دليل نشر Webex Hybrid Data Security

في هذه المقالة

هل لديك ملاحظات؟

مقدمة

معلومات جديدة ومتغيرة

التاريخ	التغييرات التي تم إجراؤها
8 مايو 2025	تم تحديث متطلبات المضيف الافتراضي، سير عمل نشر أمان البيانات الهجين، و تثبيت HDS Host OVA لإضافة دعم ESXi 8.0.
3 مارس 2025	تمت إضافة أداة تشغيل إعداد HDS باستخدام قسم Podman Desktop. تمت إضافة ملاحظة في متطلبات سطح مكتب Docker لتزويد العملاء بخيار مفتوح المصدر بديل. تم تحديث إنشاء ملف ISO للتكوين لمضيفات HDS و تغيير تكوين العقدة مع الإرشادات لاستخدام Podman Desktop للعملاء الذين لا يملكون ترخيص Docker Desktop.
30 يناير 2025	تمت إضافة إصدار SQL Server 2022 إلى قائمة خوادم SQL المدعومة في متطلبات خادم قاعدة البيانات.
7 يناير 2025	تم تحديث متطلبات المضيف الافتراضي، و تدفق مهام نشر أمان البيانات الهجين، و تثبيت HDS Host OVA لإظهار المتطلبات الجديدة لـ ESXi 7.0.
20 أكتوبر 2023	تم تحديث المعلومات في متطلبات خادم قاعدة البيانات. تمت إضافة إعداد مركز بيانات احتياطي للتعافي من الكوارث. تم تحديث المعلومات في مركز البيانات الاحتياطي للتعافي من الكوارث و التعافي من الكوارث باستخدام مركز البيانات الاحتياطي.
7 أغسطس 2023	تمت إضافة ملاحظة في تنزيل ملفات التثبيت. تمت إضافة ملاحظة في إنشاء ملف ISO للتكوين لمضيفات HDS و تغيير تكوين العقدة.
23 مايو 2023	تم حذف المعلومات من متطلبات خادم قاعدة البيانات التي تطلب تمكين الميزة عن طريق الاتصال بفريق الحساب. تم تحديث المعلومات في متطلبات الاتصال الخارجية وتمت إضافة كندا إلى جدول مضيفات CI. تمت إضافة ملاحظة في توقعات نشر أمان البيانات الهجين فيما يتعلق بعدم توفر الآليات اللازمة لنقل المفاتيح مرة أخرى إلى السحابة.
6 ديسمبر 2022	يتم الآن استضافة صور أداة إعداد HDS في مستودع dockerhub `ciscocitg`. تم تحديث إنشاء ملف ISO للتكوين لمضيفات HDS و تغيير موضوعات تكوين العقدة لتعكس التغييرات في الأوامر.
23 نوفمبر 2022	يمكن الآن لعقد HDS استخدام مصادقة Windows ضد Microsoft SQL Server. تم تحديث موضوع متطلبات خادم قاعدة البياناتمع متطلبات إضافية لوضع المصادقة هذا. تم تحديث إنشاء ملف ISO للتكوين لمضيفات HDS باستخدام الإجراء لتكوين مصادقة Windows على العقد. تم تحديث موضوع متطلبات خادم قاعدة البيانات مع الإصدارات الجديدة المطلوبة كحد أدنى (PostgreSQL 10).
13 تشرين الأول/أكتوبر 2021	يحتاج Docker Desktop إلى تشغيل برنامج إعداد قبل أن تتمكن من تثبيت عقد HDS. انظر متطلبات سطح مكتب Docker.
21 يونيو 2020	تجدر الإشارة إلى أنه يمكنك إعادة استخدام ملف المفتاح الخاص وطلب CSR لطلب شهادة أخرى. راجع استخدام OpenSSL لإنشاء ملف PKCS12 للحصول على التفاصيل.
30 أبريل 2021	تم تغيير متطلبات الجهاز الظاهري لمساحة القرص الصلب المحلي إلى 30 جيجابايت. راجع متطلبات المضيف الافتراضي للحصول على التفاصيل.
24 فبراير 2021	يمكن الآن تشغيل أداة إعداد HDS خلف وكيل. راجع إنشاء ملف ISO للتكوين لمضيفات HDS للحصول على التفاصيل.
2 فبراير 2021	يمكن الآن تشغيل HDS بدون ملف ISO مثبت. راجع (اختياري) إلغاء تثبيت ISO بعد تكوين HDS للحصول على التفاصيل.
11 يناير 2021	تمت إضافة معلومات حول أداة إعداد HDS والوكلاء لـ إنشاء ملف ISO للتكوين لمضيفات HDS.
13 أكتوبر 2020	تم تحديث تنزيل ملفات التثبيت.
8 أكتوبر 2020	تم تحديث إنشاء تكوين ISO لمضيفات HDS و تغيير تكوين العقدة باستخدام الأوامر لبيئات FedRAMP.
14 أغسطس عام 2020	تم تحديث إنشاء ملف ISO للتكوين لمضيفات HDS و تغيير تكوين العقدة مع التغييرات في عملية تسجيل الدخول.
5 أغسطس 2020	تم تحديث اختبار نشر أمان البيانات الهجين الخاص بك بحثًا عن التغييرات في رسائل السجل. تم تحديث متطلبات المضيف الافتراضي لإزالة الحد الأقصى لعدد المضيفين.
16 يونيو 2020	تم تحديث إزالة عقدة للتغييرات في واجهة مستخدم مركز التحكم.
4 يونيو 2020	تم تحديث إنشاء ملف ISO للتكوين لمضيفات HDS للتغييرات في الإعدادات المتقدمة التي قد تقوم بتعيينها.
29 مايو 2020	تم تحديث إنشاء ملف ISO للتكوين لمضيفات HDS لإظهار إمكانية استخدام TLS أيضًا مع قواعد بيانات SQL Server وتغييرات واجهة المستخدم والتوضيحات الأخرى.
5 مايو 2020	تم تحديث متطلبات المضيف الافتراضي لإظهار المتطلبات الجديدة لـ ESXi 6.5.
21 أبريل 2020	تم تحديث متطلبات الاتصال الخارجية مع مضيفات Americas CI الجديدة.
1 أبريل 2020	تم تحديث متطلبات الاتصال الخارجية مع معلومات حول مضيفات CI الإقليمية.
20 فبراير 2020	تم تحديث إنشاء ملف ISO للتكوين لمضيفات HDS مع معلومات حول شاشة الإعدادات المتقدمة الاختيارية الجديدة في أداة إعداد HDS.
4 فبراير 2020	تم تحديث متطلبات خادم الوكيل.
16 ديسمبر 2019	تم توضيح متطلبات وضع حل DNS الخارجي المحظور للعمل في متطلبات خادم الوكيل.
19 نوفمبر 2019	تمت إضافة معلومات حول وضع حل DNS الخارجي المحظور في الأقسام التالية: دعم البروكسي تكوين عقدة HDS لتكامل الوكيل إيقاف تشغيل وضع دقة DNS الخارجي المحظور
8 نوفمبر 2019	بإمكانك الآن تكوين إعدادات الشبكة لعقدة أثناء نشر OVA بدلاً من القيام بذلك بعد ذلك. تم تحديث الأقسام التالية وفقًا لذلك: سير عمل نشر أمان البيانات الهجينة تثبيت HDS Host OVA إعداد جهاز VM للأمان الهجين للبيانات تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 6.5. قد لا يكون الخيار متاحًا في الإصدارات السابقة.
6 سبتمبر 2019	تمت إضافة SQL Server Standard إلى متطلبات خادم قاعدة البيانات.
29 أغسطس 2019	تمت إضافة ملحق تكوين وكلاء Squid لأمان البيانات الهجينة مع إرشادات حول تكوين وكلاء Squid لتجاهل حركة مرور websocket للتشغيل السليم.
20 أغسطس 2019	تمت إضافة وتحديث الأقسام لتغطية دعم الوكيل لاتصالات عقدة Hybrid Data Security مع سحابة Webex. دعم البروكسي متطلبات الخادم الوكيل تكوين عقدة HDS لتكامل الوكيل للوصول فقط إلى محتوى دعم الوكيل لنشر موجود، راجع مقالة المساعدة دعم الوكيل لأمان البيانات الهجين وWebex Video Mesh.
13 يونيو 2019	تم تحديث تجربة سير عمل الإنتاج مع تذكير لمزامنة كائن المجموعة `HdsTrialGroup` قبل بدء التجربة إذا كانت مؤسستك تستخدم مزامنة الدليل.
6 مارس 2019	تم نقل المتطلبات والمتطلبات الأساسية إلى فصل منفصل، جهّز بيئتك. تمت إضافة نظرة عامة على تدفق مهام نشر أمان البيانات الهجين في الفصل إعداد مجموعة أمان البيانات الهجين. لاحظ أنه حتى تبدأ تجربة (باستخدام الإرشادات الموجودة في الفصل اللاحق)، فإن العقد الخاصة بك تولد إنذارًا يشير إلى أن الخدمة لم يتم تنشيطها بعد. تمت إضافة تجربة سير عمل الإنتاج في الفصل تشغيل تجربة ونقل إلى الإنتاج.
27 فبراير عام 2020	تم تصحيح مقدار مساحة القرص الصلب المحلي لكل خادم التي يجب تخصيصها عند إعداد المضيفين الافتراضيين الذين يصبحون عقد أمان البيانات الهجين، من 50 جيجابايت إلى 20 جيجابايت، لتعكس حجم القرص الذي ينشئه OVA.
26 فبراير 2019	تدعم عقد أمان البيانات الهجينة الآن الاتصالات المشفرة مع خوادم قاعدة بيانات PostgreSQL، واتصالات التسجيل المشفرة إلى خادم syslog القادر على TLS. تم تحديث إنشاء ملف ISO للتكوين لمضيفات HDS مع الإرشادات. تمت إزالة عناوين URL المقصودة من جدول "متطلبات الاتصال بالإنترنت لأجهزة VM الخاصة بعقد أمان البيانات الهجينة". يشير الجدول الآن إلى القائمة المحفوظة في جدول "عناوين URL الإضافية لخدمات Webex Teams الهجينة" ضمن متطلبات الشبكة لخدمات Webex Teams.
يناير 24, 2019	يدعم Hybrid Data Security الآن Microsoft SQL Server كقاعدة بيانات. يتم دعم SQL Server Always On (مجموعات الفشل Always On ومجموعات التوفر Always On) بواسطة برامج تشغيل JDBC المستخدمة في Hybrid Data Security. تمت إضافة محتوى مرتبط بالنشر باستخدام SQL Server. تم تصميم دعم Microsoft SQL Server لعمليات النشر الجديدة لأمن البيانات الهجينة فقط. لا ندعم حاليًا ترحيل البيانات من PostgreSQL إلى Microsoft SQL Server في عملية نشر قائمة.
5 نوفمبر 2018	تمت إضافة خطوة أولية لتنظيف أي حالات Docker hds موجودة في إنشاء ملف ISO للتكوين لمضيفات HDS و تغيير تكوين العقدة. تم تحديث خطوة مستوى الوصول للمفتاح في إنشاء ISO للتكوين لمضيفات HDS لتتناسب مع الواجهة.
19 أكتوبر 2018	قم بتقسيم معلومات اتصال جدار الحماية إلى متطلبات العقدة ومتطلبات جهاز تكوين ISO في أكمل المتطلبات الأساسية لأمان البيانات الهجينة.
31 يوليو 2018	تمت إضافة المنفذ 22 (وصول SSH) ومعلومات حول اتصالات NAT وجدار الحماية إلى أكمل المتطلبات الأساسية لأمان البيانات الهجينة.
21 مايو 2018	تم تغيير المصطلحات لتعكس إعادة تسمية العلامة التجارية لشركة Cisco Spark: أصبح Cisco Spark Hybrid Data Security الآن Hybrid Data Security. أصبح تطبيق Cisco Spark الآن تطبيق Webex App. أصبحت Cisco Collaboraton Cloud الآن عبارة عن سحابة Webex.
11 أبريل 2018	تمت إضافة مركز بيانات احتياطي للتعافي من الكوارث. تم تحديث استكمال المتطلبات الأساسية لأمان البيانات الهجينة لتحديد أن بيئة النسخ الاحتياطي يجب أن تكون في مركز بيانات مختلف. تم تحديث استرداد الكوارث باستخدام مركز البيانات الاحتياطي.
22 فبراير 2018	تمت إضافة معلومات حول عمر كلمة مرور حساب الخدمة لمدة 9 أشهر واستخدام أداة إعداد HDS لإعادة تعيين كلمات مرور حساب الخدمة، في إنشاء ملف ISO للتكوين لمضيفات HDS و تغيير تكوين العقدة.
15 فبراير 2018	في جدول متطلبات شهادة X.509 ، تم تحديد أن الشهادة لا يمكن أن تكون شهادة عامة، وأن KMS يستخدم نطاق CN، وليس أي نطاق محدد في حقول SAN الخاصة بـ x.509v3.
18 يناير 2018	تمت إضافة الملحق حركة المرور بين عقد HDS والسحابة. تمت إزالة مشكلة تم حلها من المشكلات المعروفة لأمان البيانات الهجينة. تم تغيير index.docker.io إلى .docker.io وأضيفت .cloudfront.net إلى قائمة متطلبات اتصال TCP لعقد HDS في أكمل المتطلبات الأساسية لأمان البيانات الهجينة. تم تحديث إنشاء ملف ISO للتكوين لمضيفات HDS للإشارة إلى أنه إذا لم يكن مضيف قاعدة البيانات وخادم Syslogd قابلين للحل بواسطة DNS من عقد HDS، فيجب عليك تكوينهما باستخدام عناوين IP.
2 نوفمبر 2017	تم توضيح مزامنة الدليل لـ HdsTrialGroup. تعليمات ثابتة لتحميل ملف تكوين ISO للتركيب على عقد VM.
18 أغسطس 2017	نُشر لأول مرة

ابدأ باستخدام أمان البيانات الهجين

نظرة عامة على أمن البيانات الهجينة

منذ اليوم الأول، كان أمان البيانات هو المحور الأساسي في تصميم تطبيق Webex. حجر الأساس لهذا الأمان هو تشفير المحتوى من البداية إلى النهاية، والذي يتم تمكينه من خلال عملاء تطبيق Webex الذين يتفاعلون مع خدمة إدارة المفاتيح (KMS). KMS مسؤول عن إنشاء وإدارة مفاتيح التشفير التي يستخدمها العملاء لتشفير الرسائل والملفات وفك تشفيرها ديناميكيا.

بشكل افتراضي، يحصل جميع عملاء تطبيق Webex على تشفير شامل باستخدام مفاتيح ديناميكية مخزنة في KMS السحابي، في نطاق أمان Cisco. ينقل أمان البيانات المختلط KMS والوظائف الأخرى المتعلقة بالأمان إلى مركز بيانات مؤسستك، بحيث لا أحد غيرك يحمل مفاتيح المحتوى المشفر.

هندسة مجال الأمن

تقوم بنية سحابة Webex بفصل أنواع مختلفة من الخدمات إلى مجالات منفصلة، أو مجالات ثقة، كما هو موضح أدناه.

***عوالم الفصل (بدون أمان البيانات الهجين)***

لفهم أمان البيانات الهجينة بشكل أفضل، دعونا أولاً نلقي نظرة على حالة السحابة البحتة هذه، حيث توفر شركة Cisco جميع الوظائف في مجالات السحابة الخاصة بها. إن خدمة الهوية، وهي المكان الوحيد الذي يمكن فيه ربط المستخدمين بشكل مباشر بمعلوماتهم الشخصية مثل عنوان البريد الإلكتروني، منفصلة منطقيًا وماديًا عن مجال الأمان في مركز البيانات B. وكلاهما منفصلان بدورهما عن المجال الذي يتم فيه تخزين المحتوى المشفر في النهاية، في مركز البيانات C.

