Може да забележите, че съдържанието на някои статии се показва по различен начин. Извинете ни, докато актуализираме сайта.
cross icon
В тази статия
dropdown icon
Предговор
    Нова и променена информация
    dropdown icon
    Започнете с хибридна защита на данните
      Преглед на сигурността на хибридните данни
        dropdown icon
        Архитектура на сферата на сигурността
          Царства на разделяне (без хибридна защита на данните)
        Сътрудничество с други организации
          Очаквания за внедряване на хибридна защита на данните
            Процес на настройка на високо ниво
              dropdown icon
              Модел за внедряване на хибридна защита на данните
                Модел за внедряване на хибридна защита на данните
              Пробен режим за хибридна защита на данните
                dropdown icon
                Център за данни в режим на готовност за възстановяване при бедствия
                  Настройте център за данни в режим на готовност за възстановяване при бедствия
                Поддръжка на прокси
                dropdown icon
                Подгответе средата си
                  dropdown icon
                  Изисквания за хибридна сигурност на данните
                    Изисквания за лиценз на Cisco Webex
                    Изисквания за работния плот на Docker
                    X.509 Изисквания за сертификат
                    Изисквания за виртуален хост
                    Изисквания за сървър на база данни
                    Изисквания за външна свързаност
                    Изисквания към прокси сървъра
                  Изпълнете предпоставките за хибридна защита на данните
                  dropdown icon
                  Създайте хибриден клъстер за сигурност на данните
                    Поток на задачи за внедряване на хибридна защита на данните
                      Изтеглете инсталационни файлове
                        Създайте ISO конфигурация за HDS хостовете
                          Инсталирайте HDS Host OVA
                            Настройте хибридната VM машина за защита на данните
                              Качете и монтирайте ISO конфигурацията на HDS
                                Конфигуриране на HDS възел за интегриране на прокси сървър
                                  Регистрирайте първия възел в клъстера
                                    Създайте и регистрирайте още възли
                                    dropdown icon
                                    Изпълнете пробна версия и преминете към производство
                                      Поток на задачата от пробна и производствена
                                        Активирайте пробна версия
                                          Тествайте внедряването на вашата хибридна защита на данните
                                            Наблюдавайте здравето на хибридната защита на данните
                                              Добавяне или премахване на потребители от вашия пробен период
                                                Преминете от пробна версия към производствена
                                                  Прекратете пробния си период, без да преминете към производство
                                                  dropdown icon
                                                  Управлявайте внедряването на HDS
                                                    Управление на внедряването на HDS
                                                      Задайте график за надграждане на клъстер
                                                        Променете конфигурацията на възела
                                                          Изключване на режим на блокирана външна DNS разделителна способност
                                                            Премахване на възел
                                                              Възстановяване при бедствия с помощта на Център за данни в режим на готовност
                                                                (По избор) Демонтирайте ISO след HDS конфигурация
                                                                dropdown icon
                                                                Отстраняване на проблеми със сигурността на хибридните данни
                                                                  Преглед на сигнали и отстраняване на неизправности
                                                                    dropdown icon
                                                                    Сигнали
                                                                      Често срещани проблеми и стъпки за разрешаването им
                                                                    Отстраняване на проблеми със сигурността на хибридните данни
                                                                    dropdown icon
                                                                    Други бележки
                                                                      Известни проблеми за сигурността на хибридните данни
                                                                        Използвайте OpenSSL, за да генерирате PKCS12 файл
                                                                          Трафик между HDS възлите и облака
                                                                            dropdown icon
                                                                            Конфигурирайте Squid прокси сървъри за хибридна защита на данните
                                                                              Websocket не може да се свърже чрез сепия прокси
                                                                          В тази статия
                                                                          cross icon
                                                                          dropdown icon
                                                                          Предговор
                                                                            Нова и променена информация
                                                                            dropdown icon
                                                                            Започнете с хибридна защита на данните
                                                                              Преглед на сигурността на хибридните данни
                                                                                dropdown icon
                                                                                Архитектура на сферата на сигурността
                                                                                  Царства на разделяне (без хибридна защита на данните)
                                                                                Сътрудничество с други организации
                                                                                  Очаквания за внедряване на хибридна защита на данните
                                                                                    Процес на настройка на високо ниво
                                                                                      dropdown icon
                                                                                      Модел за внедряване на хибридна защита на данните
                                                                                        Модел за внедряване на хибридна защита на данните
                                                                                      Пробен режим за хибридна защита на данните
                                                                                        dropdown icon
                                                                                        Център за данни в режим на готовност за възстановяване при бедствия
                                                                                          Настройте център за данни в режим на готовност за възстановяване при бедствия
                                                                                        Поддръжка на прокси
                                                                                        dropdown icon
                                                                                        Подгответе средата си
                                                                                          dropdown icon
                                                                                          Изисквания за хибридна сигурност на данните
