دليل النشر لأمن البيانات الهجينة متعددة المستأجرين (HDS)

في هذه المقالة

هل لديك ملاحظات؟

معلومات جديدة ومتغيرة

يغطي هذا الجدول الميزات أو الوظائف الجديدة، والتغييرات في المحتوى الحالي، وأي أخطاء رئيسية تم إصلاحها في دليل النشر لأمان البيانات الهجينة متعددة المستأجرين.

التاريخ	التغييرات التي تم إجراؤها
21 نوفمبر 2025	تمت إضافة قسم الأسئلة الشائعة. تمت إضافة إعداد مركز بيانات احتياطي للتعافي من الكوارث و التعافي من الكوارث باستخدام مركز البيانات الاحتياطي. تمت إزالة (النسخة التجريبية) من عنوان دليل النشر.
8 مايو 2025	تمت إضافة نقل نشر HDS للمستأجر الفردي الحالي لمنظمة شريكة في Control Hub إلى إعداد HDS متعدد المستأجرين في قسم Partner Hub. تم تحديث إخراج syslog لتحسين قابلية القراءة في قسم اختبار نشر أمان البيانات الهجينة. تم تحديث متطلبات المضيف الافتراضي، و سير عمل نشر أمان البيانات الهجين، و تثبيت HDS Host OVA لإضافة دعم ESXi 8.0.
4 مارس 2025	تمت إضافة أداة تشغيل إعداد HDS باستخدام قسم Podman Desktop. تمت إضافة ملاحظة في متطلبات سطح مكتب Docker لتزويد العملاء بخيار مفتوح المصدر بديل. تم تحديث إنشاء ملف ISO للتكوين لمضيفات HDS و تغيير تكوين العقدة مع الإرشادات لاستخدام Podman Desktop للعملاء الذين لا يملكون ترخيص Docker Desktop.
30 يناير 2025	تمت إضافة إصدار SQL Server 2022 إلى قائمة خوادم SQL المدعومة في متطلبات خادم قاعدة البيانات.
15 يناير 2025	تمت إضافة حدود أمان البيانات الهجينة متعددة المستأجرين.
8 يناير 2025	تمت إضافة ملاحظة في تنفيذ الإعداد الأولي وتنزيل ملفات التثبيت تفيد بأن النقر فوق إعداد على بطاقة HDS في Partner Hub يعد خطوة مهمة في عملية التثبيت.
7 يناير 2025	تم تحديث متطلبات المضيف الافتراضي، و تدفق مهام نشر أمان البيانات الهجين، و تثبيت HDS Host OVA لإظهار المتطلبات الجديدة لـ ESXi 7.0.
13 ديسمبر 2024	نُشرت لأول مرة.

إلغاء تنشيط أمان البيانات الهجينة متعددة المستأجرين

سير عمل إلغاء تنشيط HDS متعدد المستأجرين

اتبع الخطوات التالية لإلغاء تنشيط HDS متعدد المستأجرين تمامًا.

قبل البدء

يجب أن يتم تنفيذ هذه المهمة بواسطة مسؤول الشريك الكامل فقط.

1	قم بإزالة جميع العملاء من جميع مجموعاتك، كما هو مذكور في إزالة منظمات المستأجرين.
2	إلغاء مفاتيح إدارة العملاء (CMKs) لجميع العملاء، كما هو مذكور في إلغاء مفاتيح إدارة العملاء (CMKs) للمستأجرين الذين تمت إزالتهم من HDS..
3	قم بإزالة جميع العقد من جميع مجموعاتك، كما هو مذكور في إزالة عقدة.
4	احذف جميع مجموعاتك من Partner Hub باستخدام إحدى الطريقتين التاليتين. انقر فوق المجموعة التي تريد حذفها، ثم حدد حذف هذه المجموعة في الزاوية اليمنى العليا من صفحة النظرة العامة. في صفحة الموارد، انقر فوق على الجانب الأيمن من المجموعة وحدد إزالة المجموعة.
5	انقر فوق علامة التبويب الإعدادات في صفحة نظرة عامة على أمان البيانات الهجينة وانقر فوق إلغاء تنشيط HDS في بطاقة حالة HDS.

الأسئلة الشائعة

س. هل يتم تخزين مفاتيح CMK والمفتاح الرئيسي في ISO أو قاعدة البيانات؟

الإجابة يتم تخزين مفاتيح العميل الرئيسية (CMKs) في قاعدة البيانات ويتم تشفيرها باستخدام المفتاح الرئيسي، والذي يتم تخزينه في ISO.

س. هل يتم استخدام مفتاح واحد لتشفير كافة بيانات مؤسسات العملاء؟

الإجابة لا. يتم تشفير بيانات كل منظمة عميل باستخدام CMK (المفتاح الرئيسي للعميل) الخاص بها.

س. ماذا سيحدث إذا قمت بتعطيل HDS من Partner Hub؟

الإجابة ستتأثر بعض العمليات، مثل إنشاء مساحة وجدولة الاجتماعات، على الفور. سيكون المحتوى الموجود في المساحات متاحًا حتى انتهاء صلاحية ذاكرة التخزين المؤقت المحلية. بعد مرور 24 ساعة، سيتحول المستخدمون الذين يديرهم الشريك إلى Cloud KMS، وقد تنشأ مشكلات مع المساحات التي تم إنشاؤها مسبقًا والمساحات الفردية.

س. بمجرد إنشاء CMK لمنظمة العميل من خلال أداة إعداد HDS، هل يبدأ مستخدمو منظمة العميل على الفور في الاستفادة من HDS متعدد المستأجرين؟

الإجابة قد يكون هناك تأخير أقصى قدره 24 ساعة لتحديث ذاكرة التخزين المؤقت السحابية.

س. لماذا لا أرى قائمة العملاء عندما أنقر على زر "إضافة عملاء" في مركز الشركاء؟

الإجابة يعني هذا عادةً عدم وجود منظمات عملاء تلبي متطلبات ترخيص Cisco Webex .

س. ما هو التأثير في حالة إغلاق جميع عقد HDS أو في حالة تأثير مشكلة في الشبكة على جميع عقد HDS؟

الإجابة وتتأثر العمليات مثل إنشاء المساحات وجدولة الاجتماعات على الفور. يمكن الوصول إلى المحتوى الحالي فقط حتى انتهاء صلاحية ذاكرة التخزين المؤقت المحلية.

س. هل يتم تشفير بيانات المستخدم الخاصة بالمنظمة الشريكة باستخدام المفتاح الرئيسي الذي تم إنشاؤه أثناء إنشاء ISO؟

الإجابة نعم: حاليًا، يتم تشفير بيانات مستخدمي المنظمة الشريكة باستخدام المفتاح الرئيسي. في المستقبل، سيكون لدى المنظمات الشريكة مفاتيح خاصة بالشركاء، مماثلة لمفاتيح إدارة العملاء (CMKs) الخاصة بالعملاء.

س. هل يمكن أن تكون المنظمة الشريكة والمنظمات المستأجرة في مناطق مختلفة (على سبيل المثال، الولايات المتحدة والاتحاد الأوروبي)؟

الإجابة نعم: يمكن أن تتواجد المنظمات الشريكة والمستأجرة في مناطق جغرافية مختلفة.

س. هل هناك أي آلية لنقل المفاتيح مرة أخرى إلى Cloud KMS؟

الإجابة لا توجد آلية لنقل المفاتيح مرة أخرى إلى السحابة بعد نشر HDS.

س. هل يمكن للشريك الاستمرار في استخدام Cloud KMS واستخدام Multi-Tenant HDS حصريًا لإدارة العملاء؟

الإجابة لا، هذا غير مدعوم حاليًا. ومن المخطط دعم هذه الوظيفة في المستقبل.

س. كيف يمكن للشريك التحقق من أن مؤسسته تستخدم نظام HDS متعدد المستأجرين للتشفير؟

الإجابة تسجيل الدخول إلى مركز الشركاء. انتقل إلى الخدمات > أمان البيانات الهجين > إعدادات . إذا تم تنشيط حالة HDS، فإن مستخدمي المنظمة الشريكة وكذلك العملاء المعينين يستخدمون HDS متعدد المستأجرين.

بدلاً من ذلك، يمكنك التحقق من سجلات النظام لديك للتأكد من تنشيط HDS. انظر اختبار نشر أمان البيانات الهجينة الخاص بك.

س. هل يوجد بديل لـ Docker Desktop لتشغيل أداة إعداد HDS؟

الإجابة نعم: Pod man Desktop هو بديل مفتوح المصدر لـ Docker Desktop. انظر تشغيل أداة إعداد HDS باستخدام Podman Desktop.

س. كم عدد العقد التي يمكنني نشرها في مجموعة HDS متعددة المستأجرين؟

الإجابة نوصي بحد أدنى من العقدتين وبحد أقصى 1000.

س. ما هي متطلبات الشبكة اللازمة لإعداد HDS متعدد المستأجرين؟

الإجابة انظر متطلبات الاتصال الخارجية.

س. هل يعد Pro Pack for Control Hub شرطًا أساسيًا للمنظمات الشريكة؟

الإجابة لا، لا يعد Pro Pack شرطًا للمنظمات الشريكة. اتصل بشريك Cisco أو مدير الحساب الخاص بك للحصول على المساعدة في إعداد HDS متعدد المستأجرين.

س. هل يتم دعم HSM في نظام HDS متعدد المستأجرين؟

الإجابة لا، حاليًا لا يدعم Multi-Tenant HDS نظام HSM.

س. هل يمكنني اختبار HDS متعدد المستأجرين باستخدام شهادة ذاتية التوقيع؟

الإجابة لا. يتطلب نظام HDS متعدد المستأجرين الحصول على شهادة تم استردادها من سلطة تصديق موثوقة تلبي جميع المتطلبات المذكورة في متطلبات شهادة X.509.

س. هل يلزم تركيب ISO في كل مرة تتم إضافة عميل جديد إلى Partner Hub؟

الإجابة لا. يلزم تثبيت ISO فقط عند تعديل تكوينات ISO. عند إضافة عميل جديد إلى Partner Hub، تأكد من إمكانية إنشاء مفاتيح العميل (CMKs) باستخدام أداة إعداد HDS. راجع إنشاء مفاتيح العميل الرئيسية (CMKs) باستخدام أداة إعداد HDS.

س. بعد نشر Multi-Tenant HDS على Partner Hub، هل يبدأ مستخدمو المؤسسة الشريكة في الاستفادة من KMS المحلي لإدارة المفاتيح؟

الإجابة سيبدأ المستخدمون في استخدام KMS المحلي لإدارة المفاتيح فقط بعد تنشيط HDS في Partner Hub.

ابدأ باستخدام أمان البيانات الهجين متعدد المستأجرين

نظرة عامة على أمن البيانات الهجينة متعددة المستأجرين

منذ اليوم الأول، كان أمان البيانات هو المحور الأساسي في تصميم تطبيق Webex. حجر الأساس لهذا الأمان هو تشفير المحتوى من البداية إلى النهاية، والذي يتم تمكينه من خلال عملاء تطبيق Webex الذين يتفاعلون مع خدمة إدارة المفاتيح (KMS). KMS مسؤول عن إنشاء وإدارة مفاتيح التشفير التي يستخدمها العملاء لتشفير الرسائل والملفات وفك تشفيرها ديناميكيا.

بشكل افتراضي، يحصل جميع عملاء تطبيق Webex على تشفير شامل باستخدام مفاتيح ديناميكية مخزنة في KMS السحابي، في نطاق أمان Cisco. ينقل أمان البيانات المختلط KMS والوظائف الأخرى المتعلقة بالأمان إلى مركز بيانات مؤسستك، بحيث لا أحد غيرك يحمل مفاتيح المحتوى المشفر.

يتيح أمان البيانات الهجين متعدد المستأجرين للمؤسسات الاستفادة من HDS من خلال شريك محلي موثوق به، والذي يمكنه العمل كمزود خدمة وإدارة التشفير المحلي وخدمات الأمان الأخرى. يتيح هذا الإعداد للمؤسسة الشريكة التحكم الكامل في نشر وإدارة مفاتيح التشفير ويضمن أن بيانات المستخدم الخاصة بمؤسسات العملاء آمنة من الوصول الخارجي. تقوم المنظمات الشريكة بإعداد مثيلات HDS وإنشاء مجموعات HDS حسب الحاجة. يمكن لكل مثيل دعم مؤسسات عملاء متعددة على عكس نشر HDS العادي الذي يقتصر على مؤسسة واحدة.

على الرغم من أن المنظمات الشريكة تتمتع بالسيطرة على النشر والإدارة، إلا أنها لا تتمتع بالوصول إلى البيانات والمحتوى الذي ينشئه العملاء. يقتصر هذا الوصول على مؤسسات العملاء ومستخدميها.

يسمح هذا أيضًا للمؤسسات الأصغر حجمًا بالاستفادة من HDS، نظرًا لأن خدمة إدارة المفاتيح والبنية الأساسية للأمان مثل مراكز البيانات مملوكة للشريك المحلي الموثوق به.

كيف يوفر أمان البيانات الهجين متعدد المستأجرين سيادة البيانات والتحكم فيها

يتم حماية المحتوى الذي ينشئه المستخدم من الوصول الخارجي، مثل مقدمي الخدمات السحابية.
يتولى الشركاء المحليون الموثوق بهم إدارة مفاتيح التشفير الخاصة بالعملاء الذين تربطهم بهم بالفعل علاقة ثابتة.
خيار الحصول على الدعم الفني المحلي، إذا تم توفيره من قبل الشريك.
يدعم محتوى الاجتماعات والمراسلة والمكالمات.

تهدف هذه الوثيقة إلى مساعدة المنظمات الشريكة في إعداد وإدارة العملاء في ظل نظام أمان البيانات الهجين متعدد المستأجرين.

حدود أمان البيانات الهجينة متعددة المستأجرين

يجب ألا يكون لدى المنظمات الشريكة أي نشر HDS نشط في Control Hub.
يجب ألا يكون لدى منظمات المستأجرين أو العملاء التي ترغب في إدارتها بواسطة شريك أي نشر HDS موجود في Control Hub.
بمجرد نشر Multi-Tenant HDS بواسطة الشريك، يبدأ جميع مستخدمي مؤسسات العملاء بالإضافة إلى مستخدمي مؤسسة الشريك في الاستفادة من Multi-Tenant HDS لخدمات التشفير الخاصة بهم.

ستكون المنظمة الشريكة والمنظمات العميلة التي تديرها على نفس نشر HDS متعدد المستأجرين.

لن تستخدم المنظمة الشريكة نظام KMS السحابي بعد نشر نظام HDS متعدد المستأجرين.
لا توجد آلية لنقل المفاتيح مرة أخرى إلى Cloud KMS بعد نشر HDS.
تخضع أدوار المسؤول لبعض القيود؛ راجع القسم أدناه للحصول على التفاصيل.

الأدوار في أمن البيانات الهجينة متعددة المستأجرين

مسؤول الشريك الكامل - يمكنه إدارة الإعدادات لجميع العملاء الذين يديرهم الشريك. كما يستطيع تعيين أدوار المسؤول لمستخدمين حاليين في المؤسسة وتعيين عملاء معينين ليتم إدارتهم من قِبل مسؤولي الشريك.
مسؤول الشريك - يمكنه إدارة الإعدادات للعملاء الذين قام المسؤول بتوفيرها أو الذين تم تعيينهم للمستخدم.
المسؤول الكامل - مسؤول المنظمة الشريكة الذي يتمتع بالصلاحية لتنفيذ مهام مثل تعديل إعدادات المنظمة وإدارة التراخيص وتعيين الأدوار.

إعداد وإدارة نظام HDS متعدد المستأجرين من البداية إلى النهاية لجميع مؤسسات العملاء - مطلوب مسؤول كامل للشريك وحقوق مسؤول كاملة.
إدارة منظمات المستأجرين المعينة - مطلوب مسؤول الشريك وحقوق المسؤول الكاملة.

هندسة مجال الأمن

تقوم بنية سحابة Webex بفصل أنواع مختلفة من الخدمات إلى مجالات منفصلة، أو مجالات ثقة، كما هو موضح أدناه.

***عوالم الفصل (بدون أمان البيانات الهجين)***

لفهم أمان البيانات الهجينة بشكل أفضل، دعونا أولاً نلقي نظرة على حالة السحابة البحتة هذه، حيث توفر شركة Cisco جميع الوظائف في مجالات السحابة الخاصة بها. خدمة الهوية، وهي المكان الوحيد الذي يمكن فيه ربط المستخدمين بشكل مباشر بمعلوماتهم الشخصية مثل عنوان البريد الإلكتروني، منفصلة منطقيًا وماديًا عن مجال الأمان في مركز البيانات B. وكلاهما منفصلان بدورهما عن المجال الذي يتم فيه تخزين المحتوى المشفر في النهاية، في مركز البيانات C.

في هذا الرسم التخطيطي، العميل هو تطبيق Webex الذي يعمل على الكمبيوتر المحمول الخاص بالمستخدم، وقد تم مصادقته باستخدام خدمة الهوية. عندما يقوم المستخدم بإنشاء رسالة لإرسالها إلى مساحة ما، تتم الخطوات التالية:

يقوم العميل بإنشاء اتصال آمن مع خدمة إدارة المفاتيح (KMS)، ثم يطلب مفتاحًا لتشفير الرسالة. يستخدم الاتصال الآمن ECDH، ويقوم KMS بتشفير المفتاح باستخدام مفتاح رئيسي AES-256.
يتم تشفير الرسالة قبل خروجها من العميل. يقوم العميل بإرسالها إلى خدمة الفهرسة، والتي تقوم بإنشاء فهارس بحث مشفرة للمساعدة في عمليات البحث المستقبلية عن المحتوى.
يتم إرسال الرسالة المشفرة إلى خدمة الامتثال للتحقق من الامتثال.
يتم تخزين الرسالة المشفرة في منطقة التخزين.