في هذا الرسم التخطيطي، العميل هو تطبيق Webex الذي يعمل على الكمبيوتر المحمول الخاص بالمستخدم، وقد تم مصادقته باستخدام خدمة الهوية. عندما يقوم المستخدم بإنشاء رسالة لإرسالها إلى مساحة ما، تتم الخطوات التالية:

يقوم العميل بإنشاء اتصال آمن مع خدمة إدارة المفاتيح (KMS)، ثم يطلب مفتاحًا لتشفير الرسالة. يستخدم الاتصال الآمن ECDH، ويقوم KMS بتشفير المفتاح باستخدام مفتاح رئيسي AES-256.
يتم تشفير الرسالة قبل خروجها من العميل. يقوم العميل بإرسالها إلى خدمة الفهرسة، والتي تقوم بإنشاء فهارس بحث مشفرة للمساعدة في عمليات البحث المستقبلية عن المحتوى.
يتم إرسال الرسالة المشفرة إلى خدمة الامتثال للتحقق من الامتثال.
يتم تخزين الرسالة المشفرة في منطقة التخزين.

عند نشر Hybrid Data Security، يمكنك نقل وظائف مجال الأمان (KMS والفهرسة والامتثال) إلى مركز البيانات المحلي لديك. وتظل الخدمات السحابية الأخرى التي تشكل Webex (بما في ذلك تخزين الهوية والمحتوى) ضمن نطاق Cisco.

التعاون مع المنظمات الأخرى

قد يستخدم المستخدمون في مؤسستك تطبيق Webex بانتظام للتعاون مع المشاركين الخارجيين في مؤسسات أخرى. عندما يطلب أحد المستخدمين مفتاحًا لمساحة مملوكة لمؤسستك (لأنها تم إنشاؤها بواسطة أحد المستخدمين)، يرسل نظام إدارة المفاتيح (KMS) المفتاح إلى العميل عبر قناة مؤمنة بواسطة ECDH. ومع ذلك، عندما تمتلك منظمة أخرى المفتاح للمساحة، يقوم نظام إدارة المفاتيح الخاص بك بتوجيه الطلب إلى سحابة Webex من خلال قناة ECDH منفصلة للحصول على المفتاح من نظام إدارة المفاتيح المناسب، ثم يقوم بإرجاع المفتاح إلى المستخدم على القناة الأصلية.

تقوم خدمة KMS التي تعمل على المؤسسة A بالتحقق من صحة الاتصالات بأنظمة KMS في المؤسسات الأخرى باستخدام شهادات x.509 PKI. راجع متطلبات أمان البيانات الهجين (في هذه المقالة) للحصول على تفاصيل حول إنشاء شهادة x.509 لاستخدامها مع نشر أمان البيانات الهجين.

توقعات نشر أمن البيانات الهجين

يتطلب نشر أمان البيانات الهجين التزامًا كبيرًا من جانب العملاء والوعي بالمخاطر التي تأتي مع امتلاك مفاتيح التشفير.

لنشر أمان البيانات الهجين، يجب عليك توفير:

مركز بيانات آمن في بلد يعد موقعًا مدعومًا لخطط Cisco Webex Teams.
المعدات والبرامج والوصول إلى الشبكة الموضحة في متطلبات أمان البيانات الهجينة.

سيؤدي الفقدان الكامل لملف ISO للتكوين الذي تقوم بإنشائه لأمان البيانات الهجين أو قاعدة البيانات التي تقدمها إلى فقدان المفاتيح. يؤدي فقدان المفتاح إلى منع المستخدمين من فك تشفير محتوى المساحة والبيانات المشفرة الأخرى في تطبيق Webex. إذا حدث هذا، فيمكنك إنشاء نشر جديد، ولكن المحتوى الجديد فقط سيكون مرئيًا. لتجنب فقدان الوصول إلى البيانات، يجب عليك:

إدارة النسخ الاحتياطي واسترداد قاعدة البيانات وتكوين ISO.
كن مستعدًا لإجراء استرداد سريع للكوارث في حالة حدوث كارثة، مثل فشل قرص قاعدة البيانات أو كارثة مركز البيانات.

لا توجد آلية لنقل المفاتيح مرة أخرى إلى السحابة بعد نشر HDS.

عملية الإعداد رفيع المستوى

تغطي هذه الوثيقة إعداد وإدارة نشر أمان البيانات الهجين:

إعداد أمان البيانات الهجين—يتضمن ذلك إعداد البنية الأساسية المطلوبة وتثبيت برنامج أمان البيانات الهجين، واختبار النشر الخاص بك مع مجموعة فرعية من المستخدمين في وضع التجربة، وبمجرد اكتمال الاختبار، الانتقال إلى الإنتاج. يؤدي هذا إلى تحويل المؤسسة بأكملها لاستخدام مجموعة أمان البيانات الهجينة الخاصة بك لوظائف الأمان.
سيتم تناول مراحل الإعداد والتجربة والإنتاج بالتفصيل في الفصول الثلاثة التالية.
حافظ على نشر أمان البيانات الهجين الخاص بك—توفر سحابة Webex ترقيات مستمرة تلقائيًا. يمكن لقسم تكنولوجيا المعلومات الخاص بك توفير الدعم من المستوى الأول لهذا النشر، والاستفادة من دعم Cisco حسب الحاجة. يمكنك استخدام الإشعارات التي تظهر على الشاشة وإعداد تنبيهات عبر البريد الإلكتروني في Control Hub.
فهم التنبيهات الشائعة وخطوات استكشاف الأخطاء وإصلاحها والمشكلات المعروفة—إذا واجهت مشكلة في نشر أو استخدام Hybrid Data Security، فقد يساعدك الفصل الأخير من هذا الدليل وملحق المشكلات المعروفة في تحديد المشكلة وإصلاحها.

نموذج نشر أمن البيانات الهجين

داخل مركز بيانات مؤسستك، يمكنك نشر Hybrid Data Security كمجموعة واحدة من العقد على مضيفين افتراضيين منفصلين. تتواصل العقد مع سحابة Webex من خلال منافذ الويب الآمنة وبروتوكول HTTP الآمن.

أثناء عملية التثبيت، نوفر لك ملف OVA لإعداد الجهاز الظاهري على الأجهزة الظاهرية التي تقدمها. تستخدم أداة إعداد HDS لإنشاء ملف ISO لتكوين مجموعة مخصصة يمكنك تثبيته على كل عقدة. تستخدم مجموعة أمان البيانات الهجينة خادم Syslogd المقدم لك وقاعدة بيانات PostgreSQL أو Microsoft SQL Server. (يمكنك تكوين تفاصيل اتصال Syslogd وقاعدة البيانات في أداة إعداد HDS.)

نموذج نشر أمن البيانات الهجين

الحد الأدنى لعدد العقد التي يمكنك الحصول عليها في مجموعة هو اثنان. نوصي بثلاثة على الأقل لكل مجموعة. يضمن وجود عقد متعددة عدم انقطاع الخدمة أثناء ترقية البرنامج أو أي نشاط صيانة آخر على عقدة. (تقوم سحابة Webex بترقية عقدة واحدة فقط في كل مرة.)

تتمكن جميع العقد الموجودة في المجموعة من الوصول إلى نفس مخزن البيانات الرئيسي، وتسجيل النشاط على نفس خادم syslog. العقد نفسها لا تحمل جنسية، وتتعامل مع طلبات المفاتيح بطريقة دائرية، وفقًا لتوجيهات السحابة.

تصبح العقد نشطة عند تسجيلها في Control Hub. لإخراج عقدة فردية من الخدمة، يمكنك إلغاء تسجيلها، ثم إعادة تسجيلها لاحقًا إذا لزم الأمر.

نحن ندعم مجموعة واحدة فقط لكل منظمة.

وضع تجريبي لأمن البيانات الهجين

بعد إعداد نشر أمان البيانات الهجين، يمكنك تجربته أولاً مع مجموعة من المستخدمين التجريبيين. أثناء فترة التجربة، يستخدم هؤلاء المستخدمون مجال Hybrid Data Security المحلي الخاص بك للحصول على مفاتيح التشفير وخدمات مجال الأمان الأخرى. يستمر المستخدمون الآخرون في استخدام نطاق أمان السحابة.

إذا قررت عدم الاستمرار في النشر أثناء الفترة التجريبية وإلغاء تنشيط الخدمة، فسيفقد مستخدمو الفترة التجريبية وأي مستخدمين تفاعلوا معهم من خلال إنشاء مساحات جديدة أثناء الفترة التجريبية الوصول إلى الرسائل والمحتوى. سيظهر لهم "لا يمكن فك تشفير هذه الرسالة" في تطبيق Webex.

إذا كنت راضيًا عن أن نشرك يعمل بشكل جيد لمستخدمي الإصدار التجريبي وكنت مستعدًا لتوسيع نطاق أمان البيانات الهجين ليشمل جميع المستخدمين، فيمكنك نقل النشر إلى الإنتاج. يستمر مستخدمو الإصدار التجريبي في الوصول إلى المفاتيح التي كانت قيد الاستخدام أثناء التجربة. ومع ذلك، لا يمكنك التنقل ذهابًا وإيابًا بين وضع الإنتاج والتجربة الأصلية. إذا كان يجب عليك إلغاء تنشيط الخدمة، مثل إجراء استرداد الكوارث، فيجب عليك عند إعادة تنشيطها بدء فترة تجريبية جديدة وإعداد مجموعة المستخدمين التجريبيين للتجربة الجديدة قبل العودة إلى وضع الإنتاج. يعتمد احتفاظ المستخدمين بالوصول إلى البيانات في هذه المرحلة على ما إذا كنت قد نجحت في الاحتفاظ بنسخ احتياطية لمخزن البيانات الرئيسي وملف تكوين ISO لعقد أمان البيانات الهجين في المجموعة الخاصة بك.

مركز بيانات احتياطي للتعافي من الكوارث

أثناء النشر، يمكنك إعداد مركز بيانات احتياطي آمن. في حالة وقوع كارثة في مركز البيانات، يمكنك الفشل يدويًا في نشر البيانات ونقلها إلى مركز البيانات الاحتياطي.

قبل الفشل، يحتوي مركز البيانات A على عقد HDS نشطة وقاعدة بيانات PostgreSQL أو Microsoft SQL Server الأساسية، بينما يحتوي B على نسخة من ملف ISO مع تكوينات إضافية، وأجهزة افتراضية مسجلة لدى المنظمة، وقاعدة بيانات احتياطية. بعد الفشل، يحتوي مركز البيانات B على عقد HDS نشطة وقاعدة البيانات الأساسية، بينما يحتوي A على أجهزة افتراضية غير مسجلة ونسخة من ملف ISO، وتكون قاعدة البيانات في وضع الاستعداد. — ***التحويل اليدوي إلى مركز بيانات احتياطي***

تتم مزامنة قواعد بيانات مراكز البيانات النشطة والاحتياطية مع بعضها البعض مما يقلل من الوقت المستغرق لإجراء عملية الفشل. يتم تحديث ملف ISO لمركز البيانات الاحتياطي بتكوينات إضافية تضمن تسجيل العقد في المنظمة، ولكنها لن تتعامل مع حركة المرور. ومن ثم، تظل عقد مركز البيانات الاحتياطي محدثة دائمًا بأحدث إصدار من برنامج HDS.

يجب أن تكون عقد أمان البيانات الهجينة النشطة دائمًا في نفس مركز البيانات مثل خادم قاعدة البيانات النشط.

إعداد مركز بيانات احتياطي للتعافي من الكوارث

اتبع الخطوات التالية لتكوين ملف ISO لمركز البيانات الاحتياطي:

قبل البدء

يجب أن يعكس مركز البيانات الاحتياطي بيئة الإنتاج الخاصة بالآلات الافتراضية وقاعدة بيانات PostgreSQL أو Microsoft SQL Server الاحتياطية. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 أجهزة افتراضية تعمل على عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 أجهزة افتراضية. (راجع مركز البيانات الاحتياطي للتعافي من الكوارث للحصول على نظرة عامة على نموذج الفشل هذا.)
تأكد من تمكين مزامنة قاعدة البيانات بين قاعدة بيانات العقد النشطة والسلبية.

1	ابدأ تشغيل أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء ملف ISO للتكوين لمضيفات HDS. يجب أن يكون ملف ISO نسخة من ملف ISO الأصلي لمركز البيانات الأساسي الذي سيتم إجراء تحديثات التكوين التالية عليه.
2	بعد تكوين خادم Syslogd، انقر فوق الإعدادات المتقدمة
3	في صفحة الإعدادات المتقدمة ، أضف التكوين أدناه لوضع العقدة في الوضع السلبي. في هذا الوضع، سيتم تسجيل العقدة في المنظمة وتوصيلها بالسحابة، ولكنها لن تتعامل مع أي حركة مرور. `passiveMode: 'true'`
4	أكمل عملية التكوين واحفظ ملف ISO في مكان يمكنك العثور عليه بسهولة.
5	قم بعمل نسخة احتياطية من ملف ISO على النظام المحلي لديك. احتفظ بنسخة احتياطية آمنة. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. تقييد الوصول إلى مسؤولي أمان البيانات الهجينة فقط الذين يتعين عليهم إجراء تغييرات على التكوين.
6	في جزء التنقل الأيسر لعميل VMware vSphere، انقر بزر الماوس الأيمن فوق الجهاز الظاهري ثم انقر فوق تحرير الإعدادات..
7	انقر فوق تحرير الإعدادات >CD/DVD محرك الأقراص 1 وحدد ملف ISO الخاص بمخزن البيانات. تأكد من تحديد متصل و الاتصال عند التشغيل حتى تتمكن تغييرات التكوين المحدثة من الدخول حيز التنفيذ بعد بدء تشغيل العقد.
8	قم بتشغيل عقدة HDS وتأكد من عدم وجود أي إنذارات لمدة 15 دقيقة على الأقل.
9	كرر العملية لكل عقدة في مركز البيانات الاحتياطي. تحقق من سجلات النظام للتأكد من أن العقد في الوضع السلبي. يجب أن تكون قادرًا على عرض الرسالة "تم تكوين KMS في الوضع السلبي" في syslogs.

التصرف التالي

بعد تكوين passiveMode في ملف ISO وحفظه، يمكنك إنشاء نسخة أخرى من ملف ISO بدون تكوين passiveMode وحفظها في مكان آمن. يمكن أن تساعد هذه النسخة من ملف ISO بدون passiveMode المُهيأة في عملية الفشل السريع أثناء استرداد الكوارث. راجع استرداد الكوارث باستخدام مركز البيانات الاحتياطي للحصول على إجراءات الفشل التفصيلية.

دعم البروكسي

يدعم أمان البيانات المختلط الوكلاء الصريحين والشفافين وغير الخاضعين للتفتيش. يمكنك ربط هذه البروكسيات بالنشر الخاص بك بحيث يمكنك تأمين ومراقبة حركة المرور من المؤسسة إلى السحابة. يمكنك استخدام واجهة مسؤول النظام الأساسي على العقد لإدارة الشهادات والتحقق من حالة الاتصال العامة بعد إعداد الوكيل على العقد.