                                                                                            Изисквания за лиценз на Cisco Webex
                                                                                            Изисквания за работния плот на Docker
                                                                                            X.509 Изисквания за сертификат
                                                                                            Изисквания за виртуален хост
                                                                                            Изисквания за сървър на база данни
                                                                                            Изисквания за външна свързаност
                                                                                            Изисквания към прокси сървъра
                                                                                          Изпълнете предпоставките за хибридна защита на данните
                                                                                          dropdown icon
                                                                                          Създайте хибриден клъстер за сигурност на данните
                                                                                            Поток на задачи за внедряване на хибридна защита на данните
                                                                                              Изтеглете инсталационни файлове
                                                                                                Създайте ISO конфигурация за HDS хостовете
                                                                                                  Инсталирайте HDS Host OVA
                                                                                                    Настройте хибридната VM машина за защита на данните
                                                                                                      Качете и монтирайте ISO конфигурацията на HDS
                                                                                                        Конфигуриране на HDS възел за интегриране на прокси сървър
                                                                                                          Регистрирайте първия възел в клъстера
                                                                                                            Създайте и регистрирайте още възли
                                                                                                            dropdown icon
                                                                                                            Изпълнете пробна версия и преминете към производство
                                                                                                              Поток на задачата от пробна и производствена
                                                                                                                Активирайте пробна версия
                                                                                                                  Тествайте внедряването на вашата хибридна защита на данните
                                                                                                                    Наблюдавайте здравето на хибридната защита на данните
                                                                                                                      Добавяне или премахване на потребители от вашия пробен период
                                                                                                                        Преминете от пробна версия към производствена
                                                                                                                          Прекратете пробния си период, без да преминете към производство
                                                                                                                          dropdown icon
                                                                                                                          Управлявайте внедряването на HDS
                                                                                                                            Управление на внедряването на HDS
                                                                                                                              Задайте график за надграждане на клъстер
                                                                                                                                Променете конфигурацията на възела
                                                                                                                                  Изключване на режим на блокирана външна DNS разделителна способност
                                                                                                                                    Премахване на възел
                                                                                                                                      Възстановяване при бедствия с помощта на Център за данни в режим на готовност
                                                                                                                                        (По избор) Демонтирайте ISO след HDS конфигурация
                                                                                                                                        dropdown icon
                                                                                                                                        Отстраняване на проблеми със сигурността на хибридните данни
                                                                                                                                          Преглед на сигнали и отстраняване на неизправности
                                                                                                                                            dropdown icon
                                                                                                                                            Сигнали
                                                                                                                                              Често срещани проблеми и стъпки за разрешаването им
                                                                                                                                            Отстраняване на проблеми със сигурността на хибридните данни
                                                                                                                                            dropdown icon
                                                                                                                                            Други бележки
                                                                                                                                              Известни проблеми за сигурността на хибридните данни
                                                                                                                                                Използвайте OpenSSL, за да генерирате PKCS12 файл
                                                                                                                                                  Трафик между HDS възлите и облака
                                                                                                                                                    dropdown icon
                                                                                                                                                    Конфигурирайте Squid прокси сървъри за хибридна защита на данните
                                                                                                                                                      Websocket не може да се свърже чрез сепия прокси
                                                                                                                                                  Ръководство за внедряване на Webex Hybrid Data Security
                                                                                                                                                  list-menuВ тази статия
                                                                                                                                                  Предговор