عند نشر Hybrid Data Security، يمكنك نقل وظائف مجال الأمان (KMS والفهرسة والامتثال) إلى مركز البيانات المحلي لديك. وتظل الخدمات السحابية الأخرى التي تشكل Webex (بما في ذلك تخزين الهوية والمحتوى) ضمن نطاق Cisco.

التعاون مع المنظمات الأخرى

قد يستخدم المستخدمون في مؤسستك تطبيق Webex بانتظام للتعاون مع المشاركين الخارجيين في مؤسسات أخرى. عندما يطلب أحد المستخدمين مفتاحًا لمساحة مملوكة لمؤسستك (لأنها تم إنشاؤها بواسطة أحد المستخدمين)، يرسل نظام إدارة المفاتيح (KMS) المفتاح إلى العميل عبر قناة مؤمنة بواسطة ECDH. ومع ذلك، عندما تمتلك منظمة أخرى المفتاح للمساحة، يقوم نظام إدارة المفاتيح (KMS) الخاص بك بتوجيه الطلب إلى سحابة Webex من خلال قناة ECDH منفصلة للحصول على المفتاح من نظام إدارة المفاتيح (KMS) المناسب، ثم يقوم بإرجاع المفتاح إلى المستخدم على القناة الأصلية.

تقوم خدمة KMS التي تعمل على المؤسسة A بالتحقق من صحة الاتصالات بأنظمة KMS في المؤسسات الأخرى باستخدام شهادات x.509 PKI. راجع تحضير البيئة الخاصة بك للحصول على تفاصيل حول إنشاء شهادة x.509 لاستخدامها مع نشر أمان البيانات الهجين متعدد المستأجرين.

توقعات بشأن نشر أمن البيانات الهجين

يتطلب نشر أمان البيانات الهجين التزامًا كبيرًا ووعيًا بالمخاطر التي تأتي مع امتلاك مفاتيح التشفير.

لنشر أمان البيانات الهجين، يجب عليك توفير:

مركز بيانات آمن في بلد يعد موقعًا مدعومًا لخطط Cisco Webex Teams .
المعدات والبرمجيات والوصول إلى الشبكة الموضحة في تحضير البيئة الخاصة بك.

سيؤدي الفقدان الكامل لملف ISO الخاص بالتكوين الذي تقوم بإنشائه لأمان البيانات الهجين أو قاعدة البيانات التي تقدمها إلى فقدان المفاتيح. يؤدي فقدان المفتاح إلى منع المستخدمين من فك تشفير محتوى المساحة والبيانات المشفرة الأخرى في تطبيق Webex. إذا حدث هذا، فيمكنك إنشاء نشر جديد، ولكن المحتوى الجديد فقط سيكون مرئيًا. لتجنب فقدان الوصول إلى البيانات، يجب عليك:

إدارة النسخ الاحتياطي واسترداد قاعدة البيانات وتكوين ISO.
كن مستعدًا لإجراء استرداد سريع للكوارث في حالة حدوث كارثة، مثل فشل قرص قاعدة البيانات أو كارثة مركز البيانات.

لا توجد آلية لنقل المفاتيح مرة أخرى إلى السحابة بعد نشر HDS.

عملية الإعداد رفيع المستوى

تغطي هذه الوثيقة إعداد وإدارة نشر أمان البيانات الهجين متعدد المستأجرين:

إعداد أمان البيانات الهجين—يتضمن ذلك إعداد البنية الأساسية المطلوبة وتثبيت برنامج أمان البيانات الهجين، وإنشاء مجموعة HDS، وإضافة منظمات المستأجرين إلى المجموعة وإدارة مفاتيح العملاء الرئيسية (CMKs) الخاصة بهم. سيسمح هذا لجميع مستخدمي مؤسسات عملائك باستخدام مجموعة أمان البيانات الهجينة الخاصة بك لوظائف الأمان.

سيتم شرح مراحل الإعداد والتفعيل والإدارة بالتفصيل في الفصول الثلاثة التالية.
حافظ على نشر أمان البيانات الهجين الخاص بك—توفر سحابة Webex ترقيات مستمرة تلقائيًا. يمكن لقسم تكنولوجيا المعلومات الخاص بك توفير الدعم من المستوى الأول لهذا النشر، والاستفادة من دعم Cisco حسب الحاجة. يمكنك استخدام الإشعارات التي تظهر على الشاشة وإعداد تنبيهات عبر البريد الإلكتروني في Partner Hub.
فهم التنبيهات الشائعة وخطوات استكشاف الأخطاء وإصلاحها والمشكلات المعروفة—إذا واجهت مشكلة في نشر أو استخدام Hybrid Data Security، فقد يساعدك الفصل الأخير من هذا الدليل وملحق المشكلات المعروفة في تحديد المشكلة وإصلاحها.

نموذج نشر أمن البيانات الهجين

داخل مركز بيانات مؤسستك، يمكنك نشر أمان البيانات الهجين كمجموعة واحدة من العقد على مضيفين افتراضيين منفصلين. تتواصل العقد مع سحابة Webex من خلال منافذ الويب الآمنة وبروتوكول HTTP الآمن.

أثناء عملية التثبيت، نوفر لك ملف OVA لإعداد الجهاز الظاهري على الأجهزة الظاهرية التي تقدمها. تستخدم أداة إعداد HDS لإنشاء ملف ISO لتكوين مجموعة مخصصة يمكنك تثبيته على كل عقدة. تستخدم مجموعة أمان البيانات الهجينة خادم Syslogd المقدم لك وقاعدة بيانات PostgreSQL أو Microsoft SQL Server. (يمكنك تكوين تفاصيل اتصال Syslogd وقاعدة البيانات في أداة إعداد HDS.)

نموذج نشر أمن البيانات الهجين

الحد الأدنى لعدد العقد التي يمكنك الحصول عليها في مجموعة هو اثنان. نوصي بثلاثة على الأقل لكل مجموعة. يضمن وجود عقد متعددة عدم انقطاع الخدمة أثناء ترقية البرنامج أو أي نشاط صيانة آخر على عقدة. (تقوم سحابة Webex بترقية عقدة واحدة فقط في كل مرة.)

تتمكن جميع العقد الموجودة في المجموعة من الوصول إلى نفس مخزن البيانات الرئيسي، وتسجيل النشاط على نفس خادم syslog. العقد نفسها لا تحمل جنسية، وتتعامل مع طلبات المفاتيح بطريقة دائرية، وفقًا لتوجيهات السحابة.

تصبح العقد نشطة عند تسجيلها في مركز الشركاء. لإخراج عقدة فردية من الخدمة، يمكنك إلغاء تسجيلها، ثم إعادة تسجيلها لاحقًا إذا لزم الأمر.

مركز بيانات احتياطي للتعافي من الكوارث

أثناء النشر، يمكنك إعداد مركز بيانات احتياطي آمن. في حالة وقوع كارثة في مركز البيانات، يمكنك الفشل يدويًا في نشر البيانات ونقلها إلى مركز البيانات الاحتياطي.

قبل الفشل، يحتوي مركز البيانات A على عقد HDS نشطة وقاعدة بيانات PostgreSQL أو Microsoft SQL Server الأساسية، بينما يحتوي B على نسخة من ملف ISO مع تكوينات إضافية، وأجهزة افتراضية مسجلة لدى المنظمة، وقاعدة بيانات احتياطية. بعد الفشل، يكون مركز البيانات B لديه عقد HDS نشطة وقاعدة البيانات الأساسية، بينما يكون لدى A أجهزة افتراضية غير مسجلة ونسخة من ملف ISO، وتكون قاعدة البيانات في وضع الاستعداد. — ***التحويل اليدوي إلى مركز بيانات احتياطي***

تتم مزامنة قواعد بيانات مراكز البيانات النشطة والاحتياطية مع بعضها البعض مما يقلل من الوقت المستغرق لإجراء عملية الفشل.

يجب أن تكون عقد أمان البيانات الهجينة النشطة دائمًا في نفس مركز البيانات مثل خادم قاعدة البيانات النشط.

إعداد مركز بيانات احتياطي للتعافي من الكوارث

اتبع الخطوات التالية لتكوين ملف ISO لمركز البيانات الاحتياطي:

قبل البدء

يجب أن يعكس مركز البيانات الاحتياطي بيئة الإنتاج الخاصة بالآلات الافتراضية وقاعدة بيانات PostgreSQL أو Microsoft SQL Server الاحتياطية. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 أجهزة افتراضية تعمل على عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 أجهزة افتراضية. (راجع مركز البيانات الاحتياطي للتعافي من الكوارث للحصول على نظرة عامة على نموذج الفشل هذا.)
تأكد من تمكين مزامنة قاعدة البيانات بين قاعدة بيانات العقد النشطة والسلبية.

1	ابدأ تشغيل أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء ملف ISO للتكوين لمضيفات HDS. يجب أن يكون ملف ISO عبارة عن نسخة من ملف ISO الأصلي لمركز البيانات الأساسي الذي سيتم إجراء تحديثات التكوين التالية عليه.
2	بعد تكوين خادم Syslogd، انقر فوق الإعدادات المتقدمة
3	في صفحة الإعدادات المتقدمة ، أضف التكوين أدناه لوضع العقدة في الوضع السلبي. في هذا الوضع، سيتم تسجيل العقدة في المنظمة وتوصيلها بالسحابة، لكنها لن تتعامل مع أي حركة مرور. `passiveMode: 'true'`
4	أكمل عملية التكوين واحفظ ملف ISO في مكان يمكنك العثور عليه بسهولة.
5	قم بعمل نسخة احتياطية من ملف ISO على النظام المحلي لديك. احتفظ بنسخة احتياطية آمنة. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. تقييد الوصول إلى مسؤولي أمان البيانات الهجينة فقط الذين يتعين عليهم إجراء تغييرات على التكوين.
6	في جزء التنقل الأيسر لعميل VMware vSphere، انقر بزر الماوس الأيمن فوق الجهاز الظاهري ثم انقر فوق تحرير الإعدادات..
7	انقر فوق تحرير الإعدادات >CD/DVD محرك الأقراص 1 وحدد ملف ISO الخاص بمخزن البيانات. تأكد من تحديد Connected و Connect at power on حتى تتمكن تغييرات التكوين المحدثة من الدخول حيز التنفيذ بعد بدء تشغيل العقد.
8	قم بتشغيل عقدة HDS وتأكد من عدم وجود أي إنذارات لمدة 15 دقيقة على الأقل.
9	كرر العملية لكل عقدة في مركز البيانات الاحتياطي. تحقق من سجلات النظام للتأكد من أن العقد في الوضع السلبي. يجب أن تكون قادرًا على عرض الرسالة "تم تكوين KMS في الوضع السلبي" في syslogs.

التصرف التالي

بعد تكوين passiveMode في ملف ISO وحفظه، يمكنك إنشاء نسخة أخرى من ملف ISO بدون تكوين passiveMode وحفظها في مكان آمن. يمكن أن تساعد هذه النسخة من ملف ISO بدون passiveMode المُهيأة في عملية الفشل السريع أثناء استرداد الكوارث. راجع استرداد الكوارث باستخدام مركز البيانات الاحتياطي للحصول على إجراءات الفشل التفصيلية.

دعم البروكسي

يدعم أمان البيانات المختلط الوكلاء الصريحين والشفافين وغير الخاضعين للتفتيش. يمكنك ربط هذه البروكسيات بالنشر الخاص بك بحيث يمكنك تأمين ومراقبة حركة المرور من المؤسسة إلى السحابة. يمكنك استخدام واجهة مسؤول النظام الأساسي على العقد لإدارة الشهادات والتحقق من حالة الاتصال العامة بعد إعداد الوكيل على العقد.

تدعم عقد أمان البيانات المختلطة خيارات الوكيل التالية:

لا يوجد وكيل— الإعداد الافتراضي إذا كنت لا تستخدم إعداد عقدة HDS Trust Store & تكوين الوكيل لدمج الوكيل. لا يلزم تحديث الشهادة.
وكيل شفاف غير فاحص—العقد غير مهيأة لاستخدام عنوان خادم وكيل محدد ولا ينبغي أن تتطلب أي تغييرات للعمل مع وكيل غير فاحص. لا يلزم تحديث الشهادة.
نفق شفاف أو وكيل تفتيش—العقد غير مهيأة لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTP أو HTTPS على العقد. ومع ذلك ، تحتاج العقد إلى شهادة جذر بحيث تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS).
الوكيل الصريح— باستخدام الوكيل الصريح، يمكنك إخبار عقد HDS بخادم الوكيل ونظام المصادقة الذي يجب استخدامه. لتكوين وكيل صريح، يجب إدخال المعلومات التالية على كل عقدة:
1. وكيل IP/FQDN—العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل.
2. منفذ الوكيل—رقم المنفذ الذي يستخدمه الوكيل للاستماع إلى حركة المرور التي يتم التوكيل إليها.
3. بروتوكول الوكيل—اعتمادًا على ما يدعمه خادم الوكيل الخاص بك، اختر بين البروتوكولات التالية:
  - HTTP—يعرض ويتحكم في جميع الطلبات التي يرسلها العميل.
  - HTTPS—يوفر قناة للخادم. يتلقى العميل شهادة الخادم ويتحقق من صحتها.
4. نوع المصادقة—اختر من بين أنواع المصادقة التالية:
  - لا شيء—لا يلزم إجراء أي مصادقة إضافية.
    
    متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.
  - أساسي— يستخدم لوكيل مستخدم HTTP لتوفير اسم المستخدم وكلمة المرور عند تقديم طلب. يستخدم ترميز Base64.
    
    متوفر إذا قمت بتحديد HTTP أو HTTPS كبروتوكول وكيل.
    
    يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.
  - ملخص— يستخدم لتأكيد الحساب قبل إرسال المعلومات الحساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة.
    
    متوفر فقط إذا قمت بتحديد HTTPS كبروتوكول وكيل.
    
    يتطلب منك إدخال اسم المستخدم وكلمة المرور على كل عقدة.

مثال على عقد أمان البيانات المختلطة والوكيل

يوضح هذا الرسم التخطيطي مثالا على الاتصال بين أمان البيانات المختلطة والشبكة والوكيل. بالنسبة لخيارات الفحص الشفاف ووكيل الفحص الصريح HTTPS ، يجب تثبيت نفس شهادة الجذر على الوكيل وعلى عقد أمان البيانات المختلطة.

رسم تخطيطي يوضح مثالاً للاتصال بين أمان البيانات الهجين والشبكة والوكيل.

وضع دقة DNS الخارجي المحظور (تكوينات الوكيل الصريحة)

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. في عمليات النشر ذات تكوينات الوكيل الصريحة التي لا تسمح بدقة DNS الخارجية للعملاء الداخليين، إذا لم تتمكن العقدة من الاستعلام عن خوادم DNS، فإنها تنتقل تلقائيا إلى وضع حل DNS الخارجي المحظور. في هذا الوضع، يمكن متابعة تسجيل العقدة واختبارات اتصال الوكيل الأخرى.

إعداد بيئتك

متطلبات أمن البيانات الهجينة متعددة المستأجرين

متطلبات ترخيص Cisco Webex

لنشر أمان البيانات الهجين متعدد المستأجرين:

المنظمات الشريكة: اتصل بشريك Cisco أو مدير الحساب الخاص بك وتأكد من تمكين ميزة تعدد المستأجرين.
المنظمات المستأجرة: يجب أن يكون لديك Pro Pack لـ Cisco Webex Control Hub. (يرى https://www.cisco.com/go/pro-pack.)

متطلبات سطح مكتب Docker

قبل تثبيت عقد HDS، ستحتاج إلى Docker Desktop لتشغيل برنامج الإعداد. قامت Docker مؤخرًا بتحديث نموذج الترخيص الخاص بها. قد تتطلب مؤسستك اشتراكًا مدفوعًا لـ Docker Desktop. للحصول على التفاصيل، راجع منشور مدونة Docker، " Docker يقوم بتحديث وتوسيع اشتراكات منتجاتنا".

يمكن للعملاء الذين لا يملكون ترخيص Docker Desktop استخدام أداة إدارة حاويات مفتوحة المصدر مثل Podman Desktop لتشغيل الحاويات وإدارتها وإنشائها. راجع تشغيل أداة إعداد HDS باستخدام Podman Desktop للحصول على التفاصيل.

متطلبات شهادة X.509

يجب أن تفي سلسلة الشهادة بالمتطلبات التالية:

الجدول رقم 1. متطلبات شهادة X.509 لنشر أمان البيانات الهجينة
المتطلبات	التفاصيل
تم التوقيع عليه من قبل هيئة إصدار الشهادات الموثوقة (CA)	بشكل افتراضي، نثق في السلطات المصدقة في قائمة Mozilla (باستثناء WoSign وStartCom) في https://wiki.mozilla.org/CA:IncludedCAs.
يحمل اسم نطاق الاسم الشائع (CN) الذي يحدد نشر أمان البيانات الهجين الخاص بك ليست شهادة عامة	لا يلزم أن تكون الشبكة المحلية قابلة للوصول أو مضيفًا مباشرًا. نوصيك باستخدام اسم يعكس مؤسستك، على سبيل المثال، `hds.company.com`. يجب ألا يحتوي CN على * (بطاقة عامة). يتم استخدام CN للتحقق من عقد أمان البيانات الهجينة لعملاء تطبيق Webex. تستخدم كافة عقد أمان البيانات الهجينة في مجموعتك نفس الشهادة. يقوم نظام KMS الخاص بك بتحديد نفسه باستخدام نطاق CN، وليس أي نطاق تم تعريفه في حقول SAN x.509v3. بمجرد تسجيل عقدة باستخدام هذه الشهادة، لن ندعم تغيير اسم نطاق CN.
توقيع غير SHA1	لا يدعم برنامج KMS توقيعات SHA1 للتحقق من صحة الاتصالات بأنظمة KMS الخاصة بالمؤسسات الأخرى.
تم تنسيقه كـ PKCS محمي بكلمة مرور #12 ملف استخدم الاسم الودود `kms-private-key` لوضع علامة على الشهادة والمفتاح الخاص وأي شهادات وسيطة للتحميل.	بإمكانك استخدام محول مثل OpenSSL لتغيير تنسيق شهادتك. سوف تحتاج إلى إدخال كلمة المرور عند تشغيل أداة إعداد HDS.