تدعم عقد أمان البيانات المختلطة خيارات الوكيل التالية:

لا يوجد وكيل— الإعداد الافتراضي إذا كنت لا تستخدم إعداد عقدة HDS Trust Store & تكوين الوكيل لدمج الوكيل. لا يلزم تحديث الشهادة.
وكيل شفاف غير فاحص—العقد غير مهيأة لاستخدام عنوان خادم وكيل محدد ولا ينبغي أن تتطلب أي تغييرات للعمل مع وكيل غير فاحص. لا يلزم تحديث الشهادة.
نفق شفاف أو وكيل تفتيش— لم يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTP أو HTTPS على العقد. ومع ذلك ، تحتاج العقد إلى شهادة جذر بحيث تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).
الوكيل الصريح— باستخدام الوكيل الصريح، يمكنك إخبار عقد HDS بخادم الوكيل ونظام المصادقة الذي يجب استخدامه. لتكوين وكيل صريح، يجب إدخال المعلومات التالية على كل عقدة:
1. وكيل IP/FQDN—العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.
2. منفذ الوكيل—رقم المنفذ الذي يستخدمه الوكيل للاستماع إلى حركة المرور التي يتم التوكيل إليها.
3. بروتوكول الوكيل—اعتمادًا على ما يدعمه خادم الوكيل الخاص بك، اختر بين البروتوكولات التالية:
  - HTTP—يعرض ويتحكم في جميع الطلبات التي يرسلها العميل.
  - HTTPS—يوفر قناة للخادم. يتلقى العميل شهادة الخادم ويتحقق من صحتها.
4. نوع المصادقة—اختر من بين أنواع المصادقة التالية:
  - لا شيء—لا يلزم إجراء أي مصادقة إضافية.
    
    متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.
  - أساسي— يستخدم لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64.
    
    متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.
    
    يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.
  - ملخص— يستخدم لتأكيد الحساب قبل إرسال المعلومات الحساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.
    
    متوفر فقط إذا قمت بتحديد HTTPS كبروتوكول وكيل.
    
    يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

مثال على عقد أمان البيانات المختلطة والوكيل

يوضح هذا الرسم التخطيطي مثالا على الاتصال بين أمان البيانات المختلطة والشبكة والوكيل. بالنسبة لخيارات الفحص الشفاف ووكيل الفحص الصريح HTTPS ، يجب تثبيت نفس شهادة الجذر على الوكيل وعلى عقد أمان البيانات المختلطة.

وضع دقة DNS الخارجي المحظور (تكوينات الوكيل الصريحة)

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. في عمليات النشر ذات تكوينات الوكيل الصريحة التي لا تسمح بدقة DNS الخارجية للعملاء الداخليين، إذا لم تتمكن العقدة من الاستعلام عن خوادم DNS، فإنها تنتقل تلقائيا إلى وضع حل DNS الخارجي المحظور. في هذا الوضع، يمكن متابعة تسجيل العقدة واختبارات اتصال الوكيل الأخرى.

جهز بيئتك

متطلبات أمن البيانات الهجينة

متطلبات ترخيص Cisco Webex

لنشر أمان البيانات الهجين:

يجب أن يكون لديك Pro Pack لـ Cisco Webex Control Hub. (يرى https://www.cisco.com/go/pro-pack.)

متطلبات سطح مكتب Docker

قبل تثبيت عقد HDS، ستحتاج إلى Docker Desktop لتشغيل برنامج الإعداد. قامت Docker مؤخرًا بتحديث نموذج الترخيص الخاص بها. قد تتطلب مؤسستك اشتراكًا مدفوعًا لـ Docker Desktop. للحصول على التفاصيل، راجع منشور مدونة Docker، " Docker يقوم بتحديث وتوسيع اشتراكات منتجاتنا".

يمكن للعملاء الذين لا يملكون ترخيص Docker Desktop استخدام أداة إدارة حاويات مفتوحة المصدر مثل Podman Desktop لتشغيل الحاويات وإدارتها وإنشائها. راجع تشغيل أداة إعداد HDS باستخدام Podman Desktop للحصول على التفاصيل.

متطلبات شهادة X.509

يجب أن تفي سلسلة الشهادة بالمتطلبات التالية:

الجدول 1. متطلبات شهادة X.509 لنشر أمان البيانات الهجينة
المتطلبات	التفاصيل
تم التوقيع عليه من قبل هيئة إصدار الشهادات الموثوقة (CA)	بشكل افتراضي، نثق في السلطات المصدقة في قائمة Mozilla (باستثناء WoSign وStartCom) في https://wiki.mozilla.org/CA:IncludedCAs.
يحمل اسم نطاق الاسم الشائع (CN) الذي يحدد نشر أمان البيانات الهجين الخاص بك ليست شهادة عامة	لا يلزم أن تكون الشبكة المحلية قابلة للوصول أو مضيفًا مباشرًا. نوصيك باستخدام اسم يعكس مؤسستك، على سبيل المثال، `hds.company.com`. يجب ألا يحتوي CN على * (بطاقة عامة). يتم استخدام CN للتحقق من عقد أمان البيانات الهجينة لعملاء تطبيق Webex. تستخدم كافة عقد أمان البيانات الهجينة في مجموعتك نفس الشهادة. يقوم نظام KMS الخاص بك بتحديد نفسه باستخدام نطاق CN، وليس أي نطاق تم تعريفه في حقول SAN x.509v3. بمجرد تسجيل عقدة باستخدام هذه الشهادة، لن ندعم تغيير اسم نطاق CN. اختر المجال الذي يمكن تطبيقه على كل من عمليات النشر التجريبية والإنتاجية.
توقيع غير SHA1	لا يدعم برنامج KMS توقيعات SHA1 للتحقق من صحة الاتصالات بأنظمة KMS الخاصة بالمؤسسات الأخرى.
تم تنسيقه كـ PKCS محمي بكلمة مرور #12 ملف استخدم الاسم الودود `kms-private-key` لوضع علامة على الشهادة والمفتاح الخاص وأي شهادات وسيطة للتحميل.	بإمكانك استخدام محول مثل OpenSSL لتغيير تنسيق شهادتك. سوف تحتاج إلى إدخال كلمة المرور عند تشغيل أداة إعداد HDS.

لا يفرض برنامج KMS استخدام المفتاح أو قيود استخدام المفتاح الممتدة. تتطلب بعض سلطات الشهادات تطبيق قيود استخدام المفتاح الموسعة على كل شهادة، مثل مصادقة الخادم. لا بأس من استخدام مصادقة الخادم أو الإعدادات الأخرى.

متطلبات المضيف الافتراضي

تحتوي المضيفات الافتراضية التي ستقوم بإعدادها كعقد أمان بيانات هجينة في مجموعتك على المتطلبات التالية:

على الأقل مضيفين منفصلين (يوصى بثلاثة) متواجدين في نفس مركز البيانات الآمن
تم تثبيت VMware ESXi 7.0 أو 8.0 وتشغيله.

يجب عليك الترقية إذا كان لديك إصدار سابق من ESXi.
الحد الأدنى 4 وحدات معالجة مركزية افتراضية، وذاكرة رئيسية 8 جيجابايت، ومساحة قرص ثابت محلي 30 جيجابايت لكل خادم

متطلبات خادم قاعدة البيانات

إنشاء قاعدة بيانات جديدة لتخزين المفاتيح. لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، يتم إنشاء مخطط قاعدة البيانات.

هناك خياران لخادم قاعدة البيانات. المتطلبات لكل منها هي كما يلي:

الجدول رقم 2. متطلبات خادم قاعدة البيانات حسب نوع قاعدة البيانات
بوستجريس كيو إل	مايكروسوفت إس كيو إل سيرفر
تم تثبيت PostgreSQL 14 أو 15 أو 16 وتشغيله.	تم تثبيت SQL Server 2016، أو 2017، أو 2019، أو 2022 (Enterprise أو Standard). يتطلب SQL Server 2016 Service Pack 2 والتحديث التراكمي 2 أو الإصدار الأحدث.
الحد الأدنى 8 وحدات معالجة مركزية افتراضية، وذاكرة رئيسية 16 جيجابايت، ومساحة كافية على القرص الصلب والمراقبة لضمان عدم تجاوزها (يوصى بـ 2 تيرابايت إذا كنت تريد تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)	الحد الأدنى 8 وحدات معالجة مركزية افتراضية، وذاكرة رئيسية 16 جيجابايت، ومساحة كافية على القرص الصلب والمراقبة لضمان عدم تجاوزها (يوصى بـ 2 تيرابايت إذا كنت تريد تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

يقوم برنامج HDS حاليًا بتثبيت إصدارات برنامج التشغيل التالية للتواصل مع خادم قاعدة البيانات:

بوستجريس كيو إل	مايكروسوفت إس كيو إل سيرفر
برنامج تشغيل Postgres JDBC 42.2.5	برنامج تشغيل SQL Server JDBC 4.6 يدعم إصدار برنامج التشغيل هذا SQL Server Always On ( Always On Failover Cluster Instances و Always On availability groups).

بوستجريس كيو إل

مايكروسوفت إس كيو إل سيرفر

برنامج تشغيل Postgres JDBC 42.2.5

برنامج تشغيل SQL Server JDBC 4.6

يدعم إصدار برنامج التشغيل هذا SQL Server Always On ( Always On Failover Cluster Instances و Always On availability groups).

متطلبات إضافية لمصادقة Windows على Microsoft SQL Server

إذا كنت تريد أن تستخدم عقد HDS مصادقة Windows للحصول على حق الوصول إلى قاعدة بيانات مخزن المفاتيح على Microsoft SQL Server، فأنت بحاجة إلى التكوين التالي في بيئتك:

يجب مزامنة عقد HDS والبنية الأساسية لـ Active Directory وMS SQL Server مع NTP.
يجب أن يحتوي حساب Windows الذي تقدمه لعقد HDS على read/write الوصول إلى قاعدة البيانات.
يجب أن تكون خوادم DNS التي تقدمها لعقد HDS قادرة على حل مركز توزيع المفتاح (KDC) الخاص بك.
يمكنك تسجيل مثيل قاعدة بيانات HDS على Microsoft SQL Server الخاص بك باعتباره اسم الخدمة الرئيسي (SPN) على Active Directory الخاص بك. راجع تسجيل اسم رئيسي للخدمة لاتصالات Kerberos.

تحتاج أداة إعداد HDS ومشغل HDS وKMS المحلي إلى استخدام مصادقة Windows للوصول إلى قاعدة بيانات مخزن المفاتيح. إنهم يستخدمون التفاصيل من تكوين ISO الخاص بك لإنشاء SPN عند طلب الوصول باستخدام مصادقة Kerberos.

متطلبات الاتصال الخارجية

قم بتكوين جدار الحماية الخاص بك للسماح بالاتصالات التالية لتطبيقات HDS:

التطبيق	البروتوكول	المنفذ	الاتجاه من التطبيق	الوجهة
عقد أمان البيانات الهجينة	TCP	443	HTTPS و WSS الصادر	خوادم Webex: * .wbx2.com .ciscospark.com جميع مضيفات الهوية المشتركة عناوين URL الأخرى المدرجة لأمان البيانات الهجين في جدول عناوين URL الإضافية لخدمات Webex الهجينة* ضمن متطلبات الشبكة لخدمات Webex
أداة إعداد HDS	TCP	443	HTTPS الصادر	* .wbx2.com جميع مضيفات الهوية المشتركة hub.docker.com

تعمل عقد أمان البيانات الهجينة مع ترجمة الوصول إلى الشبكة (NAT) أو خلف جدار الحماية، طالما يسمح NAT أو جدار الحماية بالاتصالات الصادرة المطلوبة إلى وجهات المجال في الجدول السابق. بالنسبة للاتصالات الواردة إلى عقد أمان البيانات الهجينة، لا ينبغي أن تكون المنافذ مرئية من الإنترنت. داخل مركز البيانات الخاص بك، يحتاج العملاء إلى الوصول إلى عقد أمان البيانات الهجين على منافذ TCP 443 و22، لأغراض إدارية.

عناوين URL لمضيفي الهوية المشتركة (CI) خاصة بالمنطقة. هؤلاء هم مضيفو CI الحاليون:

المنطقة	عناوين URL لمضيف الهوية المشتركة
الأمريكتان	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
الاتحاد الأوروبي	https://idbroker-eu.webex.com https://identity-eu.webex.com
كندا	https://idbroker-ca.webex.com https://identity-ca.webex.com
سنغافورة	https://idbroker-sg.webex.com https://identity-sg.webex.com
الإمارات العربية المتحدة	https://idbroker-ae.webex.com https://identity-ae.webex.com

متطلبات الخادم الوكيل

نحن ندعم رسميا حلول البروكسي التالية التي يمكن أن تتكامل مع عقد أمان البيانات المختلطة الخاصة بك.
- وكيل شفاف - جهاز أمان الويب من Cisco (WSA).
- وكيل صريح - الحبار.
  
  يمكن أن تتداخل وكلاء Squid الذين يقومون بفحص حركة مرور HTTPS مع إنشاء websocket (wss:) الاتصالات. للتغلب على هذه المشكلة، راجع تكوين وكلاء Squid لأمان البيانات الهجينة.
نحن ندعم مجموعات أنواع المصادقة التالية للوكلاء الصريحين:
- لا توجد مصادقة باستخدام HTTP أو HTTPS
- المصادقة الأساسية باستخدام HTTP أو HTTPS
- تلخيص المصادقة باستخدام HTTPS فقط
للحصول على وكيل فحص شفاف أو وكيل HTTPS صريح، يجب أن يكون لديك نسخة من الشهادة الجذرية للوكيل. تخبرك إرشادات النشر الواردة في هذا الدليل بكيفية تحميل النسخة إلى مخازن الثقة الخاصة بعقد أمان البيانات المختلطة.
يجب تكوين الشبكة التي تستضيف عقد HDS لإجبار حركة مرور TCP الصادرة على المنفذ 443 على التوجيه عبر الوكيل.
قد تتداخل الوكلاء الذين يفحصون حركة مرور الويب مع اتصالات مقبس الويب. إذا حدثت هذه المشكلة، فإن تجاوز (وليس فحص) حركة المرور إلى wbx2.com و ciscospark.com سوف يحل المشكلة.

أكمل المتطلبات الأساسية لأمن البيانات الهجينة

استخدم قائمة التحقق هذه للتأكد من استعدادك لتثبيت وتكوين مجموعة أمان البيانات الهجينة الخاصة بك.