                                                                                                                                                  Нова и променена информация

                                                                                                                                                  Дата

                                                                                                                                                  Направени промени

                                                                                                                                                  20 октомври 2023 г

                                                                                                                                                  07 август 2023 г

                                                                                                                                                  23 май 2023 г

                                                                                                                                                  06 декември 2022 г

                                                                                                                                                  23 ноември 2022 г

                                                                                                                                                  13 октомври 2021 г

                                                                                                                                                  Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker .

                                                                                                                                                  24 юни 2021 г

                                                                                                                                                  Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности.

                                                                                                                                                  30 април 2021 г.

                                                                                                                                                  Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности.

                                                                                                                                                  24 февруари 2021 г

                                                                                                                                                  HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности.

                                                                                                                                                  2 февруари 2021 г

                                                                                                                                                  HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.

                                                                                                                                                  11 януари 2021 г

                                                                                                                                                  Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете .

                                                                                                                                                  13 октомври 2020 г

                                                                                                                                                  Актуализиран Изтеглете инсталационни файлове .

                                                                                                                                                  08 октомври 2020 г.

                                                                                                                                                  Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди.

                                                                                                                                                  14 август 2020 г

                                                                                                                                                  Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане.

                                                                                                                                                  5 август 2020 г

                                                                                                                                                  Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения.

                                                                                                                                                  Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове.

                                                                                                                                                  16 юни 2020 г

                                                                                                                                                  Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub.

                                                                                                                                                  4 юни 2020 г

                                                                                                                                                  Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете.

                                                                                                                                                  29 май 2020 г

                                                                                                                                                  Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения.

                                                                                                                                                  5 май 2020 г

                                                                                                                                                  Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5.

                                                                                                                                                  21 април 2020 г

                                                                                                                                                  Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI.

                                                                                                                                                  1 април 2020 г.

                                                                                                                                                  Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове.

                                                                                                                                                  20 февруари 2020 гАктуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS.
                                                                                                                                                  4 февруари 2020 гАктуализиран Изисквания за прокси сървър .
                                                                                                                                                  16 декември 2019 г.Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър .
                                                                                                                                                  19 ноември 2019 г

                                                                                                                                                  Добавена информация за Blocked External DNS Resolution Mode в следните раздели:

                                                                                                                                                  8 ноември 2019 г

                                                                                                                                                  Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това.

                                                                                                                                                  Актуализирани съответно следните раздели:


                                                                                                                                                   

                                                                                                                                                  Опцията за конфигуриране на мрежови настройки по време на внедряване на OVA е тествана с ESXi 6.5. Възможно е опцията да не е налична в по-ранните версии.

                                                                                                                                                  6 септември 2019 г

                                                                                                                                                  Добавен SQL Server Standard към Изисквания за сървър на база данни .

                                                                                                                                                  Август 29, 2019Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа.
                                                                                                                                                  20 август 2019 г

                                                                                                                                                  Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex .

                                                                                                                                                  За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия.

                                                                                                                                                  13 юни 2019 гАктуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории.
                                                                                                                                                  6 март 2019 г
                                                                                                                                                  Февруари 28, 2019
                                                                                                                                                  • Коригирано е количеството локално пространство на твърдия диск на сървър, което трябва да заделите, когато подготвяте виртуалните хостове, които стават възли за хибридна защита на данните, от 50-GB на 20-GB, за да отразите размера на диска, който OVA създава.

                                                                                                                                                  26 февруари 2019 г.
                                                                                                                                                  • Възлите за хибридна защита на данните вече поддържат криптирани връзки със сървъри на база данни PostgreSQL и криптирани връзки за регистриране към TLS-способен syslog сървър. Актуализиран Създайте ISO конфигурация за HDS хостовете с инструкции.

                                                                                                                                                  • Премахнати целеви URL адреси от таблицата „Изисквания за интернет свързаност за хибридни виртуални машини за защита на данни“. Таблицата вече се отнася до списъка, поддържан в таблицата „Допълнителни URL адреси за хибридни услуги на Webex Teams“ на Мрежови изисквания за услугите на Webex Teams .