لا يفرض برنامج KMS قيودًا على استخدام المفاتيح أو استخدام المفاتيح الممتدة. تتطلب بعض سلطات الشهادات تطبيق قيود استخدام المفتاح الموسعة على كل شهادة، مثل مصادقة الخادم. لا بأس من استخدام مصادقة الخادم أو الإعدادات الأخرى.

متطلبات المضيف الافتراضي

تحتوي المضيفات الافتراضية التي ستقوم بإعدادها كعقد أمان بيانات هجينة في مجموعتك على المتطلبات التالية:

على الأقل مضيفين منفصلين (يوصى بثلاثة) متواجدين في نفس مركز البيانات الآمن
تم تثبيت VMware ESXi 7.0 أو 8.0 وتشغيله.

يجب عليك الترقية إذا كان لديك إصدار سابق من ESXi.
الحد الأدنى 4 وحدات معالجة مركزية افتراضية، وذاكرة رئيسية 8 جيجابايت، ومساحة قرص ثابت محلي 30 جيجابايت لكل خادم

متطلبات خادم قاعدة البيانات

إنشاء قاعدة بيانات جديدة لتخزين المفاتيح. لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، يتم إنشاء مخطط قاعدة البيانات.

هناك خياران لخادم قاعدة البيانات. المتطلبات لكل منها هي كما يلي:

الجدول رقم 2. متطلبات خادم قاعدة البيانات حسب نوع قاعدة البيانات
بوستجريس كيو ال	مايكروسوفت إس كيو إل سيرفر
تم تثبيت PostgreSQL 14 أو 15 أو 16 وتشغيله.	تم تثبيت SQL Server 2016، أو 2017، أو 2019، أو 2022 (Enterprise أو Standard). يتطلب SQL Server 2016 Service Pack 2 والتحديث التراكمي 2 أو الإصدار الأحدث.
الحد الأدنى 8 وحدات معالجة مركزية افتراضية، وذاكرة رئيسية بحجم 16 جيجابايت، ومساحة كافية على القرص الصلب ومراقبة لضمان عدم تجاوزها (يوصى بـ 2 تيرابايت إذا كنت تريد تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)	الحد الأدنى 8 وحدات معالجة مركزية افتراضية، وذاكرة رئيسية بحجم 16 جيجابايت، ومساحة كافية على القرص الصلب ومراقبة لضمان عدم تجاوزها (يوصى بـ 2 تيرابايت إذا كنت تريد تشغيل قاعدة البيانات لفترة طويلة دون الحاجة إلى زيادة مساحة التخزين)

يقوم برنامج HDS حاليًا بتثبيت إصدارات برنامج التشغيل التالية للتواصل مع خادم قاعدة البيانات:

بوستجريس كيو ال	مايكروسوفت إس كيو إل سيرفر
برنامج تشغيل Postgres JDBC 42.2.5	برنامج تشغيل SQL Server JDBC 4.6 يدعم إصدار برنامج التشغيل هذا SQL Server Always On ( Always On Failover Cluster Instances و Always On availability groups).

بوستجريس كيو ال

مايكروسوفت إس كيو إل سيرفر

برنامج تشغيل Postgres JDBC 42.2.5

برنامج تشغيل SQL Server JDBC 4.6

يدعم إصدار برنامج التشغيل هذا SQL Server Always On ( Always On Failover Cluster Instances و Always On availability groups).

متطلبات إضافية لمصادقة Windows على Microsoft SQL Server

إذا كنت تريد أن تستخدم عقد HDS مصادقة Windows للحصول على حق الوصول إلى قاعدة بيانات مخزن المفاتيح على Microsoft SQL Server، فأنت بحاجة إلى التكوين التالي في بيئتك:

يجب مزامنة عقد HDS والبنية الأساسية لـ Active Directory وMS SQL Server مع NTP.
يجب أن يحتوي حساب Windows الذي تقدمه لعقد HDS على read/write الوصول إلى قاعدة البيانات.
يجب أن تكون خوادم DNS التي تقدمها لعقد HDS قادرة على حل مركز توزيع المفتاح (KDC) الخاص بك.
يمكنك تسجيل مثيل قاعدة بيانات HDS على Microsoft SQL Server الخاص بك باعتباره اسم الخدمة الرئيسي (SPN) على Active Directory الخاص بك. راجع تسجيل اسم رئيسي للخدمة لاتصالات Kerberos.

تحتاج أداة إعداد HDS ومشغل HDS وKMS المحلي إلى استخدام مصادقة Windows للوصول إلى قاعدة بيانات مخزن المفاتيح. إنهم يستخدمون التفاصيل من تكوين ISO الخاص بك لإنشاء SPN عند طلب الوصول باستخدام مصادقة Kerberos.

متطلبات الاتصال الخارجية

قم بتكوين جدار الحماية الخاص بك للسماح بالاتصالات التالية لتطبيقات HDS:

التطبيق	البروتوكول	المنفذ	الاتجاه من التطبيق	الوجهة
عقد أمان البيانات الهجينة	TCP	443	HTTPS و WSS الصادر	خوادم Webex: * .wbx2.com .ciscospark.com جميع مضيفات الهوية المشتركة عناوين URL الأخرى المدرجة لأمان البيانات الهجين في جدول عناوين URL الإضافية لخدمات Webex الهجينة* ضمن متطلبات الشبكة لخدمات Webex
أداة إعداد HDS	TCP	443	HTTPS الصادر	* .wbx2.com جميع مضيفات الهوية المشتركة hub.docker.com

تعمل عقد أمان البيانات الهجينة مع ترجمة الوصول إلى الشبكة (NAT) أو خلف جدار الحماية، طالما يسمح NAT أو جدار الحماية بالاتصالات الصادرة المطلوبة إلى وجهات المجال في الجدول السابق. بالنسبة للاتصالات الواردة إلى عقد أمان البيانات الهجينة، لا ينبغي أن تكون أي منافذ مرئية من الإنترنت. داخل مركز البيانات الخاص بك، يحتاج العملاء إلى الوصول إلى عقد أمان البيانات الهجين على منافذ TCP 443 و22، لأغراض إدارية.

عناوين URL لمضيفي الهوية المشتركة (CI) خاصة بالمنطقة. هؤلاء هم مضيفو CI الحاليون:

المنطقة	عناوين URL لمضيف الهوية المشتركة
الأمريكتان	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
الاتحاد الأوروبي	https://idbroker-eu.webex.com https://identity-eu.webex.com
كندا	https://idbroker-ca.webex.com https://identity-ca.webex.com
سنغافورة	https://idbroker-sg.webex.com https://identity-sg.webex.com
الإمارات العربية المتحدة	https://idbroker-ae.webex.com https://identity-ae.webex.com

متطلبات الخادم الوكيل

نحن ندعم رسميا حلول البروكسي التالية التي يمكن أن تتكامل مع عقد أمان البيانات المختلطة الخاصة بك.
- وكيل شفاف - جهاز أمان الويب من Cisco (WSA).
- وكيل صريح - الحبار.
  
  يمكن أن تتداخل وكلاء Squid الذين يقومون بفحص حركة مرور HTTPS مع إنشاء websocket (wss:) الاتصالات. للتغلب على هذه المشكلة، راجع تكوين وكلاء Squid لأمان البيانات الهجينة.
نحن ندعم مجموعات أنواع المصادقة التالية للوكلاء الصريحين:
- لا توجد مصادقة باستخدام HTTP أو HTTPS
- المصادقة الأساسية باستخدام HTTP أو HTTPS
- تلخيص المصادقة باستخدام HTTPS فقط
للحصول على وكيل فحص شفاف أو وكيل HTTPS صريح، يجب أن يكون لديك نسخة من الشهادة الجذرية للوكيل. تخبرك إرشادات النشر الواردة في هذا الدليل بكيفية تحميل النسخة إلى مخازن الثقة الخاصة بعقد أمان البيانات المختلطة.
يجب تكوين الشبكة التي تستضيف عقد HDS لإجبار حركة مرور TCP الصادرة على المنفذ 443 على التوجيه عبر الوكيل.
قد تتداخل الوكلاء الذين يفحصون حركة مرور الويب مع اتصالات مقبس الويب. إذا حدثت هذه المشكلة، فإن تجاوز (وليس فحص) حركة المرور إلى wbx2.com و ciscospark.com سوف يحل المشكلة.

أكمل المتطلبات الأساسية لأمن البيانات الهجينة

استخدم قائمة التحقق هذه للتأكد من استعدادك لتثبيت وتكوين مجموعة أمان البيانات الهجينة الخاصة بك.

1	تأكد من تمكين ميزة HDS متعددة المستأجرين في مؤسستك الشريكة واحصل على بيانات اعتماد حساب يتمتع بمسؤول كامل للشريك وحقوق المسؤول الكاملة. تأكد من تمكين مؤسسة عميل Webex الخاصة بك لـ Pro Pack لـ Cisco Webex Control Hub. اتصل بشريك Cisco أو مدير الحساب الخاص بك للحصول على مساعدة في هذه العملية. لا ينبغي لمنظمات العملاء أن يكون لديها أي نشر HDS موجود.
2	اختر اسم نطاق لنشر HDS الخاص بك (على سبيل المثال، `hds.company.com`) واحصل على سلسلة شهادات تحتوي على شهادة X.509، والمفتاح الخاص، وأي شهادات وسيطة. يجب أن تفي سلسلة الشهادة بالمتطلبات الواردة في متطلبات شهادة X.509.
3	قم بإعداد مضيفين افتراضيين متطابقين ستقوم بإعدادهم كعقد أمان بيانات هجينة في مجموعتك. تحتاج إلى مضيفين منفصلين على الأقل (يوصى بثلاثة) متواجدين في نفس مركز البيانات الآمن، والذين يستوفون المتطلبات المذكورة في متطلبات المضيف الافتراضي.
4	قم بإعداد خادم قاعدة البيانات الذي سيعمل كمخزن بيانات رئيسي للمجموعة، وفقًا لمتطلبات خادم قاعدة البيانات . يجب أن يكون خادم قاعدة البيانات موجودًا في مركز البيانات الآمن مع المضيفين الافتراضيين. إنشاء قاعدة بيانات لتخزين المفاتيح. (يجب عليك إنشاء قاعدة البيانات هذه - لا تستخدم قاعدة البيانات الافتراضية. عند تثبيت تطبيقات HDS، يتم إنشاء مخطط قاعدة البيانات.) جمع التفاصيل التي ستستخدمها العقد للتواصل مع خادم قاعدة البيانات: اسم المضيف أو عنوان IP (المضيف) والمنفذ اسم قاعدة البيانات (dbname) لتخزين المفتاح اسم المستخدم وكلمة المرور للمستخدم الذي يتمتع بجميع الامتيازات على قاعدة بيانات تخزين المفاتيح
5	للتعافي السريع من الكوارث، قم بإعداد بيئة احتياطية في مركز بيانات مختلف. تعكس بيئة النسخ الاحتياطي بيئة الإنتاج الخاصة بالأجهزة الافتراضية وخادم قاعدة بيانات النسخ الاحتياطي. على سبيل المثال، إذا كان الإنتاج يحتوي على 3 أجهزة افتراضية تعمل على عقد HDS، فيجب أن تحتوي بيئة النسخ الاحتياطي على 3 أجهزة افتراضية.
6	قم بإعداد مضيف syslog لجمع السجلات من العقد الموجودة في المجموعة. قم بتجميع عنوان الشبكة ومنفذ syslog (الافتراضي هو UDP 514).
7	إنشاء سياسة نسخ احتياطي آمنة لعقد أمان البيانات الهجينة وخادم قاعدة البيانات ومضيف syslog. على الأقل، لمنع فقدان البيانات غير القابلة للاسترداد، يجب عليك عمل نسخة احتياطية لقاعدة البيانات وملف ISO الخاص بالتكوين الذي تم إنشاؤه لعقد Hybrid Data Security. نظرًا لأن عقد أمان البيانات الهجين تخزن المفاتيح المستخدمة في تشفير وفك تشفير المحتوى، فإن الفشل في الحفاظ على النشر التشغيلي سيؤدي إلى خسارة غير قابلة للاسترداد لهذا المحتوى. يقوم عملاء تطبيق Webex بتخزين مفاتيحهم مؤقتًا، لذا قد لا يكون الانقطاع ملحوظًا على الفور ولكنه سيصبح واضحًا بمرور الوقت. على الرغم من أنه من المستحيل منع الانقطاعات المؤقتة، إلا أنه يمكن إصلاحها. ومع ذلك، فإن الخسارة الكاملة (عدم توفر نسخ احتياطية) لقاعدة البيانات أو ملف ISO للتكوين سوف تؤدي إلى عدم إمكانية استرداد بيانات العميل. ومن المتوقع أن يقوم مشغلو عقد أمان البيانات الهجين بالحفاظ على نسخ احتياطية متكررة لقاعدة البيانات وملف ISO للتكوين، وأن يكونوا مستعدين لإعادة بناء مركز بيانات أمان البيانات الهجين في حالة حدوث فشل كارثي.
8	تأكد من أن تكوين جدار الحماية الخاص بك يسمح بالاتصال بعقد أمان البيانات الهجينة الخاصة بك كما هو موضح في متطلبات الاتصال الخارجية.
9	قم بتثبيت Docker ( https://www.docker.com) على أي جهاز محلي يعمل بنظام تشغيل مدعوم (Microsoft Windows 10 Professional أو Enterprise 64 بت، أو Mac OSX Yosemite 10.10.3 أو أعلى) مع متصفح ويب يمكنه الوصول إليه على ⁦http://127.0.0.1:8080.⁩ تستخدم مثيل Docker لتنزيل أداة إعداد HDS وتشغيلها، والتي تقوم ببناء معلومات التكوين المحلية لجميع عقد Hybrid Data Security. قد تحتاج إلى ترخيص Docker Desktop. راجع متطلبات سطح مكتب Docker للحصول على مزيد من المعلومات. لتثبيت أداة إعداد HDS وتشغيلها، يجب أن يتمتع الجهاز المحلي بالاتصال الموضح في متطلبات الاتصال الخارجية.
10	إذا كنت تقوم بدمج وكيل مع Hybrid Data Security، فتأكد من أنه يلبي متطلبات خادم الوكيل .

إعداد مجموعة أمان البيانات الهجينة

سير عمل نشر أمان البيانات الهجينة

قبل البدء

1	قم بإجراء الإعداد الأولي وتنزيل ملفات التثبيت قم بتنزيل ملف OVA على جهازك المحلي لاستخدامه لاحقًا.
2	إنشاء ملف ISO للتكوين لمضيفات HDS استخدم أداة إعداد HDS لإنشاء ملف تكوين ISO لعقد أمان البيانات الهجين.
3	تثبيت HDS Host OVA قم بإنشاء جهاز افتراضي من ملف OVA وقم بإجراء التكوين الأولي، مثل إعدادات الشبكة. تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0 و8.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.
4	إعداد جهاز VM للأمان الهجين للبيانات قم بتسجيل الدخول إلى وحدة التحكم VM وقم بتعيين بيانات اعتماد تسجيل الدخول. قم بتكوين إعدادات الشبكة للعقدة إذا لم تقم بتكوينها في وقت نشر OVA.
5	تحميل وتثبيت ISO لتكوين HDS قم بتكوين الجهاز الافتراضي من ملف تكوين ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.
6	تكوين عقدة HDS لتكامل الوكيل إذا كانت بيئة الشبكة تتطلب تكوين وكيل، فحدد نوع الوكيل الذي ستستخدمه للعقدة، وأضف شهادة الوكيل إلى مخزن الثقة إذا لزم الأمر.
7	تسجيل العقدة الأولى في المجموعة قم بتسجيل الجهاز الافتراضي مع سحابة Cisco Webex كعقدة أمان بيانات هجينة.
8	إنشاء وتسجيل المزيد من العقد أكمل إعداد المجموعة.
9	قم بتفعيل HDS متعدد المستأجرين على Partner Hub. قم بتنشيط HDS وإدارة منظمات المستأجرين على Partner Hub.

قم بإجراء الإعداد الأولي وتنزيل ملفات التثبيت

في هذه المهمة، تقوم بتنزيل ملف OVA على جهازك (وليس على الخوادم التي قمت بإعدادها كعقد أمان بيانات هجينة). يمكنك استخدام هذا الملف لاحقًا في عملية التثبيت.

1	قم بتسجيل الدخول إلى مركز الشركاء، ثم انقر فوق الخدمات.
2	في القسم الهجين، ابحث عن بطاقة أمان البيانات الهجين، ثم انقر فوق إعداد. يعد النقر على إعداد في مركز الشركاء أمرًا بالغ الأهمية لعملية النشر. لا تقم بالاستمرار في التثبيت دون إكمال هذه الخطوة.
3	انقر فوق إضافة مورد وانقر فوق تنزيل ملف .OVA على بطاقة تثبيت وتكوين البرنامج. لن تكون الإصدارات الأقدم من حزمة البرامج (OVA) متوافقة مع أحدث ترقيات Hybrid Data Security. قد يؤدي هذا إلى حدوث مشكلات أثناء ترقية التطبيق. تأكد من تنزيل أحدث إصدار من ملف OVA. يمكنك أيضًا تنزيل OVA في أي وقت من قسم المساعدة. انقر فوق الإعدادات > يساعد > تنزيل برنامج Hybrid Data Security. يبدأ تنزيل ملف OVA تلقائيًا. احفظ الملف في مكان على جهازك.