1	تأكد من تمكين مؤسسة Webex الخاصة بك لـ Pro Pack لـ Cisco Webex Control Hub، واحصل على بيانات اعتماد حساب يتمتع بحقوق مسؤول المؤسسة الكاملة. اتصل بشريك Cisco أو مدير الحساب الخاص بك للحصول على المساعدة في هذه العملية.
2	اختر اسم نطاق لنشر HDS الخاص بك (على سبيل المثال، `hds.company.com`) واحصل على سلسلة شهادات تحتوي على شهادة X.509، والمفتاح الخاص، وأي شهادات وسيطة. يجب أن تفي سلسلة الشهادة بالمتطلبات الواردة في متطلبات شهادة X.509.
3	قم بإعداد مضيفين افتراضيين متطابقين ستقوم بإعدادهم كعقد أمان بيانات هجينة في مجموعتك. تحتاج إلى مضيفين منفصلين على الأقل (يوصى بثلاثة) متواجدين في نفس مركز البيانات الآمن، والذين يستوفون المتطلبات المذكورة في متطلبات المضيف الافتراضي.
4	قم بإعداد خادم قاعدة البيانات الذي سيعمل كمخزن بيانات رئيسي للمجموعة، وفقًا لمتطلبات خادم قاعدة البيانات. يجب أن يكون خادم قاعدة البيانات موجودًا في مركز البيانات الآمن مع المضيفين الافتراضيين. إنشاء قاعدة بيانات لتخزين المفاتيح. (يجب عليك إنشاء قاعدة البيانات هذه - لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، يتم إنشاء مخطط قاعدة البيانات.) جمع التفاصيل التي ستستخدمها العقد للتواصل مع خادم قاعدة البيانات: اسم المضيف أو عنوان IP (المضيف) والمنفذ اسم قاعدة البيانات (dbname) لتخزين المفتاح اسم المستخدم وكلمة المرور للمستخدم الذي يتمتع بجميع الامتيازات على قاعدة بيانات تخزين المفاتيح
5	للتعافي السريع من الكوارث، قم بإعداد بيئة احتياطية في مركز بيانات مختلف. تعكس بيئة النسخ الاحتياطي بيئة الإنتاج الخاصة بالأجهزة الافتراضية وخادم قاعدة بيانات النسخ الاحتياطي. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 أجهزة افتراضية تعمل على عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 أجهزة افتراضية.
6	قم بإعداد مضيف syslog لجمع السجلات من العقد الموجودة في المجموعة. قم بتجميع عنوان الشبكة ومنفذ syslog (الافتراضي هو UDP 514).
7	إنشاء سياسة نسخ احتياطي آمنة لعقد أمان البيانات الهجينة وخادم قاعدة البيانات ومضيف syslog. على الأقل، لمنع فقدان البيانات غير القابلة للاسترداد، يجب عليك عمل نسخة احتياطية لقاعدة البيانات وملف ISO الخاص بالتكوين الذي تم إنشاؤه لعقد Hybrid Data Security. نظرًا لأن عقد أمان البيانات الهجين تخزن المفاتيح المستخدمة في تشفير وفك تشفير المحتوى، فإن الفشل في الحفاظ على النشر التشغيلي سيؤدي إلى خسارة غير قابلة للاسترداد لهذا المحتوى. يقوم عملاء تطبيق Webex بتخزين مفاتيحهم مؤقتًا، لذا قد لا يكون الانقطاع ملحوظًا على الفور ولكنه سيصبح واضحًا بمرور الوقت. على الرغم من أنه من المستحيل منع الانقطاعات المؤقتة، إلا أنه يمكن إصلاحها. ومع ذلك، فإن الخسارة الكاملة (عدم توفر نسخ احتياطية) لقاعدة البيانات أو ملف ISO للتكوين سوف تؤدي إلى عدم إمكانية استرداد بيانات العملاء. ومن المتوقع أن يقوم مشغلو عقد أمان البيانات الهجين بالحفاظ على نسخ احتياطية متكررة لقاعدة البيانات وملف ISO للتكوين، وأن يكونوا مستعدين لإعادة بناء مركز بيانات أمان البيانات الهجين في حالة حدوث فشل كارثي.
8	تأكد من أن تكوين جدار الحماية الخاص بك يسمح بالاتصال بعقد أمان البيانات الهجينة كما هو موضح في متطلبات الاتصال الخارجية.
9	قم بتثبيت Docker ( https://www.docker.com) على أي جهاز محلي يعمل بنظام تشغيل مدعوم (Microsoft Windows 10 Professional أو Enterprise 64 بت، أو Mac OSX Yosemite 10.10.3 أو أعلى) مع متصفح ويب يمكنه الوصول إليه على ⁦http://127.0.0.1:8080.⁩ تستخدم مثيل Docker لتنزيل أداة إعداد HDS وتشغيلها، والتي تقوم ببناء معلومات التكوين المحلية لجميع عقد Hybrid Data Security. قد تحتاج مؤسستك إلى ترخيص Docker Desktop. راجع متطلبات سطح مكتب Docker للحصول على مزيد من المعلومات. لتثبيت أداة إعداد HDS وتشغيلها، يجب أن يتمتع الجهاز المحلي بالاتصال الموضح في متطلبات الاتصال الخارجية.
10	إذا كنت تقوم بدمج وكيل مع Hybrid Data Security، فتأكد من أنه يلبي متطلبات Proxy Server.
11	إذا كانت مؤسستك تستخدم مزامنة الدليل، فقم بإنشاء مجموعة في Active Directory تسمى `HdsTrialGroup`، وأضف مستخدمي الإصدار التجريبي. يمكن أن تضم المجموعة التجريبية ما يصل إلى 250 مستخدمًا. يجب مزامنة الكائن `HdsTrialGroup` مع السحابة قبل أن تتمكن من بدء تجربة لمنظمتك. لمزامنة كائن المجموعة، حدده في تكوين موصل الدليل > قائمة اختيار الكائن. (للحصول على تعليمات مفصلة، راجع دليل النشر لـ Cisco Directory Connector.) يتم تعيين مفاتيح مساحة معينة من قبل منشئ المساحة. عند تحديد مستخدمي الإصدار التجريبي، ضع في اعتبارك أنه إذا قررت إلغاء تنشيط نشر أمان البيانات الهجين بشكل دائم، فسيفقد جميع المستخدمين إمكانية الوصول إلى المحتوى في المساحات التي أنشأها مستخدمو الإصدار التجريبي. تصبح الخسارة واضحة بمجرد قيام تطبيقات المستخدمين بتحديث نسخهم المخزنة مؤقتًا من المحتوى.

إعداد مجموعة أمان بيانات هجينة

سير عمل نشر أمان البيانات الهجينة

قبل البدء

1	تنزيل ملفات التثبيت قم بتنزيل ملف OVA على جهازك المحلي لاستخدامه لاحقًا.
2	إنشاء ملف ISO للتكوين لمضيفات HDS استخدم أداة إعداد HDS لإنشاء ملف تكوين ISO لعقد أمان البيانات الهجين.
3	تثبيت HDS Host OVA قم بإنشاء جهاز افتراضي من ملف OVA وقم بإجراء التكوين الأولي، مثل إعدادات الشبكة. تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0 و8.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.
4	إعداد جهاز VM للأمان الهجين للبيانات قم بتسجيل الدخول إلى وحدة التحكم VM وقم بتعيين بيانات اعتماد تسجيل الدخول. قم بتكوين إعدادات الشبكة للعقدة إذا لم تقم بتكوينها في وقت نشر OVA.
5	تحميل وتثبيت ISO لتكوين HDS قم بتكوين الجهاز الافتراضي من ملف تكوين ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.
6	تكوين عقدة HDS لتكامل الوكيل إذا كانت بيئة الشبكة تتطلب تكوين وكيل، فحدد نوع الوكيل الذي ستستخدمه للعقدة، وأضف شهادة الوكيل إلى مخزن الثقة إذا لزم الأمر.
7	تسجيل العقدة الأولى في المجموعة قم بتسجيل الجهاز الافتراضي مع سحابة Cisco Webex كعقدة أمان بيانات هجينة.
8	إنشاء وتسجيل المزيد من العقد أكمل إعداد المجموعة.
9	حتى تبدأ التجربة، ستولد عقدك إنذارًا يشير إلى أن خدمتك لم يتم تنشيطها بعد.

تنزيل ملفات التثبيت

في هذه المهمة، تقوم بتنزيل ملف OVA على جهازك (وليس على الخوادم التي قمت بإعدادها كعقد أمان بيانات هجينة). يمكنك استخدام هذا الملف لاحقًا في عملية التثبيت.

1	قم بتسجيل الدخول إلى https://admin.webex.com، ثم انقر فوق الخدمات.
2	في قسم الخدمات الهجينة، ابحث عن بطاقة أمان البيانات الهجينة، ثم انقر فوق إعداد. إذا كانت البطاقة معطلة أو لا تراها، فاتصل بفريق حسابك أو مؤسستك الشريكة. أعطهم رقم حسابك واطلب منهم تمكين مؤسستك من أمان البيانات الهجين. للعثور على رقم الحساب، انقر فوق الترس الموجود في أعلى اليمين، بجوار اسم مؤسستك. يمكنك أيضًا تنزيل OVA في أي وقت من قسم المساعدة في صفحة الإعدادات. في بطاقة أمان البيانات الهجينة، انقر فوق تحرير الإعدادات لفتح الصفحة. ثم انقر فوق تنزيل برنامج Hybrid Data Security في قسم المساعدة. لن تكون الإصدارات الأقدم من حزمة البرامج (OVA) متوافقة مع أحدث ترقيات أمان البيانات الهجينة. قد يؤدي هذا إلى حدوث مشكلات أثناء ترقية التطبيق. تأكد من تنزيل أحدث إصدار من ملف OVA.
3	حدد لا للإشارة إلى أنك لم تقم بإعداد العقدة بعد، ثم انقر فوق التالي. يبدأ تنزيل ملف OVA تلقائيًا. احفظ الملف في مكان على جهازك.
4	اختياريًا، انقر فوق فتح دليل النشر للتحقق من توفر إصدار أحدث من هذا الدليل.

إنشاء ملف ISO للتكوين لمضيفات HDS

إن عملية إعداد أمان البيانات الهجينة تقوم بإنشاء ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف أمان البيانات الهجين الخاص بك.

قبل البدء

تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Control Hub مع حقوق المسؤول الكاملة لمؤسستك.

إذا لم يكن لديك ترخيص Docker Desktop، فيمكنك استخدام Podman Desktop لتشغيل أداة إعداد HDS للخطوات من 1 إلى 5 في الإجراء أدناه. راجع تشغيل أداة إعداد HDS باستخدام Podman Desktop للحصول على التفاصيل.

إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم، المنفذ، بيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

الوصف	المتغير
وكيل HTTP بدون مصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
وكيل HTTPS بدون مصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
وكيل HTTP مع المصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
وكيل HTTPS مع المصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

يحتوي ملف ISO للتكوين الذي تقوم بإنشائه على المفتاح الرئيسي الذي يقوم بتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في كل مرة تقوم فيها بإجراء تغييرات على التكوين، مثل هذه:
- بيانات اعتماد قاعدة البيانات
- تحديثات الشهادة
- تغييرات على سياسة الترخيص
إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL Server الخاص بك لـ TLS.

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

docker login -u hdscustomersro

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

docker pull ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية بدون وكيل:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

في البيئات العادية باستخدام وكيل HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

في البيئات العادية مع وكيل HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

في بيئات FedRAMP بدون وكيل:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

في بيئات FedRAMP باستخدام وكيل HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

في بيئات FedRAMP باستخدام وكيل HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

لا تدعم أداة الإعداد الاتصال بـ localhost عبر http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بـ localhost.

استخدم متصفح الويب للانتقال إلى localhost، http://127.0.0.1:8080، وأدخل اسم مستخدم مسؤول العميل لـ Control Hub عند المطالبة.

تستخدم الأداة هذا الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لهذا الحساب. ثم تعرض الأداة مطالبة تسجيل الدخول القياسية.

عند مطالبتك بذلك، أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول عميل Control Hub، ثم انقر فوق تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة لأمان البيانات الهجين.

في صفحة نظرة عامة على أداة الإعداد، انقر فوق البدء.

في صفحة استيراد ISO، لديك الخيارات التالية:

لا—إذا كنت تقوم بإنشاء عقدة HDS الأولى، فلن يكون لديك ملف ISO لتحميله.
نعم—إذا قمت بالفعل بإنشاء عقد HDS، فقم بتحديد ملف ISO الخاص بك في الاستعراض وقم بتحميله.

تأكد من أن شهادة X.509 الخاصة بك تلبي المتطلبات المذكورة في متطلبات شهادة X.509.

إذا لم تقم بتحميل شهادة من قبل، فقم بتحميل شهادة X.509، وأدخل كلمة المرور، ثم انقر فوق متابعة.
إذا كانت شهادتك جيدة، انقر فوق متابعة.
إذا انتهت صلاحية شهادتك أو كنت تريد استبدالها، حدد لا لـ هل تريد الاستمرار في استخدام سلسلة شهادة HDS والمفتاح الخاص من ISO السابقة؟. قم بتحميل شهادة X.509 جديدة، وأدخل كلمة المرور، ثم انقر فوق متابعة.

أدخل عنوان قاعدة البيانات والحساب الخاص بـ HDS للوصول إلى مخزن البيانات الرئيسي الخاص بك:

حدد نوع قاعدة البيانات الخاصة بك(PostgreSQL أو Microsoft SQL Server).

إذا قمت باختيار Microsoft SQL Server، فستحصل على حقل نوع المصادقة.
(Microsoft SQL Server فقط) حدد نوع المصادقة:
- المصادقة الأساسية: يجب أن يكون لديك اسم حساب SQL Server محلي في حقل اسم المستخدم.
- مصادقة Windows: يجب أن يكون لديك حساب Windows بالتنسيق username@DOMAIN في حقل اسم المستخدم.
أدخل عنوان خادم قاعدة البيانات في النموذج : أو :.

مثال:
dbhost.example.org:1433 أو 198.51.100.17:1433

يمكنك استخدام عنوان IP للمصادقة الأساسية، إذا لم تتمكن العقد من استخدام DNS لحل اسم المضيف.

إذا كنت تستخدم مصادقة Windows، فيجب عليك إدخال اسم المجال المؤهل بالكامل بالتنسيق dbhost.example.org:1433
أدخل اسم قاعدة البيانات.
أدخل اسم المستخدم و كلمة المرور للمستخدم الذي يتمتع بجميع الامتيازات على قاعدة بيانات تخزين المفاتيح.

حدد وضع اتصال قاعدة بيانات TLS:

الوضع	الوصف
تفضيل TLS (الخيار الافتراضي)	لا تتطلب عقد HDS بروتوكول TLS للاتصال بخادم قاعدة البيانات. إذا قمت بتمكين TLS على خادم قاعدة البيانات، فستحاول العقد إجراء اتصال مشفر.
يتطلب TLS	تتصل عقد HDS فقط إذا كان خادم قاعدة البيانات قادرًا على التفاوض على TLS.
تتطلب TLS والتحقق من توقيع الشهادة	لا ينطبق هذا الوضع على قواعد بيانات SQL Server. تتصل عقد HDS فقط إذا كان خادم قاعدة البيانات قادرًا على التفاوض على TLS. بعد إنشاء اتصال TLS، تقوم العقدة بمقارنة مُوقّع الشهادة من خادم قاعدة البيانات مع هيئة الشهادة في شهادة جذر قاعدة البيانات. إذا لم يتطابقا، تقوم العقدة بإسقاط الاتصال. استخدم عنصر التحكم شهادة جذر قاعدة البيانات الموجود أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.
تتطلب TLS والتحقق من مُوقّع الشهادة واسم المضيف	تتصل عقد HDS فقط إذا كان خادم قاعدة البيانات قادرًا على التفاوض على TLS. بعد إنشاء اتصال TLS، تقوم العقدة بمقارنة مُوقّع الشهادة من خادم قاعدة البيانات مع هيئة الشهادة في شهادة جذر قاعدة البيانات. إذا لم يتطابقا، تقوم العقدة بإسقاط الاتصال. تتحقق العقد أيضًا من أن اسم المضيف في شهادة الخادم يتطابق مع اسم المضيف في حقل مضيف قاعدة البيانات والمنفذ. يجب أن تتطابق الأسماء تمامًا، وإلا ستفقد العقدة الاتصال. استخدم عنصر التحكم شهادة جذر قاعدة البيانات الموجود أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

عند تحميل شهادة الجذر (إذا لزم الأمر) والنقر فوق متابعة، تقوم أداة إعداد HDS باختبار اتصال TLS بخادم قاعدة البيانات. وتقوم الأداة أيضًا بالتحقق من مُوقّع الشهادة واسم المضيف، إذا كان ذلك ممكنًا. إذا فشل الاختبار، تعرض الأداة رسالة خطأ تصف المشكلة. يمكنك اختيار ما إذا كنت تريد تجاهل الخطأ ومواصلة الإعداد. (بسبب اختلافات الاتصال، قد تتمكن عقد HDS من إنشاء اتصال TLS حتى إذا لم يتمكن جهاز أداة إعداد HDS من اختباره بنجاح.)

في صفحة سجلات النظام، قم بتكوين خادم Syslogd الخاص بك:

أدخل عنوان URL لخادم syslog.

إذا لم يكن الخادم قابلاً للحل بواسطة DNS من العقد الخاصة بمجموعة HDS الخاصة بك، فاستخدم عنوان IP في عنوان URL.

مثال:
udp://10.92.43.23:514 يشير إلى تسجيل الدخول إلى مضيف Syslogd 10.92.43.23 على منفذ UDP 514.
إذا قمت بإعداد الخادم الخاص بك لاستخدام تشفير TLS، فتحقق من هل تم تكوين خادم syslog الخاص بك لتشفير SSL؟.

