتصال ECDH الحالي حتى انتهاء صلاحيته. بدلاً من ذلك، يمكن للمستخدم تسجيل الخروج والعودة إلى تطبيق Webex App لتحديث الموقع الذي يتصل به التطبيق للحصول على مفاتيح التشفير.

يحدث السلوك نفسه عند نقل الإصدار التجريبي إلى الإنتاج للمؤسسة. سيستمر جميع المستخدمين غير التجريبيين الذين لديهم اتصالات ECDH موجودة بخدمات أمان البيانات السابقة في استخدام هذه الخدمات حتى يتم إعادة التفاوض على اتصال ECDH (من خلال مهلة زمنية أو عن طريق تسجيل الخروج ثم تسجيل الدخول مرة أخرى).

استخدم OpenSSL لإنشاء ملف PKCS12

قبل البدء

OpenSSL هي إحدى الأدوات التي يمكن استخدامها لجعل ملف PKCS12 بالتنسيق المناسب للتحميل في أداة إعداد HDS. هناك طرق أخرى للقيام بذلك، ونحن لا ندعم أو نشجع طريقة على أخرى.
إذا اخترت استخدام OpenSSL، فنحن نقدم هذا الإجراء كدليل لمساعدتك في إنشاء ملف يلبي متطلبات شهادة X.509 في متطلبات شهادة X.509. افهم هذه المتطلبات قبل الاستمرار.
قم بتثبيت OpenSSL في بيئة مدعومة. راجع https://www.openssl.org للحصول على البرنامج والوثائق.
إنشاء مفتاح خاص.
ابدأ هذا الإجراء عند استلام شهادة الخادم من هيئة الشهادات (CA) الخاصة بك.

1	عند استلام شهادة الخادم من سلطة التصديق الخاصة بك، احفظها باسم `hdsnode.pem`.
2	عرض الشهادة كنص، والتحقق من التفاصيل. `openssl x509 -text -noout -in hdsnode.pem`
3	استخدم محرر نصوص لإنشاء ملف حزمة شهادة يسمى `hdsnode-bundle.pem`. يجب أن يتضمن ملف الحزمة شهادة الخادم، وأي شهادات CA وسيطة، وشهادات CA الجذر، بالتنسيق أدناه: `-----شهادة البداية----- ### شهادة الخادم. ### -----نهاية الشهادة----- -----بداية الشهادة----- ### شهادة CA وسيطة. ### -----نهاية الشهادة----- -----بداية الشهادة----- ### شهادة CA الجذر. ### -----نهاية الشهادة-----`
4	قم بإنشاء ملف .p12 بالاسم المألوف `kms-private-key`. `openssl pkcs12 - تصدير - inkey hdsnode.key - في hdsnode-bundle.pem - اسم kms-private-key - caname kms-private-key - خارج hdsnode.p12`
5	التحقق من تفاصيل شهادة الخادم. `openssl pkcs12 - في hdsnode.p12` أدخل كلمة المرور عند المطالبة بتشفير المفتاح الخاص حتى يتم إدراجه في الإخراج. بعد ذلك، تأكد من أن المفتاح الخاص والشهادة الأولى يتضمنان الأسطر `friendlyName: kms-المفتاح-الخاص`. مثال: bash$ openssl pkcs12 -in hdsnode.p12 أدخل كلمة مرور الاستيراد: تم التحقق من صحة MAC لخصائص الحقيبة friendlyName: kms-private-key معرف المفتاح المحلي: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 السمات الرئيسية: أدخل عبارة مرور PEM: التحقق - أدخل عبارة المرور PEM: -----بداية المفتاح الخاص المشفر----- -----نهاية المفتاح الخاص المشفر----- سمات الحقيبة friendlyName: kms-private-key معرف المفتاح المحلي: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----بداية الشهادة----- -----نهاية الشهادة----- سمات الحقيبة friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 sourcer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----بداية الشهادة----- -----نهاية الشهادة-----

التصرف التالي

العودة إلى استكمال المتطلبات الأساسية لأمن البيانات الهجينة. سوف تستخدم ملف hdsnode.p12 وكلمة المرور التي قمت بتعيينها له في إنشاء ملف ISO للتكوين لمضيفات HDS.

بإمكانك إعادة استخدام هذه الملفات لطلب شهادة جديدة عند انتهاء صلاحية الشهادة الأصلية.

حركة المرور بين عقد HDS والسحابة

مجموعة بيانات قياسات الصادرة

ترسل عقد أمان البيانات الهجينة مقاييس معينة إلى سحابة Webex. تتضمن هذه المقاييس النظامية لأقصى حد للكومة، والكومة المستخدمة، وحمل وحدة المعالجة المركزية، وعدد الخيوط؛ والمقاييس الخاصة بالخيوط المتزامنة وغير المتزامنة؛ والمقاييس الخاصة بالتنبيهات التي تتضمن حدًا أدنى لاتصالات التشفير، أو زمن الوصول، أو طول قائمة الطلبات؛ والمقاييس الخاصة بمخزن البيانات؛ ومقاييس اتصالات التشفير. ترسل العقد مادة رئيسية مشفرة عبر قناة خارج النطاق (منفصلة عن الطلب).

حركة المرور الواردة

تتلقى عقد أمان البيانات الهجينة الأنواع التالية من حركة المرور الواردة من سحابة Webex:

طلبات التشفير من العملاء، والتي يتم توجيهها بواسطة خدمة التشفير
ترقيات لبرنامج العقدة

تكوين وكلاء Squid لتوفير الأمان للبيانات الهجينة

لا يمكن ل Websocket الاتصال من خلال وكيل الحبار

يمكن أن تتداخل وكلاء Squid الذين يقومون بفحص حركة مرور HTTPS مع إنشاء اتصالات websocket (wss:) التي يتطلبها أمان البيانات الهجين. تقدم هذه الأقسام إرشادات حول كيفية تكوين إصدارات مختلفة من Squid لتجاهل wss: حركة المرور لضمان التشغيل السليم للخدمات.

الحبار 4 و 5

أضف التوجيه on_unsupported_protocol إلى squid.conf:

on_unsupported_protocol نفق كل شيء

الحبار 3.5.27

لقد اختبرنا بنجاح أمان البيانات المختلط مع إضافة القواعد التالية إلى squid.conf. تخضع هذه القواعد للتغيير أثناء تطوير الميزات وتحديث سحابة Webex.

acl wssMercuryConnection ssl::server_name_regex اتصال الزئبق ssl_bump وصلة wssMercuryConnection قائمة التحكم في الوصول خطوة 1 at_step SslBump1 قائمة التحكم في الوصول خطوة 2 at_step SslBump2 قائمة التحكم في الوصول خطوة 3 at_step SslBump3 ssl_bump نظرة سريعة خطوة 1 الكل ssl_bump تحديق خطوة 2 الكل ssl_bump صدمة خطوة 3 الكل