إنشاء ملف ISO للتكوين لمضيفات HDS

إن عملية إعداد أمان البيانات الهجينة تنشئ ملف ISO. يمكنك بعد ذلك استخدام ISO لتكوين مضيف أمان البيانات الهجين الخاص بك.

قبل البدء

تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة.

إذا لم يكن لديك ترخيص Docker Desktop، فيمكنك استخدام Podman Desktop لتشغيل أداة إعداد HDS للخطوات من 1 إلى 5 في الإجراء أدناه. راجع تشغيل أداة إعداد HDS باستخدام Podman Desktop للحصول على التفاصيل.

إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم، المنفذ، بيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5 أدناه. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

الوصف

المتغير

وكيل HTTP بدون مصادقة

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

وكيل HTTPS بدون مصادقة

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

وكيل HTTP مع المصادقة

GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

وكيل HTTPS مع المصادقة

GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
يحتوي ملف ISO للتكوين الذي تقوم بإنشائه على المفتاح الرئيسي الذي يقوم بتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في كل مرة تقوم فيها بإجراء تغييرات على التكوين، مثل هذه:
- بيانات اعتماد قاعدة البيانات
- تحديثات الشهادة
- تغييرات على سياسة الترخيص
إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL Server الخاص بك لـ TLS.

في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية:

docker rmi ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.

لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي:

docker login -u hdscustomersro

في موجه كلمة المرور ، أدخل هذه التجزئة:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

قم بتنزيل أحدث صورة مستقرة لبيئتك:

في البيئات العادية:

docker pull ciscocitg/hds-setup:stable

في بيئات FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك:

في البيئات العادية بدون وكيل:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

في البيئات العادية باستخدام وكيل HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

في البيئات العادية مع وكيل HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

في بيئات FedRAMP بدون وكيل:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

في بيئات FedRAMP باستخدام وكيل HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

في بيئات FedRAMP باستخدام وكيل HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

لا تدعم أداة الإعداد الاتصال بـ localhost عبر http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بـ localhost.

استخدم متصفح الويب للانتقال إلى localhost، http://127.0.0.1:8080، وأدخل اسم المستخدم المسؤول لمركز الشركاء عند المطالبة.

تستخدم الأداة هذا الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لهذا الحساب. ثم تعرض الأداة مطالبة تسجيل الدخول القياسية.

عند المطالبة بذلك، أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول مركز الشركاء، ثم انقر فوق تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة لأمان البيانات الهجين.

في صفحة نظرة عامة على أداة الإعداد، انقر فوق البدء.

في صفحة استيراد ISO، لديك الخيارات التالية:

لا—إذا كنت تقوم بإنشاء عقدة HDS الأولى، فلن يكون لديك ملف ISO لتحميله.
نعم—إذا قمت بالفعل بإنشاء عقد HDS، فقم بتحديد ملف ISO الخاص بك في الاستعراض وقم بتحميله.

تأكد من أن شهادة X.509 الخاصة بك تلبي المتطلبات المذكورة في متطلبات شهادة X.509.

إذا لم تقم بتحميل شهادة من قبل، فقم بتحميل شهادة X.509، وأدخل كلمة المرور، ثم انقر فوق متابعة.
إذا كانت شهادتك جيدة، انقر فوق متابعة.
إذا انتهت صلاحية شهادتك أو كنت تريد استبدالها، حدد لا لـ هل تريد الاستمرار في استخدام سلسلة شهادة HDS والمفتاح الخاص من ISO السابقة؟. قم بتحميل شهادة X.509 جديدة، وأدخل كلمة المرور، ثم انقر فوق متابعة.

أدخل عنوان قاعدة البيانات والحساب الخاص بـ HDS للوصول إلى مخزن البيانات الرئيسي الخاص بك:

حدد نوع قاعدة البيانات الخاصة بك (PostgreSQL أو Microsoft SQL Server).

إذا قمت باختيار Microsoft SQL Server، فستحصل على حقل نوع المصادقة.
(Microsoft SQL Server فقط) حدد نوع المصادقة:
- المصادقة الأساسية: يجب أن يكون لديك اسم حساب SQL Server محلي في حقل اسم المستخدم.
- مصادقة Windows: يجب أن يكون لديك حساب Windows بالتنسيق username@DOMAIN في حقل اسم المستخدم.
أدخل عنوان خادم قاعدة البيانات في النموذج : أو :.

مثال:
dbhost.example.org:1433 أو 198.51.100.17:1433

يمكنك استخدام عنوان IP للمصادقة الأساسية، إذا لم تتمكن العقد من استخدام DNS لحل اسم المضيف.

إذا كنت تستخدم مصادقة Windows، فيجب عليك إدخال اسم المجال المؤهل بالكامل بالتنسيق dbhost.example.org:1433
أدخل اسم قاعدة البيانات .
أدخل اسم المستخدم و كلمة المرور للمستخدم الذي يتمتع بجميع الامتيازات على قاعدة بيانات تخزين المفاتيح.

حدد وضع اتصال قاعدة بيانات TLS:

الوضع	الوصف
تفضيل TLS (الخيار الافتراضي)	لا تتطلب عقد HDS بروتوكول TLS للاتصال بخادم قاعدة البيانات. إذا قمت بتمكين TLS على خادم قاعدة البيانات، فستحاول العقد إجراء اتصال مشفر.
يتطلب TLS	تتصل عقد HDS فقط إذا كان خادم قاعدة البيانات قادرًا على التفاوض على TLS.
تتطلب TLS والتحقق من توقيع الشهادة	لا ينطبق هذا الوضع على قواعد بيانات SQL Server. تتصل عقد HDS فقط إذا كان خادم قاعدة البيانات قادرًا على التفاوض على TLS. بعد إنشاء اتصال TLS، تقوم العقدة بمقارنة مُوقّع الشهادة من خادم قاعدة البيانات مع هيئة الشهادة في شهادة جذر قاعدة البيانات. إذا لم يتطابقا، تقوم العقدة بإسقاط الاتصال. استخدم عنصر التحكم شهادة جذر قاعدة البيانات الموجود أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.
يتطلب TLS والتحقق من مُوقّع الشهادة واسم المضيف	تتصل عقد HDS فقط إذا كان خادم قاعدة البيانات قادرًا على التفاوض على TLS. بعد إنشاء اتصال TLS، تقوم العقدة بمقارنة مُوقّع الشهادة من خادم قاعدة البيانات مع هيئة الشهادة في شهادة جذر قاعدة البيانات. إذا لم يتطابقا، تقوم العقدة بإسقاط الاتصال. تتحقق العقد أيضًا من أن اسم المضيف في شهادة الخادم يتطابق مع اسم المضيف في حقل مضيف قاعدة البيانات والمنفذ . يجب أن تتطابق الأسماء تمامًا، وإلا ستفقد العقدة الاتصال. استخدم عنصر التحكم شهادة جذر قاعدة البيانات الموجود أسفل القائمة المنسدلة لتحميل شهادة الجذر لهذا الخيار.

عند تحميل شهادة الجذر (إذا لزم الأمر) والنقر فوق متابعة، تقوم أداة إعداد HDS باختبار اتصال TLS بخادم قاعدة البيانات. وتقوم الأداة أيضًا بالتحقق من مُوقّع الشهادة واسم المضيف، إذا كان ذلك ممكنًا. إذا فشل الاختبار، تعرض الأداة رسالة خطأ تصف المشكلة. يمكنك اختيار ما إذا كنت تريد تجاهل الخطأ ومواصلة الإعداد. (بسبب اختلافات الاتصال، قد تتمكن عقد HDS من إنشاء اتصال TLS حتى إذا لم يتمكن جهاز أداة إعداد HDS من اختباره بنجاح.)

في صفحة سجلات النظام، قم بتكوين خادم Syslogd الخاص بك:

أدخل عنوان URL لخادم syslog.

إذا لم يكن الخادم قابلاً للحل من خلال DNS من العقد الخاصة بمجموعة HDS الخاصة بك، فاستخدم عنوان IP في عنوان URL.

مثال:
udp://10.92.43.23:514 يشير إلى تسجيل الدخول إلى مضيف Syslogd 10.92.43.23 على منفذ UDP 514.
إذا قمت بإعداد الخادم الخاص بك لاستخدام تشفير TLS، فتحقق من هل تم تكوين خادم syslog الخاص بك لاستخدام تشفير SSL؟.

إذا قمت بتحديد مربع الاختيار هذا، فتأكد من إدخال عنوان URL لـ TCP مثل tcp://10.92.43.23:514.
من القائمة المنسدلة Choose syslog record termination ، اختر الإعداد المناسب لملف ISO الخاص بك: يتم استخدام Choose أو Newline لـ Graylog وRsyslog TCP
- بايت فارغ -- \x00
- سطر جديد -- \n—حدد هذا الخيار لـ Graylog وRsyslog TCP.
انقر على متابعة.

(اختياري) يمكنك تغيير القيمة الافتراضية لبعض معلمات اتصال قاعدة البيانات في الإعدادات المتقدمة. بشكل عام، هذه المعلمة هي المعلمة الوحيدة التي قد ترغب في تغييرها:

app_datasource_connection_pool_maxSize: 10

انقر فوق متابعة على شاشة إعادة تعيين كلمة مرور حسابات الخدمة.

تتمتع كلمات مرور حسابات الخدمة بفترة صلاحية تصل إلى تسعة أشهر. استخدم هذه الشاشة عندما تقترب كلمات المرور الخاصة بك من تاريخ انتهاء الصلاحية أو عندما تريد إعادة تعيينها لإبطال ملفات ISO السابقة.

انقر فوق تنزيل ملف ISO. احفظ الملف في مكان يمكنك العثور عليه بسهولة.

قم بعمل نسخة احتياطية من ملف ISO على النظام المحلي لديك.

احتفظ بنسخة احتياطية آمنة. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. تقييد الوصول إلى مسؤولي أمان البيانات الهجينة فقط الذين يتعين عليهم إجراء تغييرات على التكوين.

لإيقاف تشغيل أداة الإعداد، اكتب CTRL+C.

التصرف التالي

قم بعمل نسخة احتياطية لملف ISO الخاص بالتكوين. تحتاج إليه لإنشاء المزيد من العقد للاسترداد، أو لإجراء تغييرات على التكوين. إذا فقدت جميع نسخ ملف ISO، فستفقد أيضًا المفتاح الرئيسي. ليس من الممكن استرداد المفاتيح من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

ليس لدينا نسخة من هذا المفتاح أبدًا ولا يمكننا مساعدتك إذا فقدته.

تثبيت HDS Host OVA

استخدم هذا الإجراء لإنشاء جهاز افتراضي من ملف OVA.

1	استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى المضيف الافتراضي ESXi.
2	حدد ملف > نشر قالب OVF.
3	في المعالج، حدد موقع ملف OVA الذي قمت بتنزيله مسبقًا، ثم انقر فوق التالي.
4	في صفحة تحديد اسم ومجلد ، أدخل اسم الجهاز الظاهري للعقدة (على سبيل المثال، "HDS_Node_1")، واختر موقعًا يمكن أن يوجد فيه نشر عقدة الجهاز الظاهري، ثم انقر فوق التالي.
5	في صفحة تحديد مورد الحوسبة ، اختر مورد الحوسبة الوجهة، ثم انقر فوق التالي. يتم تشغيل فحص التحقق. بعد الانتهاء، تظهر تفاصيل القالب.
6	قم بالتحقق من تفاصيل القالب ثم انقر فوق التالي.
7	إذا طُلب منك اختيار تكوين الموارد في صفحة التكوين ، فانقر فوق 4 وحدة المعالجة المركزية ثم انقر فوق التالي.
8	في صفحة تحديد مساحة التخزين ، انقر فوق التالي لقبول تنسيق القرص الافتراضي وسياسة تخزين الجهاز الظاهري.
9	في صفحة تحديد الشبكات ، اختر خيار الشبكة من قائمة الإدخالات لتوفير الاتصال المطلوب بالجهاز الافتراضي.
10	في صفحة تخصيص القالب ، قم بتكوين إعدادات الشبكة التالية: اسم المضيف—أدخل اسم المجال المؤهل بالكامل (FQDN) أو اسم مضيف مكون من كلمة واحدة للعقدة. لا تحتاج إلى تعيين المجال ليتطابق مع المجال الذي استخدمته للحصول على شهادة X.509. لضمان تسجيل ناجح في السحابة، استخدم فقط الأحرف الصغيرة في FQDN أو اسم المضيف الذي قمت بتعيينه للعقدة. الأحرف الكبيرة غير مدعومة في الوقت الحالي. يجب ألا يتجاوز الطول الإجمالي لـ FQDN 64 حرفًا. عنوان IP— أدخل عنوان IP للواجهة الداخلية للعقدة. يجب أن يكون لعقدتك عنوان IP داخلي واسم DNS. لا يتم دعم DHCP. قناع—أدخل عنوان قناع الشبكة الفرعية بتنسيق النقاط العشرية. على سبيل المثال، 255.255.255.0. بوابة—أدخل عنوان IP الخاص بالبوابة. البوابة هي عقدة شبكة تعمل كنقطة وصول إلى شبكة أخرى. خوادم DNS—أدخل قائمة مفصولة بفواصل من خوادم DNS، والتي تتعامل مع ترجمة أسماء النطاقات إلى عناوين IP رقمية. (يُسمح بما يصل إلى 4 إدخالات DNS.) خوادم NTP—أدخل خادم NTP الخاص بمؤسستك أو خادم NTP خارجي آخر يمكن استخدامه في مؤسستك. قد لا تعمل خوادم NTP الافتراضية مع جميع المؤسسات. يمكنك أيضًا استخدام قائمة مفصولة بفاصلة لإدخال خوادم NTP المتعددة. قم بنشر جميع العقد على نفس الشبكة الفرعية أو شبكة VLAN، بحيث يمكن الوصول إلى جميع العقد في مجموعة من العملاء في شبكتك لأغراض إدارية. إذا كنت تفضل ذلك، يمكنك تخطي تكوين إعدادات الشبكة واتباع الخطوات الموجودة في إعداد Hybrid Data Security VM لتكوين الإعدادات من وحدة التحكم في العقدة. تم اختبار خيار تكوين إعدادات الشبكة أثناء نشر OVA باستخدام ESXi 7.0 و8.0. قد لا يكون الخيار متاحًا في الإصدارات السابقة.
11	انقر بزر الماوس الأيمن على العقدة VM، ثم اختر الطاقة > تشغيل. يتم تثبيت برنامج Hybrid Data Security كضيف على VM Host. أنت الآن جاهز لتسجيل الدخول إلى وحدة التحكم وتكوين العقدة. تلميحات استكشاف الأخطاء وإصلاحها قد تواجه تأخيرًا لمدة بضع دقائق قبل ظهور حاويات العقدة. تظهر رسالة جدار حماية الجسر على وحدة التحكم أثناء التمهيد الأول، وخلال هذه الفترة لا يمكنك تسجيل الدخول.

إعداد جهاز VM للأمان الهجين للبيانات

استخدم هذا الإجراء لتسجيل الدخول إلى وحدة التحكم VM الخاصة بعقدة Hybrid Data Security للمرة الأولى وتعيين بيانات اعتماد تسجيل الدخول. يمكنك أيضًا استخدام وحدة التحكم لتكوين إعدادات الشبكة للعقدة إذا لم تقم بتكوينها في وقت نشر OVA.

1	في عميل VMware vSphere، حدد عقدة Hybrid Data Security VM الخاصة بك وحدد علامة التبويب Console. يتم تشغيل الجهاز الافتراضي ويظهر موجه تسجيل الدخول. إذا لم يتم عرض مطالبة تسجيل الدخول، اضغط على Enter.
2	استخدم اسم المستخدم وكلمة المرور الافتراضيين التاليين لتسجيل الدخول وتغيير بيانات الاعتماد: تسجيل الدخول: `admin` كلمة المرور: `cisco` نظرًا لأنك تقوم بتسجيل الدخول إلى جهاز VM الخاص بك لأول مرة، فستحتاج إلى تغيير كلمة مرور المسؤول.
3	إذا قمت بالفعل بتكوين إعدادات الشبكة في تثبيت HDS Host OVA، فتخط بقية هذا الإجراء. وإلا، في القائمة الرئيسية، حدد خيار تحرير التكوين.
4	إعداد تكوين ثابت باستخدام عنوان IP والقناع والبوابة ومعلومات DNS. يجب أن يكون لعقدتك عنوان IP داخلي واسم DNS. لا يتم دعم DHCP.
5	(اختياري) قم بتغيير اسم المضيف أو المجال أو خادم NTP، إذا لزم الأمر لتتوافق مع سياسة الشبكة الخاصة بك. لا تحتاج إلى تعيين المجال ليتطابق مع المجال الذي استخدمته للحصول على شهادة X.509.
6	احفظ تكوين الشبكة وأعد تشغيل الجهاز الافتراضي حتى تسري التغييرات.

تحميل وتثبيت ISO لتكوين HDS

استخدم هذا الإجراء لتكوين الجهاز الظاهري من ملف ISO الذي قمت بإنشائه باستخدام أداة إعداد HDS.

قبل البدء

نظرًا لأن ملف ISO يحمل المفتاح الرئيسي، فيجب عرضه فقط على أساس "الحاجة إلى المعرفة"، للوصول إليه من قبل أجهزة VM الخاصة بأمان البيانات الهجينة وأي مسؤولين قد يحتاجون إلى إجراء تغييرات. تأكد من أن هؤلاء المسؤولين فقط هم من يمكنهم الوصول إلى مخزن البيانات.