إذا قمت بتحديد مربع الاختيار هذا، فتأكد من إدخال عنوان URL الخاص بـ TCP مثل tcp://10.92.43.23:514.
من القائمة المنسدلة Choose syslog record termination ، اختر الإعداد المناسب لملف ISO الخاص بك: يتم استخدام Choose أو Newline لـ Graylog وRsyslog TCP
- بايت فارغ -- \x00
- سطر جديد -- \n—حدد هذا الخيار لـ Graylog وRsyslog TCP.
انقر على متابعة.

(اختياري) يمكنك تغيير القيمة الافتراضية لبعض معلمات اتصال قاعدة البيانات في الإعدادات المتقدمة. بشكل عام، هذه المعلمة هي المعلمة الوحيدة التي قد ترغب في تغييرها:

app_datasource_connection_pool_maxSize: 10

انقر فوق متابعة على شاشة إعادة تعيين كلمة مرور حسابات الخدمة.

تتمتع كلمات مرور حسابات الخدمة بفترة صلاحية تصل إلى تسعة أشهر. استخدم هذه الشاشة عندما تقترب كلمات المرور الخاصة بك من تاريخ انتهاء الصلاحية أو عندما تريد إعادة تعيينها لإبطال ملفات ISO السابقة.

انقر فوق تنزيل ملف ISO. احفظ الملف في مكان يمكنك العثور عليه بسهولة.

قم بعمل نسخة احتياطية من ملف ISO على النظام المحلي لديك.

احتفظ بنسخة احتياطية آمنة. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. تقييد الوصول إلى مسؤولي أمان البيانات الهجينة فقط الذين يتعين عليهم إجراء تغييرات على التكوين.

لإيقاف تشغيل أداة الإعداد، اكتب CTRL+C.

التصرف التالي

قم بعمل نسخة احتياطية لملف ISO الخاص بالتكوين. تحتاج إليه لإنشاء المزيد من العقد للاسترداد، أو لإجراء تغييرات على التكوين. إذا فقدت جميع نسخ ملف ISO، فستفقد أيضًا المفتاح الرئيسي. ليس من الممكن استرداد المفاتيح من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

ليس لدينا نسخة من هذا المفتاح أبدًا ولا يمكننا مساعدتك إذا فقدته.

تثبيت HDS Host OVA

استخدم هذا الإجراء لإنشاء جهاز افتراضي من ملف OVA.

1	استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى المضيف الظاهري ESXi.
2	حدد ملف > نشر قالب OVF.
3	في المعالج، حدد موقع ملف OVA الذي قمت بتنزيله مسبقًا، ثم انقر فوق التالي.
4	في صفحة تحديد اسم ومجلد ، أدخل اسم الجهاز الظاهري للعقدة (على سبيل المثال، "HDS_Node_1")، واختر موقعًا يمكن أن يوجد فيه نشر عقدة الجهاز الظاهري، ثم انقر فوق التالي.
5	في صفحة تحديد مورد الحوسبة ، اختر مورد الحوسبة الوجهة، ثم انقر فوق التالي. يتم تشغيل فحص التحقق. بعد الانتهاء، تظهر تفاصيل القالب.
6	قم بالتحقق من تفاصيل القالب ثم انقر فوق التالي.
7	إذا طُلب منك اختيار تكوين الموارد في صفحة التكوين ، فانقر فوق 4 وحدة المعالجة المركزية ثم انقر فوق التالي.
8	في صفحة تحديد التخزين ، انقر فوق التالي لقبول تنسيق القرص الافتراضي وسياسة تخزين الجهاز الظاهري.
9	في صفحة تحديد الشبكات ، اختر خيار الشبكة من قائمة الإدخالات لتوفير الاتصال المطلوب بالجهاز الافتراضي.
10	في صفحة تخصيص القالب ، قم بتكوين إعدادات الشبكة التالية: اسم المضيف—أدخل اسم المضيف والنطاق (FQDN) أو اسم مضيف مكون من كلمة واحدة للعقدة. لا تحتاج إلى تعيين المجال ليتطابق مع المجال الذي استخدمته للحصول على شهادة X.509. لضمان تسجيل ناجح في السحابة، استخدم فقط الأحرف الصغيرة في FQDN أو اسم المضيف الذي قمت بتعيينه للعقدة. الأحرف الكبيرة غير مدعومة في الوقت الحالي. يجب ألا يتجاوز الطول الإجمالي لـ FQDN 64 حرفًا. عنوان IP— أدخل عنوان IP للواجهة الداخلية للعقدة. يجب أن يكون لعقدتك عنوان IP داخلي واسم DNS. لا يتم دعم DHCP. قناع—أدخل عنوان قناع الشبكة الفرعية بتنسيق النقاط العشرية. على سبيل المثال، 255.255.255.0. بوابة—أدخل عنوان IP الخاص بالبوابة. البوابة هي عقدة شبكة تعمل كنقطة وصول إلى شبكة أخرى. خوادم DNS—أدخل قائمة مفصولة بفواصل من خوادم DNS، والتي تتعامل مع ترجمة أسماء النطاقات إلى عناوين IP رقمية. (يُسمح بما يصل إلى 4 إدخالات DNS.) خوادم NTP—أدخل خادم NTP الخاص بمؤسستك أو خادم NTP خارجي آخر يمكن استخدامه في مؤسستك. قد لا تعمل خوادم NTP الافتراضية مع جميع المؤسسات. يمكنك أيضًا استخدام قائمة مفصولة بفاصلة لإدخال خوادم NTP المتعددة. قم بنشر جميع العقد على نفس الشبكة الفرعية أو شبكة VLAN، بحيث يمكن الوصول إلى جميع العقد في مجموعة من العملاء في شبكتك لأغراض إدارية. إذا كنت تفضل ذلك، يمكنك تخطي تكوين إعدادات الشبكة واتباع الخطوات الموجودة في إعداد Hybrid Data Security VM لتكوين الإعدادات من وحدة التحكم في العقدة. تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0 و8.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.
11	انقر بزر الماوس الأيمن على العقدة VM، ثم اختر الطاقة > تشغيل. يتم تثبيت برنامج Hybrid Data Security كضيف على VM Host. أنت الآن جاهز لتسجيل الدخول إلى وحدة التحكم وتكوين العقدة. تلميحات استكشاف الأخطاء وإصلاحها قد تواجه تأخيرًا لمدة بضع دقائق قبل ظهور حاويات العقدة. تظهر رسالة جدار حماية الجسر على وحدة التحكم أثناء التمهيد الأول، وخلال هذه الفترة لا يمكنك تسجيل الدخول.

إعداد جهاز VM للأمان الهجين للبيانات

استخدم هذا الإجراء لتسجيل الدخول إلى وحدة التحكم VM الخاصة بعقدة Hybrid Data Security للمرة الأولى وتعيين بيانات اعتماد تسجيل الدخول. يمكنك أيضًا استخدام وحدة التحكم لتكوين إعدادات الشبكة للعقدة إذا لم تقم بتكوينها في وقت نشر OVA.

1	في عميل VMware vSphere، حدد VM لعقدة Hybrid Data Security الخاصة بك وحدد علامة التبويب Console. يتم تشغيل الجهاز الافتراضي ويظهر موجه تسجيل الدخول. إذا لم يتم عرض مطالبة تسجيل الدخول، اضغط على Enter.
2	استخدم اسم المستخدم وكلمة المرور الافتراضيين التاليين لتسجيل الدخول وتغيير بيانات الاعتماد: تسجيل الدخول: `admin` كلمة المرور: `cisco` نظرًا لأنك تقوم بتسجيل الدخول إلى جهاز VM الخاص بك لأول مرة، فستحتاج إلى تغيير كلمة مرور المسؤول.
3	إذا كنت قد قمت بالفعل بتكوين إعدادات الشبكة في تثبيت HDS Host OVA، فتخط بقية هذا الإجراء. وإلا، في القائمة الرئيسية، حدد خيار تحرير التكوين.
4	إعداد تكوين ثابت باستخدام عنوان IP والقناع والبوابة ومعلومات DNS. يجب أن يكون لعقدتك عنوان IP داخلي واسم DNS. لا يتم دعم DHCP.
5	(اختياري) قم بتغيير اسم المضيف أو المجال أو خادم NTP، إذا لزم الأمر لتتوافق مع سياسة الشبكة الخاصة بك. لا تحتاج إلى تعيين المجال ليتطابق مع المجال الذي استخدمته للحصول على شهادة X.509.
6	احفظ تكوين الشبكة وأعد تشغيل الجهاز الافتراضي حتى تسري التغييرات.

تحميل وتثبيت ISO لتكوين HDS

استخدم هذا الإجراء لتكوين الجهاز الظاهري من ملف ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

قبل البدء

نظرًا لأن ملف ISO يحمل المفتاح الرئيسي، فيجب عرضه فقط على أساس "الحاجة إلى المعرفة"، للوصول إليه بواسطة أجهزة VMs الخاصة بأمان البيانات الهجينة وأي مسؤولين قد يحتاجون إلى إجراء تغييرات. تأكد من أن هؤلاء المسؤولين فقط هم من يمكنهم الوصول إلى مخزن البيانات.

قم بتحميل ملف ISO من جهاز الكمبيوتر الخاص بك:

في جزء التنقل الأيسر لعميل VMware vSphere، انقر فوق خادم ESXi.
في قائمة الأجهزة الموجودة في علامة التبويب "التكوين"، انقر فوق التخزين.
في قائمة مخازن البيانات، انقر بزر الماوس الأيمن فوق مخزن البيانات الخاص بأجهزة VM الخاصة بك وانقر فوق استعراض مخزن البيانات.
انقر على أيقونة تحميل الملف، ثم انقر فوق تحميل ملف.
انتقل إلى الموقع الذي قمت بتنزيل ملف ISO عليه على جهاز الكمبيوتر الخاص بك وانقر فوق فتح.
انقر فوق نعم لقبول upload/download تحذير التشغيل، وأغلق مربع حوار مخزن البيانات.

قم بتثبيت ملف ISO:

في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .
انقر فوق موافق لقبول تحذير خيارات التحرير المقيدة.
انقر فوق CD/DVD Drive 1، ثم حدد خيار التحميل من ملف ISO لمخزن البيانات، وانتقل إلى الموقع الذي قمت بتحميل ملف ISO الخاص بالتكوين إليه.
تحقق من متصل و متصل عند تشغيل الطاقة.
احفظ التغييرات وأعد تشغيل الجهاز الظاهري.

التصرف التالي

إذا كانت سياسة تكنولوجيا المعلومات الخاصة بك تتطلب ذلك، فيمكنك بشكل اختياري إلغاء تحميل ملف ISO بعد أن تلتقط كافة العقد الخاصة بك تغييرات التكوين. راجع (اختياري) إلغاء تثبيت ISO بعد تكوين HDS للحصول على التفاصيل.

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب وكيلا، فاستخدم هذا الإجراء لتحديد نوع الوكيل الذي تريد دمجه مع "أمان البيانات المختلطة". إذا اخترت وكيل فحص شفاف أو وكيل HTTPS صريح، فيمكنك استخدام واجهة العقدة لتحميل الشهادة الجذر وتثبيتها. يمكنك أيضا التحقق من اتصال الوكيل من الواجهة ، واستكشاف أي مشكلات محتملة وإصلاحها.

قبل البدء

راجع دعم الوكيل للحصول على نظرة عامة على خيارات الوكيل المدعومة.
متطلبات الخادم الوكيل

1	أدخل عنوان URL لإعداد عقدة HDS `https://[HDS Node IP or FQDN]/setup` في متصفح الويب، وأدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ثم انقر فوق تسجيل الدخول.
2	انتقل إلى متجر الثقة والوكيل، ثم حدد خيارا: لا يوجد وكيل—الخيار الافتراضي قبل دمج الوكيل. لا يلزم تحديث الشهادة. وكيل شفاف غير فاحص— لا يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ولا ينبغي أن تتطلب أي تغييرات للعمل مع وكيل غير فاحص. لا يلزم تحديث الشهادة. وكيل الفحص الشفاف—لا يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTPS على نشر أمان البيانات المختلط ، ومع ذلك ، تحتاج عقد HDS إلى شهادة جذر حتى تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS). الوكيل الصريح— باستخدام الوكيل الصريح، يمكنك إخبار العميل (عقد HDS) بخادم الوكيل الذي يجب استخدامه، ويدعم هذا الخيار أنواعًا متعددة من المصادقة. بعد تحديد هذا الخيار، يجب إدخال المعلومات التالية: وكيل IP/FQDN—العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل. منفذ الوكيل—رقم المنفذ الذي يستخدمه الوكيل للاستماع إلى حركة المرور التي يتم التوكيل إليها. بروتوكول الوكيل—اختر http (يعرض ويتحكم في جميع الطلبات التي يتم تلقيها من العميل) أو https (يوفر قناة إلى الخادم ويستقبل العميل ويتحقق من صحة شهادة الخادم). حدد خيارا استنادا إلى ما يدعمه الخادم الوكيل. نوع المصادقة—اختر من بين أنواع المصادقة التالية: لا شيء—لا يلزم إجراء أي مصادقة إضافية. متوفر لبروكسيات HTTP أو HTTPS. أساسي— يستخدم لوكيل مستخدم HTTP لتوفير اسم مستخدم وكلمة مرور عند تقديم طلب. يستخدم ترميز Base64. متوفر لبروكسيات HTTP أو HTTPS. إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور. ملخص— يستخدم لتأكيد الحساب قبل إرسال المعلومات الحساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة. متوفر لبروكسيات HTTPS فقط. إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور. اتبع الخطوات التالية للحصول على وكيل فحص شفاف أو وكيل HTTP صريح مع مصادقة أساسية أو وكيل HTTPS صريح.
3	انقر فوق تحميل شهادة جذر أو شهادة كيان نهاية، ثم انتقل إلى اختيار الشهادة الجذر للوكيل. تم تحميل الشهادة ولكن لم يتم تثبيتها بعد لأنه يجب إعادة تشغيل العقدة لتثبيت الشهادة. انقر فوق سهم شيفرون بجوار اسم جهة إصدار الشهادة للحصول على مزيد من التفاصيل أو انقر على حذف إذا ارتكبت خطأ وتريد إعادة تحميل الملف.
4	انقر فوق التحقق من اتصال الوكيل لاختبار اتصال الشبكة بين العقدة والوكيل. إذا فشل اختبار الاتصال، فسترى رسالة خطأ توضح السبب وكيفية تصحيح المشكلة. إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة غير قادرة على الوصول إلى خادم DNS. هذا الشرط متوقع في العديد من تكوينات الوكيل الصريحة. يمكنك متابعة الإعداد، وستعمل العقدة في وضع حل DNS الخارجي المحظور. إذا كنت تعتقد أن هذا خطأ، فاستكمل هذه الخطوات، ثم راجع إيقاف تشغيل وضع حل DNS الخارجي المحظور.
5	بعد اجتياز اختبار الاتصال، بالنسبة إلى الوكيل الصريح الذي تم تعيينه على https فقط، قم بتشغيل مفتاح التبديل إلى توجيه جميع طلبات https للمنفذ 443/444 من هذه العقدة عبر الوكيلالصريح. يتطلب هذا الإعداد 15 ثانية ليصبح ساري المفعول.
6	انقر فوق تثبيت كافة الشهادات في مخزن الثقة (يظهر لوكيل HTTPS صريح أو وكيل فحص شفاف) أو إعادة تشغيل (يظهر لوكيل HTTP صريح)، واقرأ المطالبة، ثم انقر فوق تثبيت إذا كنت مستعدا. تتم إعادة تشغيل العقدة في غضون بضع دقائق.
7	بعد إعادة تشغيل العقدة، قم بتسجيل الدخول مرة أخرى إذا لزم الأمر، ثم افتح صفحة نظرة عامة للتحقق من عمليات التحقق من الاتصال للتأكد من أنها جميعا في حالة خضراء. يختبر فحص اتصال الوكيل نطاقا فرعيا من webex.com فقط. إذا كانت هناك مشاكل في الاتصال ، فهناك مشكلة شائعة تتمثل في حظر بعض المجالات السحابية المدرجة في إرشادات التثبيت في الوكيل.