                                                                                                                                                  24 януари 2019 г

                                                                                                                                                  • Hybrid Data Security вече поддържа Microsoft SQL Server като база данни. SQL Server Always On (Always On Failover Clusters и Always on Availability Groups) се поддържа от JDBC драйверите, които се използват в Hybrid Data Security. Добавено съдържание, свързано с внедряването със SQL Server.


                                                                                                                                                     

                                                                                                                                                    Поддръжката на Microsoft SQL Server е предназначена само за нови разполагания на хибридната защита на данните. Понастоящем не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server в съществуващо разполагане.

                                                                                                                                                  5 ноември 2018 г
                                                                                                                                                  19 октомври 2018 г

                                                                                                                                                  31 юли 2018 г

                                                                                                                                                  21 май 2018 г.

                                                                                                                                                  Променена терминология, за да отрази ребрандирането на Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security вече е Hybrid Data Security.

                                                                                                                                                  • Приложението Cisco Spark вече е приложението Webex App.

                                                                                                                                                  • Облакът на Cisco Collaboraton вече е облакът на Webex .

                                                                                                                                                  11 април 2018 г
                                                                                                                                                  22 февруари 2018 г
                                                                                                                                                  15 февруари 2018
                                                                                                                                                  • В X.509 Изисквания за сертификат таблица, посочи, че сертификатът не може да бъде сертификат с заместващ знак и че KMS използва домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN.

                                                                                                                                                  18 януари 2018

                                                                                                                                                  2 ноември 2017 г

                                                                                                                                                  • Изяснена синхронизация на директории на HdsTrialGroup.

                                                                                                                                                  • Фиксирани инструкции за качване на ISO конфигурационен файл за монтиране към VM възлите.

                                                                                                                                                  18 август 2017 г

                                                                                                                                                  Публикувано за първи път

                                                                                                                                                  Започнете с хибридна защита на данните

                                                                                                                                                  Преглед на сигурността на хибридните данни

                                                                                                                                                  От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.

                                                                                                                                                  По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.

                                                                                                                                                  Архитектура на сферата на сигурността

                                                                                                                                                  Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.

                                                                                                                                                  Царства на разделяне (без хибридна защита на данните)

                                                                                                                                                  За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.

                                                                                                                                                  В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:

                                                                                                                                                  1. Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.

                                                                                                                                                  2. Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.

                                                                                                                                                  3. Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.

                                                                                                                                                  4. Шифрованото съобщение се съхранява в областта на съхранение.

                                                                                                                                                  Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.

                                                                                                                                                  Сътрудничество с други организации

                                                                                                                                                  Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.

                                                                                                                                                  Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.

                                                                                                                                                  Очаквания за внедряване на хибридна защита на данните

                                                                                                                                                  Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.

                                                                                                                                                  За да внедрите хибридна защита на данните, трябва да предоставите:

                                                                                                                                                  Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:

                                                                                                                                                  • Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.

                                                                                                                                                  • Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.


                                                                                                                                                   

                                                                                                                                                  Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS.

                                                                                                                                                  Процес на настройка на високо ниво

                                                                                                                                                  Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:

                                                                                                                                                  • Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.

                                                                                                                                                    Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.

                                                                                                                                                  • Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.

                                                                                                                                                  • Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.

                                                                                                                                                  Модел за внедряване на хибридна защита на данните

                                                                                                                                                  В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.

                                                                                                                                                  По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)

                                                                                                                                                  Модел за внедряване на хибридна защита на данните

                                                                                                                                                  Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)

                                                                                                                                                  Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.

                                                                                                                                                  Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.

                                                                                                                                                  Ние поддържаме само един клъстер на организация.

                                                                                                                                                  Пробен режим за хибридна защита на данните

                                                                                                                                                  След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.

                                                                                                                                                  Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .

                                                                                                                                                  Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.

                                                                                                                                                  Център за данни в режим на готовност за възстановяване при бедствия

                                                                                                                                                  По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ръчно преминаване при отказ към Център за данни в режим на готовност

                                                                                                                                                  Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.