قم بتحميل ملف ISO من جهاز الكمبيوتر الخاص بك:

في جزء التنقل الأيسر لعميل VMware vSphere، انقر فوق خادم ESXi.
في قائمة الأجهزة الموجودة في علامة التبويب "التكوين"، انقر فوق التخزين.
في قائمة مخازن البيانات، انقر بزر الماوس الأيمن فوق مخزن البيانات الخاص بأجهزة VM الخاصة بك وانقر فوق استعراض مخزن البيانات.
انقر على أيقونة تحميل الملف، ثم انقر فوق تحميل ملف.
انتقل إلى الموقع الذي قمت بتنزيل ملف ISO عليه على جهاز الكمبيوتر الخاص بك وانقر فوق فتح.
انقر فوق نعم لقبول upload/download تحذير التشغيل، وأغلق مربع حوار مخزن البيانات.

قم بتثبيت ملف ISO:

في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات .
انقر فوق موافق لقبول تحذير خيارات التحرير المقيدة.
انقر فوق CD/DVD Drive 1، ثم حدد خيار التحميل من ملف ISO لمخزن البيانات، وانتقل إلى الموقع الذي قمت بتحميل ملف ISO الخاص بالتكوين إليه.
تحقق من متصل و متصل عند تشغيل الطاقة.
احفظ التغييرات وأعد تشغيل الجهاز الظاهري.

التصرف التالي

إذا كانت سياسة تكنولوجيا المعلومات الخاصة بك تتطلب ذلك، فيمكنك بشكل اختياري إلغاء تحميل ملف ISO بعد أن تلتقط كافة العقد الخاصة بك تغييرات التكوين. راجع (اختياري) إلغاء تثبيت ISO بعد تكوين HDS للحصول على التفاصيل.

تكوين عقدة HDS لتكامل الوكيل

إذا كانت بيئة الشبكة تتطلب وكيلا، فاستخدم هذا الإجراء لتحديد نوع الوكيل الذي تريد دمجه مع "أمان البيانات المختلطة". إذا اخترت وكيل فحص شفاف أو وكيل HTTPS صريح، فيمكنك استخدام واجهة العقدة لتحميل الشهادة الجذر وتثبيتها. يمكنك أيضا التحقق من اتصال الوكيل من الواجهة ، واستكشاف أي مشكلات محتملة وإصلاحها.

قبل البدء

راجع دعم الوكيل للحصول على نظرة عامة على خيارات الوكيل المدعومة.
متطلبات الخادم الوكيل

1	أدخل عنوان URL لإعداد عقدة HDS `https://[HDS Node IP or FQDN]/setup` في متصفح الويب، وأدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ثم انقر فوق تسجيل الدخول.
2	انتقل إلى متجر الثقة والوكيل، ثم حدد خيارا: لا يوجد وكيل—الخيار الافتراضي قبل دمج الوكيل. لا يلزم تحديث الشهادة. وكيل شفاف غير فاحص— لا يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد ولا ينبغي أن تتطلب أي تغييرات للعمل مع وكيل غير فاحص. لا يلزم تحديث الشهادة. وكيل الفحص الشفاف—لا يتم تكوين العقد لاستخدام عنوان خادم وكيل محدد. لا يلزم إجراء تغييرات في تكوين HTTPS على نشر أمان البيانات المختلط ، ومع ذلك ، تحتاج عقد HDS إلى شهادة جذر حتى تثق في الوكيل. عادة ما تستخدم تكنولوجيا المعلومات فحص الوكلاء لفرض السياسات التي يمكن زيارة مواقع الويب عليها وأنواع المحتوى غير المسموح بها. يقوم هذا النوع من البروكسي بفك تشفير كل حركة المرور الخاصة بك (حتى HTTPS). الوكيل الصريح— باستخدام الوكيل الصريح، يمكنك إخبار العميل (عقد HDS) بخادم الوكيل الذي يجب استخدامه، ويدعم هذا الخيار أنواعًا متعددة من المصادقة. بعد تحديد هذا الخيار، يجب إدخال المعلومات التالية: وكيل IP/FQDN—العنوان الذي يمكن استخدامه للوصول إلى جهاز الوكيل. منفذ الوكيل—رقم المنفذ الذي يستخدمه الوكيل للاستماع إلى حركة المرور التي يتم التوكيل إليها. بروتوكول الوكيل—اختر http (يعرض ويتحكم في جميع الطلبات التي يتم تلقيها من العميل) أو https (يوفر قناة إلى الخادم ويستقبل العميل ويتحقق من صحة شهادة الخادم). حدد خيارا استنادا إلى ما يدعمه الخادم الوكيل. نوع المصادقة—اختر من بين أنواع المصادقة التالية: لا شيء—لا يلزم إجراء أي مصادقة إضافية. متوفر لبروكسيات HTTP أو HTTPS. أساسي— يستخدم لوكيل مستخدم HTTP لتوفير اسم المستخدم وكلمة المرور عند تقديم طلب. يستخدم ترميز Base64. متوفر لبروكسيات HTTP أو HTTPS. إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور. ملخص— يستخدم لتأكيد الحساب قبل إرسال المعلومات الحساسة. يطبق دالة تجزئة على اسم المستخدم وكلمة المرور قبل الإرسال عبر الشبكة. متوفر لبروكسيات HTTPS فقط. إذا اخترت هذا الخيار، فيجب عليك أيضا إدخال اسم المستخدم وكلمة المرور. اتبع الخطوات التالية للحصول على وكيل فحص شفاف أو وكيل HTTP صريح مع مصادقة أساسية أو وكيل HTTPS صريح.
3	انقر فوق تحميل شهادة جذر أو شهادة كيان نهاية، ثم انتقل إلى اختيار الشهادة الجذر للوكيل. تم تحميل الشهادة ولكن لم يتم تثبيتها بعد لأنه يجب إعادة تشغيل العقدة لتثبيت الشهادة. انقر فوق سهم شيفرون بجوار اسم جهة إصدار الشهادة للحصول على مزيد من التفاصيل أو انقر على حذف إذا ارتكبت خطأ وتريد إعادة تحميل الملف.
4	انقر فوق التحقق من اتصال الوكيل لاختبار اتصال الشبكة بين العقدة والوكيل. إذا فشل اختبار الاتصال، فسترى رسالة خطأ توضح السبب وكيفية تصحيح المشكلة. إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة غير قادرة على الوصول إلى خادم DNS. هذا الشرط متوقع في العديد من تكوينات الوكيل الصريحة. يمكنك متابعة الإعداد، وستعمل العقدة في وضع حل DNS الخارجي المحظور. إذا كنت تعتقد أن هذا خطأ، فاستكمل هذه الخطوات، ثم راجع إيقاف تشغيل وضع حل DNS الخارجي المحظور.
5	بعد اجتياز اختبار الاتصال، بالنسبة إلى الوكيل الصريح الذي تم تعيينه على https فقط، قم بتشغيل مفتاح التبديل إلى توجيه جميع طلبات https للمنفذ 443/444 من هذه العقدة عبر الوكيلالصريح. يتطلب هذا الإعداد 15 ثانية ليصبح ساري المفعول.
6	انقر فوق تثبيت كافة الشهادات في مخزن الثقة (يظهر لوكيل HTTPS صريح أو وكيل فحص شفاف) أو إعادة تشغيل (يظهر لوكيل HTTP صريح)، واقرأ المطالبة، ثم انقر فوق تثبيت إذا كنت مستعدا. تتم إعادة تشغيل العقدة في غضون بضع دقائق.
7	بعد إعادة تشغيل العقدة، قم بتسجيل الدخول مرة أخرى إذا لزم الأمر، ثم افتح صفحة نظرة عامة للتحقق من عمليات التحقق من الاتصال للتأكد من أنها جميعا في حالة خضراء. يختبر فحص اتصال الوكيل نطاقا فرعيا من webex.com فقط. إذا كانت هناك مشاكل في الاتصال ، فهناك مشكلة شائعة تتمثل في حظر بعض المجالات السحابية المدرجة في إرشادات التثبيت في الوكيل.

تسجيل العقدة الأولى في المجموعة

تأخذ هذه المهمة العقدة العامة التي قمت بإنشائها في إعداد جهاز VM لأمان البيانات الهجين، وتسجل العقدة في سحابة Webex، وتحولها إلى عقدة لأمان البيانات الهجين.

عندما تقوم بتسجيل العقدة الأولى الخاصة بك، فإنك تقوم بإنشاء مجموعة يتم تعيين العقدة إليها. تحتوي المجموعة على عقدة واحدة أو أكثر تم نشرها لتوفير التكرار.

قبل البدء

بمجرد بدء تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة وإلا سيتعين عليك البدء من جديد.
تأكد من تعطيل أي حظر للنوافذ المنبثقة في متصفحك أو السماح باستثناء لـ admin.webex.com.

1	سجّل الدخول إلى https://admin.webex.com.
2	من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.
3	في القسم الهجين، ابحث عن بطاقة أمان البيانات الهجينة وانقر فوق إعداد.
4	في الصفحة التي تفتح، انقر فوق إضافة مورد.
5	في الحقل الأول من بطاقة إنشاء مجموعة جديدة ، أدخل اسمًا للمجموعة التي تريد تعيين عقدة أمان البيانات الهجينة لها. نوصيك بتسمية المجموعة استنادًا إلى الموقع الجغرافي لعقد المجموعة. أمثلة: "سان فرانسيسكو" أو "نيويورك" أو "دالاس"
6	في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) لعقدتك وانقر فوق إضافة في أسفل الشاشة. يجب أن يتطابق عنوان IP أو FQDN هذا مع عنوان IP أو اسم المضيف والنطاق الذي استخدمته في إعداد Hybrid Data Security VM. تظهر رسالة تشير إلى أنه بإمكانك تسجيل العقدة الخاصة بك في Webex.
7	انقر فوق للانتقال إلى العقدة. بعد لحظات قليلة، سيتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا نجحت جميع الاختبارات، ستظهر صفحة السماح بالوصول إلى عقدة أمان البيانات الهجينة. هناك، يمكنك التأكيد على أنك تريد منح الأذونات لمؤسسة Webex الخاصة بك للوصول إلى العقدة الخاصة بك.
8	حدد مربع الاختيار السماح بالوصول إلى عقدة أمان البيانات الهجينة الخاصة بك ، ثم انقر فوق متابعة. تم التحقق من صحة حسابك وتشير رسالة "اكتمل التسجيل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex.
9	انقر فوق الرابط أو أغلق علامة التبويب للرجوع إلى صفحة أمان البيانات الهجينة في مركز الشركاء. في صفحة Hybrid Data Security ، يتم عرض المجموعة الجديدة التي تحتوي على العقدة التي قمت بتسجيلها ضمن علامة التبويب Resources. ستقوم العقدة تلقائيًا بتنزيل أحدث البرامج من السحابة.

إنشاء وتسجيل المزيد من العقد

لإضافة عقد إضافية إلى مجموعتك، ما عليك سوى إنشاء أجهزة افتراضية إضافية وتثبيت نفس ملف ISO للتكوين، ثم تسجيل العقدة. ننصحك بأن يكون لديك 3 عقد على الأقل.

قبل البدء

بمجرد بدء تسجيل العقدة، يجب عليك إكمالها خلال 60 دقيقة وإلا سيتعين عليك البدء من جديد.
تأكد من تعطيل أي حظر للنوافذ المنبثقة في متصفحك أو السماح باستثناء لـ admin.webex.com.

1	قم بإنشاء جهاز افتراضي جديد من OVA، وكرر الخطوات الموجودة في تثبيت HDS Host OVA.
2	قم بإعداد التكوين الأولي على الجهاز الظاهري الجديد، وكرر الخطوات الموجودة في إعداد الجهاز الظاهري لأمان البيانات الهجين.
3	على الجهاز الافتراضي الجديد، كرر الخطوات الموجودة في تحميل وتثبيت ملف ISO الخاص بتكوين HDS.
4	إذا كنت تقوم بإعداد وكيل لنشر البرنامج، فكرر الخطوات الموجودة في تكوين عقدة HDS لتكامل الوكيل حسب الحاجة للعقدة الجديدة.
5	تسجيل العقدة. في https://admin.webex.com، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة. في القسم الهجين، ابحث عن بطاقة أمان البيانات الهجينة وانقر فوق عرض الكل. تظهر صفحة موارد أمان البيانات الهجينة. ستظهر المجموعة التي تم إنشاؤها حديثًا في صفحة الموارد. انقر فوق المجموعة لعرض العقد المخصصة للمجموعة. انقر فوق إضافة عقدة على الجانب الأيمن من الشاشة. أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) لعقدتك وانقر فوق إضافة. سيتم فتح صفحة تحتوي على رسالة تشير إلى أنه يمكنك تسجيل العقدة الخاصة بك في سحابة Webex. بعد لحظات قليلة، سيتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا نجحت جميع الاختبارات، ستظهر صفحة السماح بالوصول إلى عقدة أمان البيانات الهجينة. هناك، يمكنك التأكيد على أنك تريد منح الأذونات لمنظمتك للوصول إلى العقدة الخاصة بك. حدد مربع الاختيار السماح بالوصول إلى عقدة أمان البيانات الهجينة الخاصة بك ، ثم انقر فوق متابعة. تم التحقق من صحة حسابك وتشير رسالة "اكتمل التسجيل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex. انقر فوق الرابط أو أغلق علامة التبويب للرجوع إلى صفحة أمان البيانات الهجينة في مركز الشركاء. تظهر أيضًا رسالة منبثقةتمت إضافة العقدة في أسفل الشاشة في مركز الشركاء. تم تسجيل العقدة الخاصة بك.

التصرف التالي

لإنشاء مجموعات إضافية، قم بتسجيل الدخول إلى مركز الشركاء وانقر فوق الخدمات > أمان البيانات الهجين > عرض الكل > إضافة مجموعة. اتبع الخطوات الموضحة في القسم أعلاه لإضافة العقدة الأولى إلى المجموعة أو المجموعات الإضافية.

إدارة منظمات المستأجرين على أمان البيانات الهجين متعدد المستأجرين

تفعيل HDS متعدد المستأجرين على Partner Hub

تضمن هذه المهمة أن يتمكن جميع مستخدمي مؤسسات العملاء من البدء في الاستفادة من HDS للحصول على مفاتيح التشفير المحلية وخدمات الأمان الأخرى.

قبل البدء

تأكد من أنك أكملت إعداد مجموعة HDS متعددة المستأجرين لديك مع العدد المطلوب من العقد.

1	سجّل الدخول إلى https://admin.webex.com.
2	من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.
3	في القسم الهجين، ابحث عن أمان البيانات الهجين وانقر فوق تحرير الإعدادات.
4	انقر فوق تنشيط HDS على بطاقة حالة HDS.

إضافة المنظمات المستأجرة في مركز الشركاء

في هذه المهمة، يمكنك تعيين مؤسسات العملاء لمجموعة أمان البيانات الهجينة الخاصة بك.

1	سجّل الدخول إلى https://admin.webex.com.
2	من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.
3	في قسم الهجين، ابحث عن أمان البيانات الهجين وانقر فوق عرض الكل.
4	انتقل إلى علامة التبويب العملاء المعينون. لن يتم عرض علامة التبويب العملاء المعينون حتى تقوم بإنشاء مجموعة.
5	انقر فوق إضافة العملاء.
6	حدد العميل الذي تريد إضافته من القائمة المنسدلة.
7	انقر فوق إضافة، سيتم إضافة العميل إلى المجموعة.
8	كرر الخطوات من 5 إلى 7 لإضافة عملاء متعددين إلى مجموعتك.
9	انقر فوق تم في أسفل الشاشة بمجرد إضافة العملاء. سيتم مزامنة العملاء المضافين عبر جميع المجموعات المتاحة.

التصرف التالي

قم بتشغيل أداة إعداد HDS كما هو موضح في إنشاء مفاتيح العميل الرئيسية (CMKs) باستخدام أداة إعداد HDS لإكمال عملية الإعداد.

إنشاء مفاتيح العميل الرئيسية (CMKs) باستخدام أداة إعداد HDS

قبل البدء

تعيين العملاء كما هو مفصل في إضافة منظمات المستأجرين في مركز الشركاء. قم بتشغيل أداة إعداد HDS لإكمال عملية الإعداد للمؤسسات العملاء المضافة حديثًا.

تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة لمنظمتك.

إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم، المنفذ، بيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في الخطوة 5. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

الوصف	المتغير
وكيل HTTP بدون مصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
وكيل HTTPS بدون مصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
وكيل HTTP مع المصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
وكيل HTTPS مع المصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

يحتوي ملف ISO للتكوين الذي تقوم بإنشائه على المفتاح الرئيسي الذي يقوم بتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في كل مرة تقوم فيها بإجراء تغييرات على التكوين، مثل هذه:
- بيانات اعتماد قاعدة البيانات
- تحديثات الشهادة
- تغييرات على سياسة الترخيص
إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL Server الخاص بك لـ TLS.