تسجيل العقدة الأولى في المجموعة

تأخذ هذه المهمة العقدة العامة التي قمت بإنشائها في إعداد VM لأمن البيانات الهجين، وتسجل العقدة في سحابة Webex، وتحولها إلى عقدة أمان بيانات هجينة.

عندما تقوم بتسجيل العقدة الأولى، فإنك تقوم بإنشاء مجموعة يتم تعيين العقدة إليها. تحتوي المجموعة على عقدة واحدة أو أكثر تم نشرها لتوفير التكرار.

قبل البدء

بمجرد بدء تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة وإلا سيتعين عليك البدء من جديد.
تأكد من تعطيل أي حظر للنوافذ المنبثقة في متصفحك أو السماح باستثناء لـ admin.webex.com.

1	سجّل الدخول إلى https://admin.webex.com.
2	من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.
3	في قسم الخدمات الهجينة، ابحث عن أمان البيانات الهجينة وانقر فوق إعداد. تظهر صفحة تسجيل عقدة أمان البيانات الهجينة.
4	حدد نعم للإشارة إلى أنك قمت بإعداد العقدة وأنك مستعد لتسجيلها، ثم انقر فوق التالي.
5	في الحقل الأول، أدخل اسمًا للمجموعة التي تريد تعيين عقدة أمان البيانات الهجينة لها. نوصيك بتسمية المجموعة استنادًا إلى الموقع الجغرافي لعقد المجموعة. أمثلة: "سان فرانسيسكو" أو "نيويورك" أو "دالاس"
6	في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) لعقدتك وانقر فوق التالي. يجب أن يتطابق عنوان IP أو FQDN هذا مع عنوان IP أو اسم المضيف والنطاق الذي استخدمته في إعداد Hybrid Data Security VM. تظهر رسالة تشير إلى أنه بإمكانك تسجيل العقدة الخاصة بك في Webex.
7	انقر فوق للانتقال إلى العقدة.
8	انقر فوق متابعة في رسالة التحذير. بعد لحظات قليلة، سيتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا نجحت جميع الاختبارات، ستظهر صفحة السماح بالوصول إلى عقدة أمان البيانات الهجينة. هناك، يمكنك تأكيد رغبتك في منح الأذونات لمؤسسة Webex الخاصة بك للوصول إلى العقدة الخاصة بك.
9	حدد مربع الاختيار السماح بالوصول إلى عقدة أمان البيانات الهجينة الخاصة بك ، ثم انقر فوق متابعة. تم التحقق من صحة حسابك وتشير رسالة "اكتمل التسجيل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.
10	انقر فوق الرابط أو أغلق علامة التبويب للرجوع إلى صفحة أمان البيانات الهجينة في Control Hub. في صفحة Hybrid Data Security ، يتم عرض المجموعة الجديدة التي تحتوي على العقدة التي قمت بتسجيلها. ستقوم العقدة تلقائيًا بتنزيل أحدث البرامج من السحابة.

إنشاء وتسجيل المزيد من العقد

لإضافة عقد إضافية إلى مجموعتك، ما عليك سوى إنشاء أجهزة افتراضية إضافية وتثبيت نفس ملف ISO للتكوين، ثم تسجيل العقدة. نوصي بأن يكون لديك 3 عقد على الأقل.

في هذا الوقت، تعد أجهزة VM الاحتياطية التي قمت بإنشائها في أكمل المتطلبات الأساسية لأمان البيانات الهجين أجهزة مضيفة احتياطية يتم استخدامها فقط في حالة الاسترداد من الكوارث؛ ولا يتم تسجيلها في النظام حتى ذلك الحين. للحصول على التفاصيل، راجع استرداد الكوارث باستخدام مركز البيانات الاحتياطي.

قبل البدء

بمجرد بدء تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة وإلا سيتعين عليك البدء من جديد.
تأكد من تعطيل أي حظر للنوافذ المنبثقة في متصفحك أو السماح باستثناء لـ admin.webex.com.

1	قم بإنشاء جهاز افتراضي جديد من OVA، وكرر الخطوات الموجودة في تثبيت HDS Host OVA.
2	قم بإعداد التكوين الأولي على الجهاز الظاهري الجديد، وكرر الخطوات الموجودة في إعداد الجهاز الظاهري لأمان البيانات الهجين.
3	على الجهاز الافتراضي الجديد، كرر الخطوات الموجودة في تحميل وتثبيت ملف ISO الخاص بتكوين HDS.
4	إذا كنت تقوم بإعداد وكيل لنشر البرنامج، فكرر الخطوات الموجودة في تكوين عقدة HDS لتكامل الوكيل حسب الحاجة للعقدة الجديدة.
5	تسجيل العقدة. في https://admin.webex.com، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة. في قسم الخدمات الهجينة، ابحث عن بطاقة أمان البيانات الهجينة وانقر فوق الموارد. تظهر صفحة موارد أمان البيانات الهجينة. انقر فوق إضافة مورد. في الحقل الأول، حدد اسم المجموعة الموجودة لديك. في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) لعقدتك وانقر فوق التالي. تظهر رسالة تشير إلى أنه بإمكانك تسجيل العقدة الخاصة بك في سحابة Webex. انقر فوق للانتقال إلى العقدة. بعد لحظات قليلة، سيتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا نجحت جميع الاختبارات، ستظهر صفحة السماح بالوصول إلى عقدة أمان البيانات الهجينة. هناك، يمكنك التأكيد على أنك تريد منح الأذونات لمنظمتك للوصول إلى العقدة الخاصة بك. حدد مربع الاختيار السماح بالوصول إلى عقدة أمان البيانات الهجينة الخاصة بك ، ثم انقر فوق متابعة. تم التحقق من صحة حسابك وتشير رسالة "اكتمل التسجيل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex. انقر فوق الرابط أو أغلق علامة التبويب للرجوع إلى صفحة أمان البيانات الهجينة في Control Hub. تم تسجيل العقدة الخاصة بك. لاحظ أنه حتى تبدأ الإصدار التجريبي، ستولد عقدك إنذارًا يشير إلى أن الخدمة لم يتم تنشيطها بعد.

التصرف التالي

قم بتشغيل الإصدار التجريبي وانتقل إلى الإنتاج (الفصل التالي)

تشغيل الإصدار التجريبي والانتقال إلى الإنتاج

تدفق مهام التجربة والإنتاج

بعد إعداد مجموعة أمان البيانات الهجينة، يمكنك بدء تشغيل إصدار تجريبي وإضافة مستخدمين إليه والبدء في استخدامه لاختبار وتأكيد نشرك استعدادًا للانتقال إلى الإنتاج.

قبل البدء

إعداد مجموعة أمان بيانات هجينة

1	إذا كان ذلك ممكنًا، قم بمزامنة كائن المجموعة `HdsTrialGroup`. إذا كانت مؤسستك تستخدم مزامنة الدليل للمستخدمين، فيجب عليك تحديد كائن المجموعة `HdsTrialGroup` للمزامنة مع السحابة قبل أن تتمكن من بدء التجربة. للحصول على الإرشادات، راجع دليل النشر لـ Cisco Directory Connector.
2	تفعيل النسخة التجريبية ابدأ المحاكمة. حتى تقوم بهذه المهمة، ستنشئ العقد الخاصة بك إنذارًا يشير إلى أن الخدمة لم يتم تنشيطها بعد.
3	اختبار نشر أمان البيانات الهجينة لديك تأكد من تمرير طلبات المفاتيح إلى نشر أمان البيانات الهجين الخاص بك.
4	مراقبة صحة وأمان البيانات الهجينة التحقق من الحالة وإعداد إشعارات البريد الإلكتروني للتنبيهات.
5	إضافة أو إزالة المستخدمين من النسخة التجريبية الخاصة بك
6	أكمل مرحلة المحاكمة بأحد الإجراءات التالية: الانتقال من التجربة إلى الإنتاج إنهاء تجربتك دون الانتقال إلى الإنتاج

تفعيل النسخة التجريبية

قبل البدء

إذا كانت مؤسستك تستخدم مزامنة الدليل للمستخدمين، فيجب عليك تحديد كائن المجموعة HdsTrialGroup للمزامنة مع السحابة قبل أن تتمكن من بدء تجربة تجريبية لمؤسستك. للحصول على الإرشادات، راجع دليل النشر لـ Cisco Directory Connector.

1	قم بتسجيل الدخول إلى https://admin.webex.com، ثم حدد الخدمات.
2	تحت أمان البيانات الهجينة، انقر فوق الإعدادات.
3	في قسم حالة الخدمة، انقر فوق بدء التجربة. تتغير حالة الخدمة إلى الوضع التجريبي.
4	انقر فوق إضافة مستخدمين وأدخل عنوان البريد الإلكتروني لمستخدم واحد أو أكثر لتجربته باستخدام عقد أمان البيانات الهجينة الخاصة بك لخدمات التشفير والفهرسة. (إذا كانت مؤسستك تستخدم مزامنة الدليل، فاستخدم Active Directory لإدارة مجموعة التجارب، `HdsTrialGroup`.)

اختبار نشر أمان البيانات الهجينة لديك

استخدم هذا الإجراء لاختبار سيناريوهات تشفير أمان البيانات الهجين.

قبل البدء

قم بإعداد نشر أمان البيانات الهجين الخاص بك.
قم بتفعيل النسخة التجريبية، وأضف عدة مستخدمين تجريبيين.
تأكد من أن لديك إمكانية الوصول إلى syslog للتحقق من تمرير طلبات المفاتيح إلى نشر Hybrid Data Security الخاص بك.

يتم تعيين مفاتيح مساحة معينة من قبل منشئ المساحة. قم بتسجيل الدخول إلى تطبيق Webex كأحد مستخدمي الإصدار التجريبي، ثم قم بإنشاء مساحة ودعوة مستخدم تجريبي واحد على الأقل ومستخدم غير تجريبي واحد.

إذا قمت بإلغاء تنشيط نشر أمان البيانات الهجين، فلن يكون المحتوى في المساحات التي ينشئها المستخدمون التجريبيون متاحًا بعد استبدال نسخ مفاتيح التشفير المخزنة مؤقتًا لدى العميل.

إرسال الرسائل إلى المساحة الجديدة.

تحقق من مخرجات syslog للتأكد من أن طلبات المفاتيح يتم تمريرها إلى نشر Hybrid Data Security الخاص بك.

للتحقق من قيام المستخدم أولاً بإنشاء قناة آمنة إلى KMS، قم بالتصفية على kms.data.method=create و kms.data.type=EPHEMERAL_KEY_COLLECTION:

يجب أن تجد إدخالاً مثل التالي (المعرفات المختصرة لسهولة القراءة):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

للتحقق من وجود مستخدم يطلب مفتاحًا موجودًا من KMS، قم بالتصفية على kms.data.method=retrieve و kms.data.type=KEY:

يجب أن تجد إدخالاً مثل:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

للتحقق من وجود مستخدم يطلب إنشاء مفتاح KMS جديد، قم بالتصفية على kms.data.method=create و kms.data.type=KEY_COLLECTION:

يجب أن تجد إدخالاً مثل:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

للتحقق من قيام المستخدم بطلب إنشاء كائن مورد KMS (KRO) جديد عند إنشاء مساحة أو مورد محمي آخر، قم بالتصفية على kms.data.method=create و kms.data.type=RESOURCE_COLLECTION:

يجب أن تجد إدخالاً مثل:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

مراقبة صحة وأمان البيانات الهجينة

يُظهر لك مؤشر الحالة داخل Control Hub ما إذا كان كل شيء على ما يرام مع نشر Hybrid Data Security. للحصول على تنبيهات أكثر استباقية، قم بالتسجيل للحصول على إشعارات البريد الإلكتروني. سيتم إعلامك عند وجود إنذارات تؤثر على الخدمة أو ترقيات للبرامج.

1	في مركز التحكم، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة.
2	في قسم الخدمات الهجينة، ابحث عن أمان البيانات الهجينة وانقر فوق الإعدادات. تظهر صفحة إعدادات أمان البيانات الهجينة.
3	في قسم إشعارات البريد الإلكتروني، اكتب عنوان بريد إلكتروني واحد أو أكثر مفصولًا بفاصلات، ثم اضغط على Enter.

إضافة أو إزالة المستخدمين من النسخة التجريبية الخاصة بك

بعد تنشيط النسخة التجريبية وإضافة المجموعة الأولية من مستخدمي النسخة التجريبية، يمكنك إضافة أعضاء النسخة التجريبية أو إزالتهم في أي وقت أثناء نشاط النسخة التجريبية.

إذا قمت بإزالة مستخدم من النسخة التجريبية، فسوف يطلب عميل المستخدم المفاتيح وإنشاء المفتاح من نظام إدارة المفاتيح السحابي (KMS) بدلاً من نظام إدارة المفاتيح الخاص بك. إذا احتاج العميل إلى مفتاح مخزّن على نظام إدارة المفاتيح (KMS)، فسوف يقوم نظام إدارة المفاتيح السحابي (KMS) بجلبه نيابةً عن المستخدم.

إذا كانت مؤسستك تستخدم مزامنة الدليل، فاستخدم Active Directory (بدلاً من هذا الإجراء) لإدارة مجموعة التجارب، HdsTrialGroup; يمكنك عرض أعضاء المجموعة في مركز التحكم ولكن لا يمكنك إضافتهم أو إزالتهم.

1	قم بتسجيل الدخول إلى مركز التحكم، ثم حدد الخدمات.
2	تحت أمان البيانات الهجينة، انقر فوق الإعدادات.
3	في قسم وضع التجربة في منطقة حالة الخدمة، انقر فوق إضافة مستخدمين، أو انقر فوق عرض وتحرير لإزالة المستخدمين من التجربة.
4	أدخل عنوان البريد الإلكتروني لمستخدم واحد أو أكثر لإضافته، أو انقر فوق X بجوار معرف المستخدم لإزالة المستخدم من النسخة التجريبية. ثم انقر على حفظ.

الانتقال من التجربة إلى الإنتاج

عندما تكون راضيًا عن أن نشرك يعمل بشكل جيد لمستخدمي الإصدار التجريبي، يمكنك الانتقال إلى الإنتاج. عند انتقالك إلى الإنتاج، سيستخدم جميع المستخدمين في المؤسسة نطاق أمان البيانات الهجين المحلي لديك للحصول على مفاتيح التشفير وخدمات مجال الأمان الأخرى. لا يمكنك الرجوع إلى وضع التجربة من الإنتاج إلا إذا قمت بإلغاء تنشيط الخدمة كجزء من عملية الاسترداد بعد الكارثة. تتطلب إعادة تنشيط الخدمة إعداد فترة تجريبية جديدة.

1	قم بتسجيل الدخول إلى مركز التحكم، ثم حدد الخدمات.
2	تحت أمان البيانات الهجينة، انقر فوق الإعدادات.
3	في قسم حالة الخدمة، انقر فوق نقل إلى الإنتاج.
4	تأكد من أنك تريد نقل جميع المستخدمين إلى الإنتاج.

إنهاء تجربتك دون الانتقال إلى الإنتاج

إذا قررت أثناء الفترة التجريبية عدم المضي قدمًا في نشر Hybrid Data Security (أمان البيانات الهجين)، فيمكنك إلغاء تنشيط Hybrid Data Security (أمان البيانات الهجين)، مما يؤدي إلى إنهاء الفترة التجريبية ونقل مستخدمي الفترة التجريبية مرة أخرى إلى خدمات أمان البيانات السحابية. سيفقد مستخدمو الإصدار التجريبي إمكانية الوصول إلى البيانات التي تم تشفيرها أثناء الإصدار التجريبي.

1	قم بتسجيل الدخول إلى مركز التحكم، ثم حدد الخدمات.
2	تحت أمان البيانات الهجينة، انقر فوق الإعدادات.
3	في قسم إلغاء التنشيط، انقر فوق إلغاء التنشيط.
4	تأكد من أنك تريد إلغاء تنشيط الخدمة وإنهاء التجربة.