                                                                                                                                                   

                                                                                                                                                  Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни.

                                                                                                                                                  Настройте център за данни в режим на готовност за възстановяване при бедствия

                                                                                                                                                  Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)

                                                                                                                                                  • Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.

                                                                                                                                                  1

                                                                                                                                                  Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .


                                                                                                                                                   

                                                                                                                                                  ISO файлът трябва да бъде копие на оригиналния ISO файл на основния център за данни, върху който трябва да се направят следните актуализации на конфигурацията.

                                                                                                                                                  2

                                                                                                                                                  След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки

                                                                                                                                                  3

                                                                                                                                                  На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране.

                                                                                                                                                  5

                                                                                                                                                  Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията.

                                                                                                                                                  6

                                                                                                                                                  В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. .

                                                                                                                                                  7

                                                                                                                                                  Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Уверете се Свързани и Свържете при включване са проверени, така че актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.

                                                                                                                                                  8

                                                                                                                                                  Включете HDS възела и се уверете, че няма аларми за поне 15 минути.

                                                                                                                                                  9

                                                                                                                                                  Повторете процеса за всеки възел в център за данни в режим на готовност.


                                                                                                                                                   

                                                                                                                                                  Проверете системните журнали, за да проверите дали възлите са в пасивен режим. Трябва да можете да видите съобщението „KMS конфигуриран в пасивен режим“ в системните дневници.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.

                                                                                                                                                  Прокси поддръжка

                                                                                                                                                  Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.

                                                                                                                                                  Възлите за защита на хибридните данни поддържат следните прокси опции:

                                                                                                                                                  • Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.

                                                                                                                                                  • Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.

                                                                                                                                                  • Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).

                                                                                                                                                  • Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:

                                                                                                                                                    1. Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.

                                                                                                                                                    2. Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.

                                                                                                                                                    3. Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:

                                                                                                                                                      • HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.

                                                                                                                                                      • HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.

                                                                                                                                                    4. Тип на удостоверяването — Изберете измежду следните типове удостоверяване:

                                                                                                                                                      • Няма — не се изисква допълнително удостоверяване.

                                                                                                                                                        Достъпно, ако изберете HTTP или HTTPS като прокси протокол.

                                                                                                                                                      • Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.

                                                                                                                                                        Достъпно, ако изберете HTTP или HTTPS като прокси протокол.

                                                                                                                                                        Изисква да въведете потребителско име и парола на всеки възел.

                                                                                                                                                      • Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.

                                                                                                                                                        Достъпно само ако изберете HTTPS като прокси протокол.

                                                                                                                                                        Изисква да въведете потребителско име и парола на всеки възел.

                                                                                                                                                  Пример за хибридни възли за защита на данни и прокси

                                                                                                                                                  Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.

                                                                                                                                                  Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)

                                                                                                                                                  Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.

                                                                                                                                                  Подгответе вашата среда

                                                                                                                                                  Изисквания за хибридна сигурност на данните

                                                                                                                                                  Изисквания за лиценз на Cisco Webex

                                                                                                                                                  За да внедрите хибридна защита на данните:

                                                                                                                                                  Изисквания за работния плот на Docker

                                                                                                                                                  Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".

                                                                                                                                                  X.509 Изисквания за сертификат

                                                                                                                                                  верига за сертификати трябва да отговаря на следните изисквания:

                                                                                                                                                  Таблица 1. Изисквания за сертификат X.509 за внедряване на хибридна защита на данни

                                                                                                                                                  Изискване

                                                                                                                                                  Подробности

                                                                                                                                                  • Подписано от доверен орган за сертификати (CA)

                                                                                                                                                  По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Носи име на име на домейн с общо име (CN), което идентифицира вашето внедряване на хибридна защита на данните

                                                                                                                                                  • Не е заместващ сертификат

                                                                                                                                                  CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. hds.company.com.

                                                                                                                                                  CN не трябва да съдържа * (уместен знак).

                                                                                                                                                  CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN.

                                                                                                                                                  След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване.

                                                                                                                                                  • Не-SHA1 подпис

                                                                                                                                                  Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки с KMS на други организации.