1	في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك: في البيئات العادية: `docker rmi ciscocitg/hds-setup:stable` في بيئات FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.
2	لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي: `docker login -u hdscustomersro`
3	في موجه كلمة المرور ، أدخل هذه التجزئة: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	قم بتنزيل أحدث صورة مستقرة لبيئتك: في البيئات العادية: `docker pull ciscocitg/hds-setup:stable` في بيئات FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك: في البيئات العادية بدون وكيل: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` في البيئات العادية باستخدام وكيل HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` في البيئات العادية مع وكيل HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` في بيئات FedRAMP بدون وكيل: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` في بيئات FedRAMP باستخدام وكيل HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` في بيئات FedRAMP باستخدام وكيل HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."
6	لا تدعم أداة الإعداد الاتصال بـ localhost عبر http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بـ localhost. استخدم متصفح الويب للانتقال إلى localhost، `http://127.0.0.1:8080`، وأدخل اسم المستخدم المسؤول لمركز الشركاء عند المطالبة. تستخدم الأداة هذا الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لهذا الحساب. ثم تعرض الأداة مطالبة تسجيل الدخول القياسية.
7	عند المطالبة بذلك، أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول مركز الشركاء، ثم انقر فوق تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة لأمان البيانات الهجين.
8	في صفحة نظرة عامة على أداة الإعداد، انقر فوق البدء.
9	في صفحة استيراد ISO ، انقر فوق نعم.
10	حدد ملف ISO الخاص بك في المتصفح وقم بتحميله. تأكد من الاتصال بقاعدة البيانات الخاصة بك لأداء إدارة CMK.
11	انتقل إلى علامة التبويب إدارة مفاتيح إدارة المستأجر ، حيث ستجد الطرق الثلاث التالية لإدارة مفاتيح إدارة المستأجر. إنشاء CMK لجميع المنظمات أو إنشاء CMK - انقر فوق هذا الزر الموجود على الشريط الموجود أعلى الشاشة لإنشاء CMKs لجميع المنظمات المضافة حديثًا. انقر فوق زر إدارة مفاتيح إدارة العملاء على الجانب الأيمن من الشاشة وانقر فوق إنشاء مفاتيح إدارة العملاء لإنشاء مفاتيح إدارة العملاء لجميع المؤسسات المضافة حديثًا. انقر فوق بالقرب من حالة إدارة CMK المعلقة لمنظمة معينة في الجدول وانقر فوق إنشاء CMK لإنشاء CMK لتلك المنظمة.
12	بمجرد إنشاء CMK بنجاح، ستتغير الحالة في الجدول من إدارة CMK معلقة إلى إدارة CMK.
13	إذا لم ينجح إنشاء CMK، فسيتم عرض خطأ.

إزالة المنظمات المستأجرة

قبل البدء

بمجرد الإزالة، لن يتمكن مستخدمو مؤسسات العملاء من الاستفادة من HDS لتلبية احتياجات التشفير الخاصة بهم وسوف يفقدون جميع المساحات الموجودة. قبل إزالة مؤسسات العملاء، يرجى الاتصال بشريك Cisco أو مدير الحساب الخاص بك.

1	سجّل الدخول إلى https://admin.webex.com.
2	من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.
3	في قسم الهجين، ابحث عن أمان البيانات الهجين وانقر فوق عرض الكل.
4	في الصفحة التي تفتح، انقر فوق علامة التبويب العملاء المعينون.
5	من قائمة منظمات العملاء المعروضة، انقر فوق على الجانب الأيمن من منظمة العملاء التي ترغب في إزالتها وانقر فوق إزالة من المجموعة.

التصرف التالي

أكمل عملية الإزالة عن طريق إلغاء مفاتيح إدارة العملاء (CMKs) الخاصة بمنظمات العملاء كما هو مفصل في إلغاء مفاتيح إدارة العملاء (CMKs) للمستأجرين الذين تمت إزالتهم من HDS.

إلغاء مفاتيح إدارة المستأجرين الذين تمت إزالتهم من HDS.

قبل البدء

إزالة العملاء كما هو مفصل في إزالة منظمات المستأجرين. قم بتشغيل أداة إعداد HDS لإكمال عملية الإزالة للمؤسسات العميلة التي تمت إزالتها.

الوصف	المتغير
وكيل HTTP بدون مصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
وكيل HTTPS بدون مصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
وكيل HTTP مع المصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
وكيل HTTPS مع المصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

يحتوي ملف ISO للتكوين الذي تقوم بإنشائه على المفتاح الرئيسي الذي يقوم بتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في كل مرة تقوم فيها بإجراء تغييرات على التكوين، مثل هذه:
- بيانات اعتماد قاعدة البيانات
- تحديثات الشهادة
- تغييرات على سياسة الترخيص
إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL Server الخاص بك لـ TLS.

1	في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك: في البيئات العادية: `docker rmi ciscocitg/hds-setup:stable` في بيئات FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.
2	لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي: `docker login -u hdscustomersro`
3	في موجه كلمة المرور ، أدخل هذه التجزئة: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	قم بتنزيل أحدث صورة مستقرة لبيئتك: في البيئات العادية: `docker pull ciscocitg/hds-setup:stable` في بيئات FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك: في البيئات العادية بدون وكيل: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` في البيئات العادية باستخدام وكيل HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` في البيئات العادية مع وكيل HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` في بيئات FedRAMP بدون وكيل: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` في بيئات FedRAMP باستخدام وكيل HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` في بيئات FedRAMP باستخدام وكيل HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."
6	لا تدعم أداة الإعداد الاتصال بـ localhost عبر http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بـ localhost. استخدم متصفح الويب للانتقال إلى localhost، `http://127.0.0.1:8080`، وأدخل اسم المستخدم المسؤول لمركز الشركاء عند المطالبة. تستخدم الأداة هذا الإدخال الأول لاسم المستخدم لتعيين البيئة المناسبة لهذا الحساب. ثم تعرض الأداة مطالبة تسجيل الدخول القياسية.
7	عند المطالبة بذلك، أدخل بيانات اعتماد تسجيل الدخول الخاصة بمسؤول مركز الشركاء، ثم انقر فوق تسجيل الدخول للسماح بالوصول إلى الخدمات المطلوبة لأمان البيانات الهجين.
8	في صفحة نظرة عامة على أداة الإعداد، انقر فوق البدء.
9	في صفحة استيراد ISO ، انقر فوق نعم.
10	حدد ملف ISO الخاص بك في المتصفح وقم بتحميله.
11	انتقل إلى علامة التبويب إدارة مفاتيح إدارة المستأجر ، حيث ستجد الطرق الثلاث التالية لإدارة مفاتيح إدارة المستأجر. إلغاء مفاتيح إدارة العملاء لجميع المنظمات أو إلغاء مفاتيح إدارة العملاء - انقر فوق هذا الزر الموجود على الشريط الموجود أعلى الشاشة لإلغاء مفاتيح إدارة العملاء لجميع المنظمات التي تمت إزالتها. انقر فوق زر إدارة مفاتيح إدارة العملاء على الجانب الأيمن من الشاشة وانقر فوق إلغاء مفاتيح إدارة العملاء لإلغاء مفاتيح إدارة العملاء لجميع المؤسسات التي تمت إزالتها. انقر فوق بالقرب من حالة CMK المراد إلغاؤها لمنظمة معينة في الجدول وانقر فوق إلغاء CMK لإلغاء CMK لتلك المنظمة المحددة.
12	بمجرد نجاح إلغاء CMK، لن تظهر منظمة العميل في الجدول بعد الآن.
13	إذا لم تنجح عملية إلغاء CMK، فسيتم عرض خطأ.

اختبار نشر أمان البيانات الهجين الخاص بك

اختبار نشر أمان البيانات الهجينة لديك

استخدم هذا الإجراء لاختبار سيناريوهات تشفير أمان البيانات الهجين متعدد المستأجرين.

قبل البدء

قم بإعداد نشر أمان البيانات الهجين متعدد المستأجرين.
تأكد من أن لديك إمكانية الوصول إلى syslog للتحقق من تمرير طلبات المفاتيح إلى نشر أمان البيانات الهجين متعدد المستأجرين.

يتم تعيين المفاتيح لمساحة معينة من قبل منشئ المساحة. قم بتسجيل الدخول إلى تطبيق Webex كأحد مستخدمي مؤسسة العميل، ثم قم بإنشاء مساحة.

إذا قمت بإلغاء تنشيط نشر أمان البيانات الهجين، فلن يكون المحتوى في المساحات التي ينشئها المستخدمون متاحًا بعد استبدال نسخ مفاتيح التشفير المخزنة مؤقتًا لدى العميل.

إرسال الرسائل إلى المساحة الجديدة.

تحقق من إخراج syslog للتأكد من تمرير طلبات المفاتيح إلى نشر Hybrid Data Security الخاص بك.

إذا قام مستخدم مؤسسة عميل تمت إضافتها حديثًا بأي إجراء، فسيظهر معرف المؤسسة في السجلات، ويمكن استخدام ذلك للتحقق من أن المؤسسة تستفيد من HDS متعدد المستأجرين. تحقق من قيمة kms.data.orgId في syslogs.

للتحقق من قيام المستخدم أولاً بإنشاء قناة آمنة إلى KMS، قم بالتصفية على kms.data.method=create و kms.data.type=EPHEMERAL_KEY_COLLECTION:

يجب أن تجد إدخالاً مثل التالي (المعرفات المختصرة لسهولة القراءة):

2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

للتحقق من وجود مستخدم يطلب مفتاحًا موجودًا من KMS، قم بالتصفية على kms.data.method=retrieve و kms.data.type=KEY:

يجب أن تجد إدخالاً مثل:

2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

للتحقق من وجود مستخدم يطلب إنشاء مفتاح KMS جديد، قم بالتصفية على kms.data.method=create و kms.data.type=KEY_COLLECTION:

يجب أن تجد إدخالاً مثل:

2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

للتحقق من قيام المستخدم بطلب إنشاء كائن مورد KMS (KRO) جديد عند إنشاء مساحة أو مورد محمي آخر، قم بالتصفية على kms.data.method=create و kms.data.type=RESOURCE_COLLECTION:

يجب أن تجد إدخالاً مثل:

2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

مراقبة صحة وأمان البيانات الهجينة

يُظهر لك مؤشر الحالة داخل Partner Hub ما إذا كان كل شيء على ما يرام مع نشر أمان البيانات الهجين متعدد المستأجرين. للحصول على تنبيهات أكثر استباقية، قم بالتسجيل للحصول على إشعارات البريد الإلكتروني. سيتم إعلامك عند وجود إنذارات تؤثر على الخدمة أو ترقيات للبرامج.

1	في مركز الشركاء، حدد الخدمات من القائمة الموجودة على الجانب الأيسر من الشاشة.
2	في القسم الهجين، ابحث عن أمان البيانات الهجين وانقر فوق تحرير الإعدادات. تظهر صفحة إعدادات أمان البيانات الهجينة.
3	في قسم إشعارات البريد الإلكتروني، اكتب عنوان بريد إلكتروني واحد أو أكثر مفصولًا بفاصلات، ثم اضغط على Enter.

إدارة نشر HDS الخاص بك

إدارة نشر HDS

استخدم المهام الموضحة هنا لإدارة نشر أمان البيانات الهجين الخاص بك.

تعيين جدول ترقية المجموعة

يتم إجراء ترقيات البرامج الخاصة بأمان البيانات الهجينة تلقائيًا على مستوى المجموعة، مما يضمن أن جميع العقد تعمل دائمًا بنفس إصدار البرنامج. يتم إجراء الترقيات وفقًا لجدول الترقية للمجموعة. عندما يصبح ترقية البرنامج متاحة، يكون لديك خيار ترقية المجموعة يدويًا قبل وقت الترقية المجدول. يمكنك تعيين جدول ترقية محدد أو استخدام الجدول الافتراضي 3:00 AM Daily الولايات المتحدة: America/Los أنجيليس. يمكنك أيضًا اختيار تأجيل الترقية القادمة، إذا لزم الأمر.

لتعيين جدول الترقية:

1	سجل الدخول إلى مركز الشركاء.
2	من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.
3	في قسم "الهجين"، ابحث عن "أمان البيانات الهجين" وانقر فوق إعداد
4	في صفحة موارد أمان البيانات الهجينة، حدد المجموعة.
5	انقر فوق علامة التبويب إعدادات المجموعة.
6	في صفحة إعدادات المجموعة، ضمن جدول الترقية، حدد الوقت والمنطقة الزمنية لجدول الترقية. ملاحظات تحت المنطقة الزمنية، يتم عرض تاريخ ووقت الترقية التالي المتاح. يمكنك تأجيل الترقية إلى اليوم التالي، إذا لزم الأمر، بالضغط على تأجيل لمدة 24 ساعة.

تغيير تكوين العقدة

في بعض الأحيان قد تحتاج إلى تغيير تكوين عقدة أمان البيانات المختلطة لسبب مثل:

تغيير شهادات X.509 بسبب انتهاء الصلاحية أو لأسباب أخرى.

لا ندعم تغيير اسم مجال CN للشهادة. يجب أن يتطابق المجال مع المجال الأصلي المستخدم لتسجيل الكتلة.
تحديث إعدادات قاعدة البيانات للتغيير إلى نسخة متماثلة من قاعدة بيانات PostgreSQL أو Microsoft SQL Server.

لا ندعم ترحيل البيانات من PostgreSQL إلى Microsoft SQL Server ، أو العكس. لتبديل بيئة قاعدة البيانات ، ابدأ عملية نشر جديدة لـ Hybrid Data Security.
إنشاء تكوين جديد لإعداد مركز بيانات جديد.

أيضا ، لأغراض أمنية ، يستخدم Hybrid Data Security كلمات مرور حساب الخدمة التي لها عمر افتراضي يبلغ تسعة أشهر. بعد أن تقوم أداة إعداد HDS بإنشاء كلمات المرور هذه، يمكنك نشرها على كل عقد من عقد HDS في ملف تكوين ISO. عندما تقترب كلمات مرور مؤسستك من انتهاء الصلاحية، تتلقى إشعارا من فريق Webex لإعادة تعيين كلمة المرور لحساب الجهاز. (يتضمن البريد الإلكتروني النص ، "استخدم واجهة برمجة تطبيقات حساب الجهاز لتحديث كلمة المرور.") إذا لم تنته صلاحية كلمات المرور الخاصة بك بعد ، تمنحك الأداة خيارين:

إعادة الضبط الناعمة—تعمل كل من كلمات المرور القديمة والجديدة لمدة تصل إلى 10 أيام. استخدم هذه الفترة لاستبدال ملف ISO على العقد بالتدريج.
إعادة الضبط الثابت—تتوقف كلمات المرور القديمة عن العمل على الفور.

إذا انتهت صلاحية كلمات المرور الخاصة بك دون إعادة تعيين ، فسيؤثر ذلك على خدمة HDS الخاصة بك ، مما يتطلب إعادة تعيين ثابت واستبدال ملف ISO على جميع العقد.

استخدم هذا الإجراء لإنشاء ملف ISO تكوين جديد وتطبيقه على نظام المجموعة الخاص بك.

قبل البدء

تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للوصول إليه ، قم بتشغيل Docker على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Partner Hub مع حقوق المسؤول الكاملة للشريك.

إذا لم يكن لديك ترخيص Docker Desktop، فيمكنك استخدام Podman Desktop لتشغيل أداة إعداد HDS للخطوات من 1.a إلى 1.e في الإجراء أدناه. راجع تشغيل أداة إعداد HDS باستخدام Podman Desktop للحصول على التفاصيل.

إذا كانت أداة إعداد HDS تعمل خلف وكيل في بيئتك، فقم بتوفير إعدادات الوكيل (الخادم، المنفذ، بيانات الاعتماد) من خلال متغيرات بيئة Docker عند إحضار حاوية Docker في 1.e. يقدم هذا الجدول بعض متغيرات البيئة المحتملة:

الوصف	المتغير
وكيل HTTP بدون مصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
وكيل HTTPS بدون مصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
وكيل HTTP مع المصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
وكيل HTTPS مع المصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

أنت بحاجة إلى نسخة من ملف ISO للتكوين الحالي لإنشاء تكوين جديد. يحتوي ISO على المفتاح الرئيسي الذي يعمل على تشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. أنت بحاجة إلى ISO عند إجراء تغييرات التكوين ، بما في ذلك بيانات اعتماد قاعدة البيانات أو تحديثات الشهادة أو التغييرات على سياسة التفويض.

1	باستخدام Docker على جهاز محلي ، قم بتشغيل أداة إعداد HDS. في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك: في البيئات العادية: `docker rmi ciscocitg/hds-setup:stable` في بيئات FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله. لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي: `docker login -u hdscustomersro` في موجه كلمة المرور ، أدخل هذه التجزئة: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` قم بتنزيل أحدث صورة مستقرة لبيئتك: في البيئات العادية: `docker pull ciscocitg/hds-setup:stable` في بيئات FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable` تأكد من سحب أحدث أداة إعداد لهذا الإجراء. لا تحتوي إصدارات الأداة التي تم إنشاؤها قبل 22 فبراير 2018 على شاشات إعادة تعيين كلمة المرور. عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك: في البيئات العادية بدون وكيل: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` في البيئات العادية باستخدام وكيل HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` في البيئات العادية باستخدام HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` في بيئات FedRAMP بدون وكيل: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` في بيئات FedRAMP باستخدام وكيل HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` في بيئات FedRAMP باستخدام وكيل HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080." استخدم متصفحا للاتصال بالمضيف المحلي ، `http://127.0.0.1:8080`. لا تدعم أداة الإعداد الاتصال بـ localhost عبر http://localhost:8080. استخدم http://127.0.0.1:8080 للاتصال بـ localhost. عند مطالبتك بذلك، أدخل بيانات اعتماد تسجيل الدخول الخاصة بعميل Partner Hub، ثم انقر فوق قبول للمتابعة. قم باستيراد ملف ISO للتكوين الحالي. اتبع المطالبات لإكمال الأداة وتنزيل الملف المحدث. لإيقاف تشغيل أداة الإعداد، اكتب `CTRL+C`. قم بإنشاء نسخة احتياطية من الملف المحدث في مركز بيانات آخر.
2	إذا كان لديك عقدة HDS واحدة فقط تعمل على، قم بإنشاء عقدة Hybrid Data Security VM جديدة وقم بتسجيلها باستخدام ملف ISO الجديد للتكوين. للحصول على تعليمات أكثر تفصيلاً، راجع إنشاء المزيد من العقد وتسجيلها. قم بتثبيت مضيف HDS OVA. قم بإعداد HDS VM. قم بتحميل ملف التكوين المحدث. قم بتسجيل العقدة الجديدة في مركز الشركاء.
3	بالنسبة لعقد HDS الحالية التي تقوم بتشغيل ملف التكوين الأقدم ، قم بتحميل ملف ISO. نفذ الإجراء التالي على كل عقدة على حدة ، وقم بتحديث كل عقدة قبل إيقاف تشغيل العقدة التالية: قم بإيقاف تشغيل الآلة الافتراضية. في جزء التنقل الأيسر لعميل VMware vSphere ، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق تحرير الإعدادات . انقر فوق `CD/DVD Drive 1`، ثم حدد خيار التحميل من ملف ISO، وانتقل إلى الموقع الذي قمت بتنزيل ملف ISO الخاص بالتكوين الجديد فيه. حدد التوصيل أثناء التشغيل . احفظ التغييرات وقم بتشغيل الجهاز الظاهري.
4	كرر الخطوة 3 لاستبدال التكوين على كل عقدة متبقية تقوم بتشغيل التكوين القديم.