إدارة نشر HDS الخاص بك

إدارة نشر HDS

استخدم المهام الموضحة هنا لإدارة نشر أمان البيانات الهجين الخاص بك.

تعيين جدول ترقية المجموعة

يتم إجراء ترقيات البرامج الخاصة بأمان البيانات الهجينة تلقائيًا على مستوى المجموعة، مما يضمن أن جميع العقد تعمل دائمًا بنفس إصدار البرنامج. يتم إجراء الترقيات وفقًا لجدول الترقية للمجموعة. عندما يصبح ترقية البرنامج متاحة، يكون لديك خيار ترقية المجموعة يدويًا قبل وقت الترقية المجدول. يمكنك تعيين جدول ترقية محدد أو استخدام الجدول الافتراضي لـ 3:00 صحيفة AM Daily الولايات المتحدة: America/Los أنجيليس. يمكنك أيضًا اختيار تأجيل الترقية القادمة، إذا لزم الأمر.

لتعيين جدول الترقية:

1	سجل الدخول إلى مركز التحكم.
2	في صفحة النظرة العامة، ضمن الخدمات الهجينة، حدد أمان البيانات الهجينة.
3	في صفحة موارد أمان البيانات الهجينة، حدد المجموعة.
4	في لوحة النظرة العامة على اليمين، ضمن إعدادات المجموعة، حدد اسم المجموعة.
5	في صفحة الإعدادات، ضمن الترقية، حدد الوقت والمنطقة الزمنية لجدول الترقية. ملاحظات تحت المنطقة الزمنية، يتم عرض تاريخ ووقت الترقية المتاحة التالية. يمكنك تأجيل الترقية إلى اليوم التالي، إذا لزم الأمر، عن طريق النقر فوق تأجيل.

تغيير تكوين العقدة

في بعض الأحيان قد تحتاج إلى تغيير تكوين عقدة أمان البيانات المختلطة لسبب مثل:

تغيير شهادات X.509 بسبب انتهاء الصلاحية أو لأسباب أخرى.

لا ندعم تغيير اسم مجال CN للشهادة. يجب أن يتطابق المجال مع المجال الأصلي المستخدم لتسجيل الكتلة.
تحديث إعدادات قاعدة البيانات للتغيير إلى نسخة متماثلة من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

لا ندعم ترحيل البيانات من PostgreSQL إلى Microsoft SQL Server ، أو العكس. لتبديل بيئة قاعدة البيانات ، ابدأ عملية نشر جديدة لـ Hybrid Data Security.
إنشاء تكوين جديد لإعداد مركز بيانات جديد.

أيضا ، لأغراض أمنية ، يستخدم Hybrid Data Security كلمات مرور حساب الخدمة التي لها عمر افتراضي يبلغ تسعة أشهر. بعد أن تقوم أداة إعداد HDS بإنشاء كلمات المرور هذه، يمكنك نشرها على كل عقد من عقد HDS في ملف تكوين ISO. عندما تقترب كلمات مرور مؤسستك من انتهاء الصلاحية، تتلقى إشعارا من فريق Webex لإعادة تعيين كلمة المرور لحساب الجهاز. (يتضمن البريد الإلكتروني النص ، "استخدم واجهة برمجة تطبيقات حساب الجهاز لتحديث كلمة المرور.") إذا لم تنته صلاحية كلمات المرور الخاصة بك بعد ، تمنحك الأداة خيارين:

إعادة الضبط الناعمة—تعمل كل من كلمات المرور القديمة والجديدة لمدة تصل إلى 10 أيام. استخدم هذه الفترة لاستبدال ملف ISO على العقد بالتدريج.
إعادة الضبط الثابت—تتوقف كلمات المرور القديمة عن العمل على الفور.

إذا انتهت صلاحية كلمات المرور الخاصة بك دون إعادة تعيين ، فسيؤثر ذلك على خدمة HDS الخاصة بك ، مما يتطلب إعادة تعيين ثابت واستبدال ملف ISO على جميع العقد.

استخدم هذا الإجراء لإنشاء ملف ISO تكوين جديد وتطبيقه على نظام المجموعة الخاص بك.

قبل البدء

إذا لم يكن لديك ترخيص Docker Desktop، فيمكنك استخدام Podman Desktop لتشغيل أداة إعداد HDS للخطوات من 1.a إلى 1.e في الإجراء أدناه. راجع تشغيل أداة إعداد HDS باستخدام Podman Desktop للحصول على التفاصيل.

إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم، المنفذ، بيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في 1.e. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

الوصف	المتغير
وكيل HTTP بدون مصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
وكيل HTTPS بدون مصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
وكيل HTTP مع المصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
وكيل HTTPS مع المصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

أنت بحاجة إلى نسخة من ملف ISO للتكوين الحالي لإنشاء تكوين جديد. يحتوي ISO على المفتاح الرئيسي الذي يعمل على تشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. أنت بحاجة إلى ISO عند إجراء تغييرات التكوين ، بما في ذلك بيانات اعتماد قاعدة البيانات أو تحديثات الشهادة أو التغييرات على سياسة التفويض.

1	باستخدام Docker على جهاز محلي ، قم بتشغيل أداة إعداد HDS. في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك: في البيئات العادية: `docker rmi ciscocitg/hds-setup:stable` في بيئات FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله. لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي: `docker login -u hdscustomersro` في موجه كلمة المرور ، أدخل هذه التجزئة: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` قم بتنزيل أحدث صورة مستقرة لبيئتك: في البيئات العادية: `docker pull ciscocitg/hds-setup:stable` في بيئات FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable` تأكد من سحب أحدث أداة إعداد لهذا الإجراء. لا تحتوي إصدارات الأداة التي تم إنشاؤها قبل 22 فبراير 2018 على شاشات إعادة تعيين كلمة المرور. عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك: في البيئات العادية بدون وكيل: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` في البيئات العادية باستخدام وكيل HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` في البيئات العادية باستخدام HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` في بيئات FedRAMP بدون وكيل: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` في بيئات FedRAMP باستخدام وكيل HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` في بيئات FedRAMP باستخدام وكيل HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080." استخدم متصفحا للاتصال بالمضيف المحلي ، `http://127.0.0.1:8080`. لا تدعم أداة الإعداد الاتصال بـ localhost عبر http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بـ localhost. عند مطالبتك بذلك، أدخل بيانات اعتماد تسجيل الدخول الخاصة بعميل Control Hub، ثم انقر فوق قبول للمتابعة. قم باستيراد ملف ISO للتكوين الحالي. اتبع المطالبات لإكمال الأداة وتنزيل الملف المحدث. لإيقاف تشغيل أداة الإعداد، اكتب `CTRL+C`. قم بإنشاء نسخة احتياطية من الملف المحدث في مركز بيانات آخر.
2	إذا كان لديك عقدة HDS واحدة فقط تعمل على، قم بإنشاء عقدة Hybrid Data Security VM جديدة وقم بتسجيلها باستخدام ملف ISO الجديد للتكوين. للحصول على تعليمات أكثر تفصيلاً، راجع إنشاء وتسجيل المزيد من العقد. قم بتثبيت مضيف HDS OVA. قم بإعداد HDS VM. قم بتحميل ملف التكوين المحدث. سجل العقدة الجديدة في مركزالتحكم.
3	بالنسبة لعقد HDS الحالية التي تقوم بتشغيل ملف التكوين الأقدم ، قم بتحميل ملف ISO. نفذ الإجراء التالي على كل عقدة على حدة ، وقم بتحديث كل عقدة قبل إيقاف تشغيل العقدة التالية: قم بإيقاف تشغيل الآلة الافتراضية. في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات . انقر فوق `CD/DVD Drive 1`، ثم حدد خيار التحميل من ملف ISO، وانتقل إلى الموقع الذي قمت بتنزيل ملف ISO الخاص بالتكوين الجديد فيه. حدد التوصيل أثناء التشغيل . احفظ التغييرات وقم بتشغيل الجهاز الظاهري.
4	كرر الخطوة 3 لاستبدال التكوين على كل عقدة متبقية تقوم بتشغيل التكوين القديم.

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. إذا تعذر على خادم DNS الخاص بالعقدة حل أسماء DNS العامة، فستنتقل العقدة تلقائيا إلى وضع حل DNS الخارجي المحظور.

إذا كانت العقد قادرة على حل أسماء DNS العامة من خلال خوادم DNS الداخلية، فيمكنك إيقاف تشغيل هذا الوضع عن طريق إعادة تشغيل اختبار اتصال الوكيل على كل عقدة.

قبل البدء

تأكد من أن خوادم DNS الداخلية يمكنها حل أسماء DNS العامة، وأن العقد يمكنها التواصل معها.

1	في مستعرض ويب، افتح واجهة عقدة أمان البيانات المختلطة (عنوان IP/الإعداد، على سبيل المثال، أدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ⁦https://192.0.2.0/setup),⁩ ثم انقر فوق تسجيل الدخول.
2	انتقل إلى نظرة عامة (الصفحة الافتراضية). عند تمكينه، يتم تعيين دقة DNS الخارجية المحظورة إلى نعم.
3	انتقل إلى صفحة متجر الثقة والوكيل .
4	انقر فوق التحقق من اتصال الوكيل. إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة لم تتمكن من الوصول إلى خادم DNS وستظل في هذا الوضع. وإلا، بعد إعادة تشغيل العقدة والعودة إلى صفحة نظرة عامة ، يجب تعيين دقة DNS الخارجية المحظورة إلى لا.

التصرف التالي

كرر اختبار اتصال الوكيل على كل عقدة في مجموعة أمان البيانات المختلطة.

إزالة عقدة

استخدم هذا الإجراء لإزالة عقدة أمان البيانات الهجينة من سحابة Webex. بعد إزالة العقدة من المجموعة، احذف الجهاز الظاهري لمنع الوصول إلى بيانات الأمان الخاصة بك.

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى المضيف الظاهري ESXi وإيقاف تشغيل الجهاز الظاهري.

إزالة العقدة:

قم بتسجيل الدخول إلى مركز التحكم، ثم حدد الخدمات.
في بطاقة أمان البيانات الهجينة، انقر فوق عرض الكل لعرض صفحة موارد أمان البيانات الهجينة.
قم بتحديد المجموعة الخاصة بك لعرض لوحة النظرة العامة الخاصة بها.
انقر فوق فتح قائمة العقد.
في علامة التبويب "العقد"، حدد العقدة التي تريد إزالتها.
انقر فوق الإجراءات > إلغاء تسجيل العقدة.

في عميل vSphere، احذف الجهاز الافتراضي. (في جزء التنقل الأيسر، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق حذف.)

إذا لم تقم بحذف الجهاز الافتراضي، فتذكر إلغاء تحميل ملف ISO للتكوين. بدون ملف ISO، لا يمكنك استخدام الجهاز الظاهري للوصول إلى بيانات الأمان الخاصة بك.

استعادة الكوارث باستخدام مركز البيانات الاحتياطي

الخدمة الأكثر أهمية التي توفرها مجموعة أمان البيانات الهجينة الخاصة بك هي إنشاء وتخزين المفاتيح المستخدمة لتشفير الرسائل والمحتوى الآخر المخزن في سحابة Webex. بالنسبة لكل مستخدم داخل المؤسسة تم تعيينه لأمان البيانات الهجين، يتم توجيه طلبات إنشاء مفتاح جديد إلى المجموعة. كما أن المجموعة مسؤولة أيضًا عن إرجاع المفاتيح التي تم إنشاؤها إلى أي مستخدمين مخولين لاسترجاعها، على سبيل المثال، أعضاء مساحة المحادثة.

نظرًا لأن المجموعة تؤدي وظيفة مهمة تتمثل في توفير هذه المفاتيح، فمن الضروري أن تظل المجموعة قيد التشغيل وأن يتم الاحتفاظ بالنسخ الاحتياطية المناسبة. سيؤدي فقدان قاعدة بيانات أمان البيانات الهجينة أو تكوين ISO المستخدم للمخطط إلى خسارة غير قابلة للاسترداد لمحتوى العميل. إن الممارسات التالية إلزامية لمنع مثل هذه الخسارة:

إذا تسببت كارثة في عدم توفر نشر HDS في مركز البيانات الأساسي، فاتبع هذا الإجراء للانتقال يدويًا إلى مركز البيانات الاحتياطي.

1	ابدأ تشغيل أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء ملف ISO للتكوين لمضيفات HDS.
2	بعد تكوين خادم Syslogd، انقر فوق الإعدادات المتقدمة
3	في صفحة الإعدادات المتقدمة ، أضف التكوين أدناه أو قم بإزالة التكوين `passiveMode` لجعل العقدة نشطة. يمكن للعقدة التعامل مع حركة المرور بمجرد تكوين ذلك. `passiveMode: 'false'`
4	أكمل عملية التكوين واحفظ ملف ISO في مكان يمكنك العثور عليه بسهولة.
5	قم بعمل نسخة احتياطية من ملف ISO على النظام المحلي لديك. احتفظ بنسخة احتياطية آمنة. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. تقييد الوصول إلى مسؤولي أمان البيانات الهجينة فقط الذين يتعين عليهم إجراء تغييرات على التكوين.
6	في جزء التنقل الأيسر لعميل VMware vSphere، انقر بزر الماوس الأيمن فوق الجهاز الظاهري ثم انقر فوق تحرير الإعدادات..
7	انقر فوق تحرير الإعدادات >CD/DVD محرك الأقراص 1 وحدد ملف ISO الخاص بمخزن البيانات. تأكد من تحديد متصل و الاتصال عند التشغيل حتى تتمكن تغييرات التكوين المحدثة من الدخول حيز التنفيذ بعد بدء تشغيل العقد.
8	قم بتشغيل عقدة HDS وتأكد من عدم وجود أي إنذارات لمدة 15 دقيقة على الأقل.
9	كرر العملية لكل عقدة في مركز البيانات الاحتياطي. تحقق من إخراج syslog للتأكد من أن عقد مركز البيانات الاحتياطي ليست في الوضع السلبي. لا ينبغي أن يظهر "KMS الذي تم تكوينه في الوضع السلبي" في syslogs.

التصرف التالي

بعد الفشل، إذا أصبح مركز البيانات الأساسي نشطًا مرة أخرى، فضع مركز البيانات الاحتياطي في الوضع السلبي مرة أخرى باتباع الخطوات الموضحة في إعداد مركز البيانات الاحتياطي للتعافي من الكوارث.

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

يتم تشغيل تكوين HDS القياسي مع تثبيت ISO. لكن بعض العملاء يفضلون عدم ترك ملفات ISO مثبتة بشكل مستمر. يمكنك إلغاء تحميل ملف ISO بعد أن تلتقط كافة عقد HDS التكوين الجديد.

لا تزال تستخدم ملفات ISO لإجراء تغييرات على التكوين. عند إنشاء ملف ISO جديد أو تحديث ملف ISO من خلال أداة الإعداد، يجب عليك تثبيت ملف ISO المحدث على جميع عقد HDS الخاصة بك. بمجرد أن تلتقط جميع العقد الخاصة بك تغييرات التكوين، يمكنك إلغاء تحميل ISO مرة أخرى باستخدام هذا الإجراء.

قبل البدء

قم بترقية جميع عقد HDS الخاصة بك إلى الإصدار 2021.01.22.4720 أو أحدث.

1	قم بإغلاق إحدى عقد HDS الخاصة بك.
2	في جهاز vCenter Server، حدد عقدة HDS.
3	اختر تحرير الإعدادات > CD/DVD قم بتشغيل وإلغاء تحديد ملف ISO الخاص بمخزن البيانات.
4	قم بتشغيل عقدة HDS وتأكد من عدم وجود أي إنذارات لمدة 20 دقيقة على الأقل.
5	كرر ذلك لكل عقدة HDS بالتناوب.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

يعتبر نشر أمان البيانات الهجين غير متاح إذا كانت جميع العقد في المجموعة غير قابلة للوصول، أو إذا كانت المجموعة تعمل ببطء شديد بحيث تنتهي مهلة الطلبات. إذا لم يتمكن المستخدمون من الوصول إلى مجموعة Hybrid Data Security الخاصة بك، فسوف يواجهون الأعراض التالية:

لا يمكن إنشاء مساحات جديدة (غير قادر على إنشاء مفاتيح جديدة)
فشلت الرسائل وعناوين المساحات في فك التشفير لـ:
- تمت إضافة مستخدمين جدد إلى مساحة (غير قادرين على جلب المفاتيح)
- المستخدمون الحاليون في مساحة تستخدم عميلًا جديدًا (غير قادرين على جلب المفاتيح)
سيستمر المستخدمون الحاليون في مساحة ما في العمل بنجاح طالما أن عملائهم لديهم ذاكرة تخزين مؤقتة لمفاتيح التشفير

من المهم مراقبة مجموعة أمان البيانات الهجينة لديك بشكل صحيح ومعالجة أي تنبيهات على الفور لتجنب انقطاع الخدمة.

التنبيهات

إذا كانت هناك مشكلة في إعداد أمان البيانات الهجين، يعرض Control Hub التنبيهات لمسؤول المؤسسة، ويرسل رسائل بريد إلكتروني إلى عنوان البريد الإلكتروني الذي تم تكوينه. وتغطي التنبيهات العديد من السيناريوهات الشائعة.

الجدول 1. المشكلات الشائعة وخطوات حلها
تنبيه	الإجراء
فشل الوصول إلى قاعدة البيانات المحلية.	التحقق من وجود أخطاء في قاعدة البيانات أو مشكلات الشبكة المحلية.
فشل الاتصال بقاعدة البيانات المحلية.	تأكد من أن خادم قاعدة البيانات متاح، وتم استخدام بيانات اعتماد حساب الخدمة الصحيحة في تكوين العقدة.
فشل الوصول إلى الخدمة السحابية.	تأكد من أن العقد يمكنها الوصول إلى خوادم Webex كما هو محدد في متطلبات الاتصال الخارجية.
تجديد تسجيل الخدمة السحابية.	تم إسقاط التسجيل في الخدمات السحابية. جاري تجديد التسجيل.
تم إسقاط تسجيل الخدمة السحابية.	تم إنهاء التسجيل في الخدمات السحابية. تم إيقاف الخدمة.
الخدمة لم يتم تفعيلها بعد.	قم بتنشيط الإصدار التجريبي، أو أكمل نقل الإصدار التجريبي إلى الإنتاج.
المجال الذي تم تكوينه لا يتطابق مع شهادة الخادم.	تأكد من أن شهادة الخادم لديك تتطابق مع نطاق تنشيط الخدمة الذي قمت بتكوينه. السبب الأكثر احتمالا هو أن شهادة CN تم تغييرها مؤخرًا وهي الآن مختلفة عن CN التي تم استخدامها أثناء الإعداد الأولي.
فشل في المصادقة على الخدمات السحابية.	التحقق من دقة بيانات اعتماد حساب الخدمة واحتمالية انتهاء صلاحيتها.
فشل في فتح ملف مخزن المفاتيح المحلي.	التحقق من سلامة ودقة كلمة المرور في ملف مخزن المفاتيح المحلي.
شهادة الخادم المحلي غير صالحة.	تحقق من تاريخ انتهاء صلاحية شهادة الخادم وتأكد من إصدارها من قبل هيئة شهادة موثوقة.
غير قادر على نشر المقاييس.	التحقق من وصول الشبكة المحلية إلى الخدمات السحابية الخارجية.
/media/configdrive/hds الدليل غير موجود.	تحقق من تكوين تثبيت ISO على المضيف الافتراضي. تأكد من وجود ملف ISO، وأنه تم تكوينه ليتم تحميله عند إعادة التشغيل، وأنه تم تحميله بنجاح.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

استخدم الإرشادات العامة التالية عند استكشاف مشكلات أمان البيانات الهجينة وإصلاحها.

1	قم بمراجعة مركز التحكم بحثًا عن أي تنبيهات وإصلاح أي عناصر تجدها هناك.
2	قم بمراجعة مخرجات خادم syslog للنشاط الناتج عن نشر Hybrid Data Security.
3	اتصل بدعم Cisco.

ملاحظات أخرى

المشكلات المعروفة المتعلقة بأمان البيانات الهجينة

إذا قمت بإيقاف تشغيل مجموعة Hybrid Data Security (عن طريق حذفها في Control Hub أو عن طريق إيقاف تشغيل جميع العقد)، أو فقدت ملف ISO الخاص بالتكوين، أو فقدت الوصول إلى قاعدة بيانات مخزن المفاتيح، فلن يتمكن مستخدمو تطبيق Webex من استخدام المساحات الموجودة ضمن قائمة الأشخاص الخاصة بهم والتي تم إنشاؤها باستخدام مفاتيح من KMS الخاص بك. ينطبق هذا على كل من عمليات النشر التجريبية والإنتاجية. لا يوجد لدينا حاليًا حل بديل أو إصلاح لهذه المشكلة ونحثك على عدم إيقاف تشغيل خدمات HDS بمجرد تعاملها مع حسابات المستخدمين النشطة.
يحافظ العميل الذي لديه اتصال ECDH موجود مع KMS على هذا الاتصال لفترة زمنية (ربما ساعة واحدة). عندما يصبح المستخدم عضوًا في تجربة Hybrid Data Security، يستمر عميل المستخدم في استخدام اتصال ECDH الحالي حتى انتهاء الوقت المحدد. بدلاً من ذلك، يمكن للمستخدم تسجيل الخروج والعودة إلى تطبيق Webex App لتحديث الموقع الذي يتصل به التطبيق للحصول على مفاتيح التشفير.

يحدث السلوك نفسه عند نقل الإصدار التجريبي إلى الإنتاج للمؤسسة. سيستمر جميع المستخدمين غير التجريبيين الذين لديهم اتصالات ECDH حالية بخدمات أمان البيانات السابقة في استخدام هذه الخدمات حتى يتم إعادة التفاوض على اتصال ECDH (من خلال مهلة زمنية محددة أو عن طريق تسجيل الخروج ثم تسجيل الدخول مرة أخرى).

تشغيل أداة إعداد HDS باستخدام Podman Desktop

Podman هي أداة إدارة حاويات مجانية ومفتوحة المصدر توفر طريقة لتشغيل الحاويات وإدارتها وإنشائها. يمكن تنزيل Podman Desktop من https://podman-desktop.io/downloads.

تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للتمكن من الوصول إليه، قم بتنزيل Podman وتشغيله على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Control Hub مع حقوق المسؤول الكاملة لمؤسستك.

الوصف	المتغير
وكيل HTTP بدون مصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
وكيل HTTPS بدون مصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
وكيل HTTP مع المصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
وكيل HTTPS مع المصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

يحتوي ملف ISO للتكوين الذي تقوم بإنشائه على المفتاح الرئيسي الذي يقوم بتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في كل مرة تقوم فيها بإجراء تغييرات على التكوين، مثل هذه:
- بيانات اعتماد قاعدة البيانات
- تحديثات الشهادة
- تغييرات على سياسة الترخيص
إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL Server الخاص بك لـ TLS.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

التصرف التالي

اتبع الخطوات المتبقية في إنشاء ISO للتكوين لمضيفات HDS أو تغيير تكوين العقدة لإنشاء أو تغيير تكوين ISO.

استخدام OpenSSL لإنشاء ملف PKCS12

قبل البدء

OpenSSL هي إحدى الأدوات التي يمكن استخدامها لجعل ملف PKCS12 بالتنسيق المناسب للتحميل في أداة إعداد HDS. هناك طرق أخرى للقيام بذلك، ونحن لا ندعم أو نشجع طريقة على أخرى.
إذا اخترت استخدام OpenSSL، فنحن نقدم لك هذا الإجراء كدليل لمساعدتك في إنشاء ملف يلبي متطلبات شهادة X.509 في متطلبات شهادة X.509. افهم هذه المتطلبات قبل الاستمرار.
قم بتثبيت OpenSSL في بيئة مدعومة. انظر https://www.openssl.org للحصول على البرنامج والوثائق.
إنشاء مفتاح خاص.
ابدأ هذا الإجراء عند استلام شهادة الخادم من هيئة الشهادات (CA) الخاصة بك.

1	عند استلام شهادة الخادم من سلطة التصديق الخاصة بك، احفظها باسم `hdsnode.pem`.
2	عرض الشهادة كنص، والتحقق من التفاصيل. `openssl x509 -text -noout -in hdsnode.pem`
3	استخدم محرر النصوص لإنشاء ملف حزمة شهادة يسمى `hdsnode-bundle.pem`. يجب أن يتضمن ملف الحزمة شهادة الخادم، وأي شهادات CA وسيطة، وشهادات CA الجذر، بالتنسيق أدناه: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	قم بإنشاء ملف . p12 بالاسم المألوف `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	تحقق من تفاصيل شهادة الخادم. `openssl pkcs12 -in hdsnode.p12` أدخل كلمة المرور عند المطالبة بتشفير المفتاح الخاص بحيث يتم إدراجه في الإخراج. ثم تأكد من أن المفتاح الخاص والشهادة الأولى يتضمنان الأسطر `friendlyName: kms-private-key`. مثال: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

التصرف التالي

العودة إلى استكمال المتطلبات الأساسية لأمن البيانات الهجينة. سوف تستخدم الملف hdsnode.p12 وكلمة المرور التي قمت بتعيينها له، في إنشاء ISO للتكوين لمضيفات HDS.

يمكنك إعادة استخدام هذه الملفات لطلب شهادة جديدة عند انتهاء صلاحية الشهادة الأصلية.

حركة المرور بين عقد HDS والسحابة

حركة مرور جمع المقاييس الصادرة

ترسل عقد أمان البيانات الهجينة مقاييس معينة إلى سحابة Webex. تتضمن هذه المقاييس النظامية لأقصى حد للكومة، والكومة المستخدمة، وحمل وحدة المعالجة المركزية، وعدد الخيوط؛ والمقاييس الخاصة بالخيوط المتزامنة وغير المتزامنة؛ والمقاييس الخاصة بالتنبيهات التي تنطوي على حد أدنى لاتصالات التشفير، أو زمن الوصول، أو طول قائمة انتظار الطلبات؛ والمقاييس الخاصة بمخزن البيانات؛ ومقاييس اتصالات التشفير. ترسل العقد مادة رئيسية مشفرة عبر قناة خارج النطاق (منفصلة عن الطلب).

حركة المرور الواردة

تتلقى عقد أمان البيانات الهجينة الأنواع التالية من حركة المرور الواردة من سحابة Webex:

طلبات التشفير من العملاء، والتي يتم توجيهها بواسطة خدمة التشفير
ترقيات لبرنامج العقدة

تكوين وكلاء Squid لأمان البيانات الهجينة

لا يمكن ل Websocket الاتصال من خلال وكيل الحبار

يمكن لوكلاء Squid الذين يقومون بفحص حركة مرور HTTPS أن يتداخلوا مع إنشاء اتصالات websocket (wss:) التي يتطلبها أمان البيانات الهجين. تقدم هذه الأقسام إرشادات حول كيفية تكوين إصدارات مختلفة من Squid لتجاهل حركة المرور wss: للتشغيل السليم للخدمات.

الحبار 4 و 5

أضف التوجيه on_unsupported_protocol إلى squid.conf:

on_unsupported_protocol tunnel all

الحبار 3.5.27

لقد قمنا باختبار أمان البيانات الهجين بنجاح مع إضافة القواعد التالية إلى squid.conf. تخضع هذه القواعد للتغيير أثناء تطوير الميزات وتحديث سحابة Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

1	في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك: في البيئات العادية: `podman rmi ciscocitg/hds-setup:stable` في بيئات FedRAMP: `podman rmi ciscocitg/hds-setup-fedramp:stable` تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.
2	لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي: `podman login docker.io -u hdscustomersro`
3	في موجه كلمة المرور ، أدخل هذه التجزئة: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	قم بتنزيل أحدث صورة مستقرة لبيئتك: في البيئات العادية: `podman pull ciscocitg/hds-setup:stable` في بيئات FedRAMP: `podman pull ciscocitg/hds-setup-fedramp:stable`
5	عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك: في البيئات العادية بدون وكيل: `podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` في البيئات العادية باستخدام وكيل HTTP: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` في البيئات العادية مع وكيل HTTPS: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` في بيئات FedRAMP بدون وكيل: `podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` في بيئات FedRAMP باستخدام وكيل HTTP: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` في بيئات FedRAMP باستخدام وكيل HTTPS: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

شكرًا على ملاحظاتك.

دليل نشر Webex Hybrid Data Security

مقدمة

معلومات جديدة ومتغيرة

ابدأ باستخدام أمان البيانات الهجين

نظرة عامة على أمن البيانات الهجينة

هندسة مجال الأمن

التعاون مع المنظمات الأخرى

توقعات نشر أمن البيانات الهجين

عملية الإعداد رفيع المستوى

نموذج نشر أمن البيانات الهجين

وضع تجريبي لأمن البيانات الهجين

مركز بيانات احتياطي للتعافي من الكوارث

إعداد مركز بيانات احتياطي للتعافي من الكوارث

دعم البروكسي

مثال على عقد أمان البيانات المختلطة والوكيل

وضع دقة DNS الخارجي المحظور (تكوينات الوكيل الصريحة)

جهز بيئتك

متطلبات أمن البيانات الهجينة

متطلبات ترخيص Cisco Webex

متطلبات سطح مكتب Docker

متطلبات شهادة X.509

متطلبات المضيف الافتراضي

متطلبات خادم قاعدة البيانات

متطلبات إضافية لمصادقة Windows على Microsoft SQL Server

متطلبات الاتصال الخارجية

متطلبات الخادم الوكيل

أكمل المتطلبات الأساسية لأمن البيانات الهجينة

إعداد مجموعة أمان بيانات هجينة

سير عمل نشر أمان البيانات الهجينة

تنزيل ملفات التثبيت

إنشاء ملف ISO للتكوين لمضيفات HDS

تثبيت HDS Host OVA

إعداد جهاز VM للأمان الهجين للبيانات

تحميل وتثبيت ISO لتكوين HDS

تكوين عقدة HDS لتكامل الوكيل

تسجيل العقدة الأولى في المجموعة

إنشاء وتسجيل المزيد من العقد

تشغيل الإصدار التجريبي والانتقال إلى الإنتاج

تدفق مهام التجربة والإنتاج

تفعيل النسخة التجريبية

اختبار نشر أمان البيانات الهجينة لديك

مراقبة صحة وأمان البيانات الهجينة

إضافة أو إزالة المستخدمين من النسخة التجريبية الخاصة بك

الانتقال من التجربة إلى الإنتاج

إنهاء تجربتك دون الانتقال إلى الإنتاج

إدارة نشر HDS الخاص بك

إدارة نشر HDS

تعيين جدول ترقية المجموعة

تغيير تكوين العقدة

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

إزالة عقدة

استعادة الكوارث باستخدام مركز البيانات الاحتياطي

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

التنبيهات

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

ملاحظات أخرى

المشكلات المعروفة المتعلقة بأمان البيانات الهجينة

تشغيل أداة إعداد HDS باستخدام Podman Desktop

استخدام OpenSSL لإنشاء ملف PKCS12

حركة المرور بين عقد HDS والسحابة

حركة مرور جمع المقاييس الصادرة

حركة المرور الواردة

تكوين وكلاء Squid لأمان البيانات الهجينة

لا يمكن ل Websocket الاتصال من خلال وكيل الحبار

الشركات صغيرة الحجم

المؤسسة

الأجهزة

حلول لـ

الموارد

الشركة