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

عند تسجيل عقدة أو التحقق من تكوين وكيل العقدة، تختبر العملية بحث DNS والاتصال بسحابة Cisco Webex. إذا تعذر على خادم DNS الخاص بالعقدة حل أسماء DNS العامة، فستنتقل العقدة تلقائيا إلى وضع حل DNS الخارجي المحظور.

إذا كانت العقد قادرة على حل أسماء DNS العامة من خلال خوادم DNS الداخلية، فيمكنك إيقاف تشغيل هذا الوضع عن طريق إعادة تشغيل اختبار اتصال الوكيل على كل عقدة.

قبل البدء

تأكد من أن خوادم DNS الداخلية يمكنها حل أسماء DNS العامة، وأن العقد يمكنها التواصل معها.

1	في مستعرض ويب، افتح واجهة عقدة أمان البيانات المختلطة (عنوان IP/الإعداد، على سبيل المثال، أدخل بيانات اعتماد المسؤول التي قمت بإعدادها للعقدة، ⁦https://192.0.2.0/setup),⁩ ثم انقر فوق تسجيل الدخول.
2	انتقل إلى نظرة عامة (الصفحة الافتراضية). عند تمكينه، يتم تعيين دقة DNS الخارجية المحظورة إلى نعم.
3	انتقل إلى صفحة متجر الثقة والوكيل .
4	انقر فوق التحقق من اتصال الوكيل. إذا ظهرت لك رسالة تفيد بأن دقة DNS الخارجية لم تكن ناجحة، فهذا يعني أن العقدة لم تتمكن من الوصول إلى خادم DNS وستظل في هذا الوضع. وإلا، بعد إعادة تشغيل العقدة والعودة إلى صفحة نظرة عامة ، يجب تعيين دقة DNS الخارجية المحظورة إلى لا.

التصرف التالي

كرر اختبار اتصال الوكيل على كل عقدة في مجموعة أمان البيانات المختلطة.

إزالة عقدة

استخدم هذا الإجراء لإزالة عقدة أمان البيانات الهجينة من سحابة Webex. بعد إزالة العقدة من المجموعة، احذف الجهاز الظاهري لمنع الوصول إلى بيانات الأمان الخاصة بك.

استخدم عميل VMware vSphere على جهاز الكمبيوتر الخاص بك لتسجيل الدخول إلى المضيف الظاهري ESXi وإيقاف تشغيل الجهاز الظاهري.

إزالة العقدة:

قم بتسجيل الدخول إلى مركز الشركاء، ثم حدد الخدمات.
في بطاقة أمان البيانات الهجين، انقر فوق عرض الكل لعرض صفحة موارد أمان البيانات الهجين.
قم بتحديد المجموعة الخاصة بك لعرض لوحة النظرة العامة الخاصة بها.
انقر فوق العقدة التي تريد إزالتها.
انقر فوق إلغاء تسجيل هذه العقدة في اللوحة التي تظهر على اليمين
يمكنك أيضًا إلغاء تسجيل العقدة بالنقر فوق ... على الجانب الأيمن من العقدة وتحديد إلغاء تسجيل العقدة.

في عميل vSphere، احذف الجهاز الافتراضي. (في جزء التنقل الأيسر، انقر بزر الماوس الأيمن فوق الجهاز الظاهري وانقر فوق حذف.)

إذا لم تقم بحذف الجهاز الظاهري، فتذكر إلغاء تحميل ملف ISO للتكوين. بدون ملف ISO، لا يمكنك استخدام الجهاز الظاهري للوصول إلى بيانات الأمان الخاصة بك.

استعادة الكوارث باستخدام مركز البيانات الاحتياطي

الخدمة الأكثر أهمية التي توفرها مجموعة أمان البيانات الهجينة الخاصة بك هي إنشاء وتخزين المفاتيح المستخدمة لتشفير الرسائل والمحتوى الآخر المخزن في سحابة Webex. بالنسبة لكل مستخدم داخل المؤسسة تم تعيينه لأمان البيانات الهجين، يتم توجيه طلبات إنشاء مفتاح جديد إلى المجموعة. كما أن المجموعة مسؤولة أيضًا عن إرجاع المفاتيح التي تم إنشاؤها إلى أي مستخدمين مخولين لاسترجاعها، على سبيل المثال، أعضاء مساحة المحادثة.

نظرًا لأن المجموعة تؤدي وظيفة مهمة تتمثل في توفير هذه المفاتيح، فمن الضروري أن تظل المجموعة قيد التشغيل وأن يتم الاحتفاظ بالنسخ الاحتياطية المناسبة. سيؤدي فقدان قاعدة بيانات أمان البيانات الهجينة أو تكوين ISO المستخدم للمخطط إلى خسارة غير قابلة للاسترداد لمحتوى العميل. إن الممارسات التالية إلزامية لمنع مثل هذه الخسارة:

إذا تسببت كارثة في عدم توفر نشر HDS في مركز البيانات الأساسي، فاتبع هذا الإجراء للانتقال يدويًا إلى مركز البيانات الاحتياطي.

قبل البدء

استخدم أحدث ملف ISO الذي تم تكوينه على عقد المجموعة التي كانت نشطة مسبقًا، لإجراء عملية الفشل المذكورة أدناه.

1	ابدأ تشغيل أداة إعداد HDS واتبع الخطوات المذكورة في إنشاء ملف ISO للتكوين لمضيفات HDS.
2	بعد تكوين خادم Syslogd، انقر فوق الإعدادات المتقدمة
3	في صفحة الإعدادات المتقدمة ، أضف التكوين أدناه أو قم بإزالة التكوين `passiveMode` لجعل العقدة نشطة. يمكن للعقدة التعامل مع حركة المرور بمجرد تكوين ذلك. `passiveMode: 'false'`
4	أكمل عملية التكوين واحفظ ملف ISO في مكان يمكنك العثور عليه بسهولة.
5	قم بعمل نسخة احتياطية من ملف ISO على النظام المحلي لديك. احتفظ بنسخة احتياطية آمنة. يحتوي هذا الملف على مفتاح تشفير رئيسي لمحتويات قاعدة البيانات. تقييد الوصول إلى مسؤولي أمان البيانات الهجينة فقط الذين يتعين عليهم إجراء تغييرات على التكوين.
6	في جزء التنقل الأيسر لعميل VMware vSphere، انقر بزر الماوس الأيمن فوق الجهاز الظاهري ثم انقر فوق تحرير الإعدادات..
7	انقر فوق تحرير الإعدادات >CD/DVD محرك الأقراص 1 وحدد ملف ISO الخاص بمخزن البيانات. تأكد من تحديد Connected و Connect at power on حتى تتمكن تغييرات التكوين المحدثة من الدخول حيز التنفيذ بعد بدء تشغيل العقد.
8	قم بتشغيل عقدة HDS وتأكد من عدم وجود أي إنذارات لمدة 15 دقيقة على الأقل.
9	كرر العملية لكل عقدة في مركز البيانات الاحتياطي. تحقق من إخراج syslog للتأكد من أن عقد مركز البيانات الاحتياطي ليست في الوضع السلبي. لا ينبغي أن يظهر "KMS الذي تم تكوينه في الوضع السلبي" في syslogs.

التصرف التالي

بعد الفشل، إذا أصبح مركز البيانات الأساسي نشطًا مرة أخرى، فضع مركز البيانات الاحتياطي في الوضع السلبي مرة أخرى باتباع الخطوات الموضحة في إعداد مركز البيانات الاحتياطي للتعافي من الكوارث.

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS

يتم تشغيل تكوين HDS القياسي مع تثبيت ISO. لكن بعض العملاء يفضلون عدم ترك ملفات ISO مثبتة بشكل مستمر. يمكنك إلغاء تحميل ملف ISO بعد أن تلتقط كافة عقد HDS التكوين الجديد.

لا تزال تستخدم ملفات ISO لإجراء تغييرات على التكوين. عند إنشاء ملف ISO جديد أو تحديث ملف ISO من خلال أداة الإعداد، يجب عليك تثبيت ملف ISO المحدث على جميع عقد HDS الخاصة بك. بمجرد أن تلتقط جميع العقد الخاصة بك تغييرات التكوين، يمكنك إلغاء تثبيت ISO مرة أخرى باستخدام هذا الإجراء.

قبل البدء

قم بترقية جميع عقد HDS الخاصة بك إلى الإصدار 2025.06.02.6983 أو أحدث.

1	قم بإغلاق إحدى عقد HDS الخاصة بك.
2	في جهاز vCenter Server، حدد عقدة HDS.
3	اختر تحرير الإعدادات > CD/DVD قم بتشغيل وقم بإلغاء تحديد ملف ISO الخاص بمخزن البيانات.
4	قم بتشغيل عقدة HDS وتأكد من عدم وجود أي إنذارات لمدة 20 دقيقة على الأقل.
5	كرر ذلك لكل عقدة HDS بالتناوب.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

عرض التنبيهات واستكشاف الأخطاء وإصلاحها

يعتبر نشر أمان البيانات الهجين غير متاح إذا كانت جميع العقد في المجموعة غير قابلة للوصول، أو إذا كانت المجموعة تعمل ببطء شديد بحيث تنتهي مهلة الطلبات. إذا لم يتمكن المستخدمون من الوصول إلى مجموعة أمان البيانات الهجينة الخاصة بك، فسوف يواجهون الأعراض التالية:

لا يمكن إنشاء مساحات جديدة (غير قادر على إنشاء مفاتيح جديدة)
تفشل الرسائل وعناوين المساحات في فك التشفير لـ:
- تمت إضافة مستخدمين جدد إلى مساحة (غير قادرين على جلب المفاتيح)
- المستخدمون الحاليون في مساحة تستخدم عميلاً جديدًا (غير قادرين على جلب المفاتيح)
سيستمر المستخدمون الحاليون في مساحة ما في العمل بنجاح طالما أن عملائهم لديهم ذاكرة تخزين مؤقتة لمفاتيح التشفير

من المهم مراقبة مجموعة أمان البيانات الهجينة لديك بشكل صحيح والتعامل مع أي تنبيهات على الفور لتجنب انقطاع الخدمة.

التنبيهات

إذا كانت هناك مشكلة في إعداد أمان البيانات الهجين، يعرض مركز الشركاء التنبيهات لمسؤول المؤسسة، ويرسل رسائل بريد إلكتروني إلى عنوان البريد الإلكتروني الذي تم تكوينه. وتغطي التنبيهات العديد من السيناريوهات الشائعة.

الجدول رقم 1. المشكلات الشائعة وخطوات حلها
تنبيه	الإجراء
فشل الوصول إلى قاعدة البيانات المحلية.	التحقق من وجود أخطاء في قاعدة البيانات أو مشكلات الشبكة المحلية.
فشل الاتصال بقاعدة البيانات المحلية.	تأكد من أن خادم قاعدة البيانات متاح، وتم استخدام بيانات اعتماد حساب الخدمة الصحيحة في تكوين العقدة.
فشل الوصول إلى الخدمة السحابية.	تأكد من أن العقد يمكنها الوصول إلى خوادم Webex كما هو محدد في متطلبات الاتصال الخارجية.
تجديد تسجيل الخدمة السحابية.	تم إسقاط التسجيل في الخدمات السحابية. جاري تجديد التسجيل.
تم إسقاط تسجيل الخدمة السحابية.	تم إنهاء التسجيل في الخدمات السحابية. تم إيقاف الخدمة.
الخدمة لم يتم تفعيلها بعد.	قم بتفعيل HDS في مركز الشركاء.
المجال الذي تم تكوينه لا يتطابق مع شهادة الخادم.	تأكد من أن شهادة الخادم لديك تتطابق مع نطاق تنشيط الخدمة الذي قمت بتكوينه. السبب الأكثر احتمالا هو أن شهادة CN تم تغييرها مؤخرًا وهي الآن مختلفة عن CN التي تم استخدامها أثناء الإعداد الأولي.
فشل في المصادقة على الخدمات السحابية.	التحقق من دقة بيانات اعتماد حساب الخدمة واحتمالية انتهاء صلاحيتها.
فشل في فتح ملف مخزن المفاتيح المحلي.	التحقق من سلامة ودقة كلمة المرور في ملف مخزن المفاتيح المحلي.
شهادة الخادم المحلي غير صالحة.	تحقق من تاريخ انتهاء صلاحية شهادة الخادم وتأكد من إصدارها من قبل هيئة شهادة موثوقة.
غير قادر على نشر المقاييس.	التحقق من وصول الشبكة المحلية إلى الخدمات السحابية الخارجية.
/media/configdrive/hds الدليل غير موجود.	تحقق من تكوين تثبيت ISO على المضيف الافتراضي. تأكد من وجود ملف ISO، وأنه تم تكوينه ليتم تحميله عند إعادة التشغيل، وأنه تم تحميله بنجاح.
لم يتم إكمال إعداد منظمة المستأجر للمنظمات المضافة	أكمل الإعداد عن طريق إنشاء مفاتيح إدارة العملاء (CMKs) للمؤسسات المستأجرة المضافة حديثًا باستخدام أداة إعداد HDS.
لم يتم إكمال إعداد منظمة المستأجر للمنظمات التي تمت إزالتها	أكمل الإعداد عن طريق إلغاء مفاتيح إدارة العملاء (CMKs) للمؤسسات المستأجرة التي تمت إزالتها باستخدام أداة إعداد HDS.

استكشاف أخطاء أمان البيانات الهجينة وإصلاحها

استخدم الإرشادات العامة التالية عند استكشاف مشكلات أمان البيانات الهجينة وإصلاحها.

1	سجل الدخول إلى مركز الشركاء.
2	من القائمة الموجودة على الجانب الأيسر من الشاشة، حدد الخدمات.
3	في القسم الهجين، ابحث عن أمان البيانات الهجين وانقر فوق الأحداث.
4	قم بمراجعة صفحة سجل الأحداث بحثًا عن أي تنبيهات وإصلاح أي عناصر تجدها هناك. انظر الصورة أدناه للمرجع.
5	قم بمراجعة مخرجات خادم syslog للنشاط الناتج عن نشر Hybrid Data Security. قم بتصفية الكلمات مثل "تحذير" و"خطأ" للمساعدة في استكشاف الأخطاء وإصلاحها.
6	اتصل بدعم Cisco.

ملاحظات أخرى

المشكلات المعروفة المتعلقة بأمان البيانات الهجينة

إذا قمت بإيقاف تشغيل جميع مجموعات Hybrid Data Security النشطة (عن طريق حذفها في Partner Hub أو عن طريق إيقاف تشغيل جميع العقد)، أو فقدت ملف ISO الخاص بالتكوين، أو فقدت الوصول إلى قاعدة بيانات مخزن المفاتيح، فلن يتمكن مستخدمو تطبيق Webex في مؤسسات العملاء من استخدام المساحات الموجودة ضمن قائمة الأشخاص الخاصة بهم والتي تم إنشاؤها باستخدام مفاتيح من KMS الخاص بك. لا يوجد لدينا حاليًا حل بديل أو إصلاح لهذه المشكلة ونحثك على عدم إيقاف تشغيل خدمات HDS بمجرد تعاملها مع حسابات المستخدمين النشطة.
يحافظ العميل الذي لديه اتصال ECDH موجود مع KMS على هذا الاتصال لفترة زمنية (من المحتمل أن تكون ساعة واحدة).

تشغيل أداة إعداد HDS باستخدام Podman Desktop

Podman هي أداة إدارة حاويات مجانية ومفتوحة المصدر توفر طريقة لتشغيل الحاويات وإدارتها وإنشائها. يمكن تنزيل Podman Desktop من https://podman-desktop.io/downloads.

تعمل أداة إعداد HDS كحاوية Docker على جهاز محلي. للتمكن من الوصول إليه، قم بتنزيل Podman وتشغيله على هذا الجهاز. تتطلب عملية الإعداد بيانات اعتماد حساب Control Hub مع حقوق المسؤول الكاملة لمؤسستك.

الوصف	المتغير
وكيل HTTP بدون مصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
وكيل HTTPS بدون مصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
وكيل HTTP مع المصادقة	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
وكيل HTTPS مع المصادقة	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

يحتوي ملف ISO للتكوين الذي تقوم بإنشائه على المفتاح الرئيسي الذي يقوم بتشفير قاعدة بيانات PostgreSQL أو Microsoft SQL Server. تحتاج إلى أحدث نسخة من هذا الملف في كل مرة تقوم فيها بإجراء تغييرات على التكوين، مثل هذه:
- بيانات اعتماد قاعدة البيانات
- تحديثات الشهادة
- تغييرات على سياسة الترخيص
إذا كنت تخطط لتشفير اتصالات قاعدة البيانات، فقم بإعداد نشر PostgreSQL أو SQL Server الخاص بك لـ TLS.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

التصرف التالي

اتبع الخطوات المتبقية في إنشاء ISO تكوين لمضيفات HDS أو تغيير تكوين العقدة لإنشاء أو تغيير تكوين ISO.

نقل نشر HDS الحالي للمستأجر الفردي لمؤسسة شريكة في Control Hub إلى إعداد HDS متعدد المستأجرين في Partner Hub

تتضمن عملية التحويل من نشر HDS لمستأجر واحد موجود لمنظمة شريكة تتم إدارته في Control Hub إلى نشر HDS متعدد المستأجرين تتم إدارته في Partner Hub بشكل أساسي إلغاء تنشيط خدمة HDS في Control Hub وإلغاء تسجيل العقد وحذف المجموعة. يمكنك بعد ذلك تسجيل الدخول إلى Partner Hub، وتسجيل العقد، وتنشيط Multi-Tenant HDS وإضافة العملاء إلى مجموعتك.

يشير مصطلح "المستأجر الفردي" ببساطة إلى نشر HDS موجود في Control Hub.

إلغاء تنشيط HDS وإلغاء تسجيل العقد وحذف جميع المجموعات في Control Hub

1	سجّل الدخول إلى Control Hub. في الجزء الأيسر، انقر فوق هجين. في بطاقة أمان البيانات الهجينة، انقر فوق تحرير الإعدادات.
2	في صفحة الإعدادات، قم بالتمرير لأسفل إلى قسم إلغاء التنشيط وانقر فوق إلغاء التنشيط.
3	بعد إلغاء التنشيط، انقر فوق علامة التبويب الموارد.
4	تسرد صفحة الموارد مجموعات في نشر HDS الخاص بك. انقر فوق مجموعة، وسيتم فتح صفحة تحتوي على جميع العقد الموجودة ضمن تلك المجموعة.
5	انقر فوق على اليمين وانقر فوق إلغاء تسجيل العقدة. كرر العملية لجميع العقد في المجموعة.
6	إذا كان نشرك يتضمن مجموعات متعددة، كرر الخطوتين 4 و5 حتى يتم إلغاء تسجيل كافة العقد.
7	انقر فوق إعدادات المجموعة > يزيل.
8	انقر فوق تأكيد الإزالة لإلغاء تسجيل المجموعة.
9	كرر هذه العملية لجميع المجموعات الموجودة في نشر HDS الخاص بك. بعد إلغاء تنشيط HDS، وإلغاء تسجيل العقد، وإزالة المجموعات، ستظهر رسالة Setup not complete في الأسفل على بطاقة Hybrid Data Service الموجودة على Control Hub.

قم بتنشيط HDS متعدد المستأجرين للمنظمة الشريكة على Partner Hub وأضف العملاء

قبل البدء

تنطبق هنا جميع المتطلبات الأساسية المذكورة في متطلبات أمن البيانات الهجينة متعددة المستأجرين. بالإضافة إلى ذلك، تأكد من استخدام نفس قاعدة البيانات والشهادات أثناء النقل إلى HDS متعدد المستأجرين.

1	تسجيل الدخول إلى مركز الشركاء. انقر فوق الخدمات في الجزء الأيسر. استخدم نفس ISO من نشر HDS السابق لتكوين العقد. سيضمن هذا إمكانية الوصول إلى الرسائل والمحتوى الذي أنشأه المستخدمون في نشر HDS الحالي السابق في إعداد المستأجرين المتعددين الجديد.
2	في القسم الهجين، ابحث عن بطاقة أمان البيانات الهجينة وانقر فوق إعداد.
3	في الصفحة التي تفتح، انقر فوق إضافة مورد.
4	في الحقل الأول من بطاقة إنشاء مجموعة ، أدخل اسمًا للمجموعة التي تريد تعيين عقدة أمان البيانات الهجينة لها. نوصيك بتسمية المجموعة استنادًا إلى الموقع الجغرافي لعقد المجموعة. أمثلة: "سان فرانسيسكو" أو "نيويورك" أو "دالاس"
5	في الحقل الثاني، أدخل عنوان IP الداخلي أو اسم المجال المؤهل بالكامل (FQDN) لعقدتك وانقر فوق إضافة في أسفل الشاشة. يجب أن يتطابق عنوان IP أو FQDN هذا مع عنوان IP أو اسم المضيف والنطاق الذي استخدمته في إعداد Hybrid Data Security VM. تظهر رسالة تشير إلى أنه بإمكانك تسجيل العقدة الخاصة بك في Webex.
6	انقر فوق للانتقال إلى العقدة. بعد لحظات قليلة، سيتم إعادة توجيهك إلى اختبارات اتصال العقدة لخدمات Webex. إذا نجحت جميع الاختبارات، ستظهر صفحة السماح بالوصول إلى عقدة أمان البيانات الهجينة. هناك، يمكنك التأكيد على أنك تريد منح الأذونات لمؤسسة Webex الخاصة بك للوصول إلى العقدة الخاصة بك.
7	حدد مربع الاختيار السماح بالوصول إلى عقدة أمان البيانات الهجينة الخاصة بك ، ثم انقر فوق متابعة. تم التحقق من صحة حسابك وتشير رسالة "اكتمل التسجيل" إلى أن العقدة الخاصة بك مسجلة الآن في سحابة Webex. في صفحة Hybrid Data Security ، يتم عرض المجموعة الجديدة التي تحتوي على العقدة التي قمت بتسجيلها ضمن علامة التبويب Resources. ستقوم العقدة تلقائيًا بتنزيل أحدث البرامج من السحابة.
8	انتقل إلى علامة التبويب الإعدادات ، وانقر فوق تنشيط على بطاقة حالة HDS. ستظهر رسالةتم تنشيط HDS في أسفل الشاشة.
9	انقر فوق علامة التبويب العملاء المعينون.
10	انقر فوق إضافة العملاء.
11	حدد العميل الذي تريد إضافته من القائمة المنسدلة.
12	انقر فوق إضافة، سيتم إضافة العميل إلى المجموعة.
13	كرر الخطوات من 11 إلى 13 لإضافة عملاء متعددين إلى مجموعتك.
14	انقر فوق تم في أسفل الشاشة بمجرد إضافة العملاء.

التصرف التالي

استخدام OpenSSL لإنشاء ملف PKCS12

قبل البدء

OpenSSL هي إحدى الأدوات التي يمكن استخدامها لجعل ملف PKCS12 بالتنسيق المناسب للتحميل في أداة إعداد HDS. هناك طرق أخرى للقيام بذلك، ونحن لا ندعم أو نشجع طريقة على أخرى.
إذا اخترت استخدام OpenSSL، فنحن نقدم هذا الإجراء كدليل لمساعدتك في إنشاء ملف يلبي متطلبات شهادة X.509 في متطلبات شهادة X.509. افهم هذه المتطلبات قبل الاستمرار.
قم بتثبيت OpenSSL في بيئة مدعومة. انظر https://www.openssl.org للحصول على البرنامج والوثائق.
إنشاء مفتاح خاص.
ابدأ هذا الإجراء عند استلام شهادة الخادم من هيئة الشهادات (CA) الخاصة بك.

1	عند استلام شهادة الخادم من سلطة التصديق الخاصة بك، احفظها باسم `hdsnode.pem`.
2	عرض الشهادة كنص، والتحقق من التفاصيل. `openssl x509 -text -noout -in hdsnode.pem`
3	استخدم محرر نصوص لإنشاء ملف حزمة شهادة يسمى `hdsnode-bundle.pem`. يجب أن يتضمن ملف الحزمة شهادة الخادم، وأي شهادات CA وسيطة، وشهادات CA الجذر، بالتنسيق أدناه: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	قم بإنشاء ملف . p12 بالاسم المألوف `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	التحقق من تفاصيل شهادة الخادم. `openssl pkcs12 -in hdsnode.p12` أدخل كلمة المرور عند المطالبة بتشفير المفتاح الخاص حتى يتم إدراجه في الإخراج. بعد ذلك، تأكد من أن المفتاح الخاص والشهادة الأولى يتضمنان الأسطر `friendlyName: kms-private-key`. مثال: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

التصرف التالي

العودة إلى استكمال المتطلبات الأساسية لأمن البيانات الهجينة. سوف تستخدم الملف hdsnode.p12 وكلمة المرور التي قمت بتعيينها له في إنشاء ملف ISO للتكوين لمضيفات HDS.

بإمكانك إعادة استخدام هذه الملفات لطلب شهادة جديدة عند انتهاء صلاحية الشهادة الأصلية.

حركة المرور بين عقد HDS والسحابة

حركة جمع المقاييس الصادرة

ترسل عقد أمان البيانات الهجينة مقاييس معينة إلى سحابة Webex. تتضمن هذه المقاييس النظامية للحد الأقصى للكومة، والكومة المستخدمة، وحمل وحدة المعالجة المركزية، وعدد الخيوط؛ والمقاييس الخاصة بالخيوط المتزامنة وغير المتزامنة؛ والمقاييس الخاصة بالتنبيهات التي تنطوي على حد أدنى لاتصالات التشفير، أو زمن الوصول، أو طول قائمة انتظار الطلبات؛ والمقاييس الخاصة بمخزن البيانات؛ ومقاييس اتصالات التشفير. ترسل العقد مادة رئيسية مشفرة عبر قناة خارج النطاق (منفصلة عن الطلب).

حركة المرور الواردة

تستقبل عقد أمان البيانات الهجينة الأنواع التالية من حركة المرور الواردة من سحابة Webex:

طلبات التشفير من العملاء، والتي يتم توجيهها بواسطة خدمة التشفير
ترقيات لبرنامج العقدة

تكوين وكلاء Squid لأمان البيانات الهجينة

لا يمكن ل Websocket الاتصال من خلال وكيل الحبار

يمكن لوكلاء Squid الذين يقومون بفحص حركة مرور HTTPS أن يتداخلوا مع إنشاء اتصالات websocket (wss:) التي يتطلبها أمان البيانات الهجين. تقدم هذه الأقسام إرشادات حول كيفية تكوين إصدارات مختلفة من Squid لتجاهل حركة المرور wss: لضمان التشغيل السليم للخدمات.

الحبار 4 و 5

أضف التوجيه on_unsupported_protocol إلى squid.conf:

on_unsupported_protocol tunnel all

الحبار 3.5.27

لقد قمنا باختبار أمان البيانات الهجين بنجاح من خلال إضافة القواعد التالية إلى squid.conf. تخضع هذه القواعد للتغيير أثناء تطوير الميزات وتحديث سحابة Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

1	في سطر أوامر جهازك ، أدخل الأمر المناسب لبيئتك: في البيئات العادية: `podman rmi ciscocitg/hds-setup:stable` في بيئات FedRAMP: `podman rmi ciscocitg/hds-setup-fedramp:stable` تقوم هذه الخطوة بتنظيف صور أداة إعداد HDS السابقة. إذا لم تكن هناك صور سابقة ، فإنها تُرجع خطأ يمكنك تجاهله.
2	لتسجيل الدخول إلى Docker image Registry ، أدخل ما يلي: `podman login docker.io -u hdscustomersro`
3	في موجه كلمة المرور ، أدخل هذه التجزئة: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	قم بتنزيل أحدث صورة مستقرة لبيئتك: في البيئات العادية: `podman pull ciscocitg/hds-setup:stable` في بيئات FedRAMP: `podman pull ciscocitg/hds-setup-fedramp:stable`
5	عند اكتمال السحب ، أدخل الأمر المناسب لبيئتك: في البيئات العادية بدون وكيل: `podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` في البيئات العادية باستخدام وكيل HTTP: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` في البيئات العادية مع وكيل HTTPS: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` في بيئات FedRAMP بدون وكيل: `podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` في بيئات FedRAMP باستخدام وكيل HTTP: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` في بيئات FedRAMP باستخدام وكيل HTTPS: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` عندما تكون الحاوية قيد التشغيل ، سترى "استماع سريع للخادم على المنفذ 8080."

شكرًا على ملاحظاتك.

دليل النشر لأمن البيانات الهجينة متعددة المستأجرين (HDS)

معلومات جديدة ومتغيرة

معلومات جديدة ومتغيرة

إلغاء تنشيط أمان البيانات الهجينة متعددة المستأجرين

سير عمل إلغاء تنشيط HDS متعدد المستأجرين

الأسئلة الشائعة

الأسئلة الشائعة

س. هل يتم تخزين مفاتيح CMK والمفتاح الرئيسي في ISO أو قاعدة البيانات؟

س. هل يتم استخدام مفتاح واحد لتشفير كافة بيانات مؤسسات العملاء؟

س. ماذا سيحدث إذا قمت بتعطيل HDS من Partner Hub؟

س. بمجرد إنشاء CMK لمنظمة العميل من خلال أداة إعداد HDS، هل يبدأ مستخدمو منظمة العميل على الفور في الاستفادة من HDS متعدد المستأجرين؟

س. لماذا لا أرى قائمة العملاء عندما أنقر على زر "إضافة عملاء" في مركز الشركاء؟

س. ما هو التأثير في حالة إغلاق جميع عقد HDS أو في حالة تأثير مشكلة في الشبكة على جميع عقد HDS؟

س. هل يتم تشفير بيانات المستخدم الخاصة بالمنظمة الشريكة باستخدام المفتاح الرئيسي الذي تم إنشاؤه أثناء إنشاء ISO؟

س. هل يمكن أن تكون المنظمة الشريكة والمنظمات المستأجرة في مناطق مختلفة (على سبيل المثال، الولايات المتحدة والاتحاد الأوروبي)؟

س. هل هناك أي آلية لنقل المفاتيح مرة أخرى إلى Cloud KMS؟

س. هل يمكن للشريك الاستمرار في استخدام Cloud KMS واستخدام Multi-Tenant HDS حصريًا لإدارة العملاء؟

س. كيف يمكن للشريك التحقق من أن مؤسسته تستخدم نظام HDS متعدد المستأجرين للتشفير؟

س. هل يوجد بديل لـ Docker Desktop لتشغيل أداة إعداد HDS؟

س. كم عدد العقد التي يمكنني نشرها في مجموعة HDS متعددة المستأجرين؟

س. ما هي متطلبات الشبكة اللازمة لإعداد HDS متعدد المستأجرين؟

س. هل يعد Pro Pack for Control Hub شرطًا أساسيًا للمنظمات الشريكة؟

س. هل يتم دعم HSM في نظام HDS متعدد المستأجرين؟

س. هل يمكنني اختبار HDS متعدد المستأجرين باستخدام شهادة ذاتية التوقيع؟

س. هل يلزم تركيب ISO في كل مرة تتم إضافة عميل جديد إلى Partner Hub؟

س. بعد نشر Multi-Tenant HDS على Partner Hub، هل يبدأ مستخدمو المؤسسة الشريكة في الاستفادة من KMS المحلي لإدارة المفاتيح؟

ابدأ باستخدام أمان البيانات الهجين متعدد المستأجرين

نظرة عامة على أمن البيانات الهجينة متعددة المستأجرين

كيف يوفر أمان البيانات الهجين متعدد المستأجرين سيادة البيانات والتحكم فيها

حدود أمان البيانات الهجينة متعددة المستأجرين

الأدوار في أمن البيانات الهجينة متعددة المستأجرين

هندسة مجال الأمن

التعاون مع المنظمات الأخرى

توقعات بشأن نشر أمن البيانات الهجين

عملية الإعداد رفيع المستوى

نموذج نشر أمن البيانات الهجين

مركز بيانات احتياطي للتعافي من الكوارث

إعداد مركز بيانات احتياطي للتعافي من الكوارث

دعم البروكسي

مثال على عقد أمان البيانات المختلطة والوكيل

وضع دقة DNS الخارجي المحظور (تكوينات الوكيل الصريحة)

إعداد بيئتك

متطلبات أمن البيانات الهجينة متعددة المستأجرين

متطلبات ترخيص Cisco Webex

متطلبات سطح مكتب Docker

متطلبات شهادة X.509

متطلبات المضيف الافتراضي

متطلبات خادم قاعدة البيانات

متطلبات إضافية لمصادقة Windows على Microsoft SQL Server

متطلبات الاتصال الخارجية

متطلبات الخادم الوكيل

أكمل المتطلبات الأساسية لأمن البيانات الهجينة

إعداد مجموعة أمان البيانات الهجينة

سير عمل نشر أمان البيانات الهجينة

قم بإجراء الإعداد الأولي وتنزيل ملفات التثبيت

إنشاء ملف ISO للتكوين لمضيفات HDS

تثبيت HDS Host OVA

إعداد جهاز VM للأمان الهجين للبيانات

تحميل وتثبيت ISO لتكوين HDS

تكوين عقدة HDS لتكامل الوكيل

تسجيل العقدة الأولى في المجموعة

إنشاء وتسجيل المزيد من العقد

إدارة منظمات المستأجرين على أمان البيانات الهجين متعدد المستأجرين

تفعيل HDS متعدد المستأجرين على Partner Hub

إضافة المنظمات المستأجرة في مركز الشركاء

إنشاء مفاتيح العميل الرئيسية (CMKs) باستخدام أداة إعداد HDS

إزالة المنظمات المستأجرة

إلغاء مفاتيح إدارة المستأجرين الذين تمت إزالتهم من HDS.

اختبار نشر أمان البيانات الهجين الخاص بك

اختبار نشر أمان البيانات الهجينة لديك

مراقبة صحة وأمان البيانات الهجينة

إدارة نشر HDS الخاص بك

إدارة نشر HDS

تعيين جدول ترقية المجموعة

تغيير تكوين العقدة

إيقاف تشغيل وضع دقة DNS الخارجي المحظور

إزالة عقدة

استعادة الكوارث باستخدام مركز البيانات الاحتياطي

(اختياري) إلغاء تثبيت ISO بعد تكوين HDS