                                                                                                                                                  • Форматиран като защитен с парола файл PKCS #12

                                                                                                                                                  • Използвайте приятелското име на kms-private-key за да маркирате сертификата, частния ключ и всички междинни сертификати за качване.

                                                                                                                                                  Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат.

                                                                                                                                                  Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS.

                                                                                                                                                  Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.

                                                                                                                                                  Изисквания за виртуален хост

                                                                                                                                                  Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:

                                                                                                                                                  • Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни

                                                                                                                                                  • VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.


                                                                                                                                                     

                                                                                                                                                    Трябва да надстроите, ако имате по-ранна версия на ESXi.

                                                                                                                                                  • Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър

                                                                                                                                                  Изисквания за сървър на база данни


                                                                                                                                                   

                                                                                                                                                  Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни.

                                                                                                                                                  Има две опции за сървър на база с данни. Изискванията за всеки са както следва:

                                                                                                                                                  Таблица 2. Изисквания към сървъра за бази данни по тип база данни

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 или 16, инсталиран и работещ.

                                                                                                                                                  • Инсталиран SQL Server 2016, 2017 или 2019 (Enterprise или Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 изисква Service Pack 2 и Кумулативна актуализация 2 или по-нова версия.

                                                                                                                                                  Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта)

                                                                                                                                                  Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта)

                                                                                                                                                  Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC драйвер 42.2.5

                                                                                                                                                  SQL Server JDBC драйвер 4.6

                                                                                                                                                  Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ).

                                                                                                                                                  Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server

                                                                                                                                                  Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:

                                                                                                                                                  • HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.

                                                                                                                                                  • Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.

                                                                                                                                                  • DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).

                                                                                                                                                  • Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .

                                                                                                                                                    Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.

                                                                                                                                                  Изисквания за външна свързаност

                                                                                                                                                  Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:

                                                                                                                                                  Приложение

                                                                                                                                                  Протокол

                                                                                                                                                  Порт

                                                                                                                                                  Упътване от ап

                                                                                                                                                  Дестинация

                                                                                                                                                  Възли за хибридна защита на данните

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Изходящ HTTPS и WSS

                                                                                                                                                  • Webex сървъри:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Всички хостове за обща идентичност

                                                                                                                                                  • Други URL адреси, които са изброени за хибридна защита на данните в Допълнителни URL адреси за хибридни услуги на Webex таблица на Мрежови изисквания за услугите на Webex

                                                                                                                                                  Инструмент за настройка на HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Изходящ HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Всички хостове за обща идентичност

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели.

                                                                                                                                                  URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:

                                                                                                                                                  Регион

                                                                                                                                                  Общи URL адреси на хост за самоличност

                                                                                                                                                  Северна и Южна Америка

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Европейски съюз

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Канада

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Изисквания за прокси сървър

                                                                                                                                                  • Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.

                                                                                                                                                  • Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:

                                                                                                                                                    • Няма удостоверяване с HTTP или HTTPS

                                                                                                                                                    • Основно удостоверяване с HTTP или HTTPS

                                                                                                                                                    • Дайджест удостоверяване само с HTTPS

                                                                                                                                                  • За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.

                                                                                                                                                  • Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.

                                                                                                                                                  • Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към wbx2.com и ciscospark.com ще реши проблема.

                                                                                                                                                  Изпълнете предпоставките за хибридна защита на данните

                                                                                                                                                  Използвайте този контролен списък, за да се уверите, че сте готови да инсталирате и конфигурирате своя клъстер за хибридна защита на данните.
                                                                                                                                                  1

                                                                                                                                                  Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес.

                                                                                                                                                  2

                                                                                                                                                  Изберете име на домейн за внедряването на HDS (например hds.company.com) и да получите верига за сертификати, съдържаща сертификат X.509, частен ключ и всякакви междинни сертификати. верига за сертификати трябва да отговаря на изискванията в X.509 Изисквания за сертификат .

                                                                                                                                                  3

                                                                                                                                                  Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост .

                                                                                                                                                  4

                                                                                                                                                  Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове.

                                                                                                                                                  1. Създайте база данни за съхранение на ключове. (Трябва да създадете тази база данни - не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни.)

                                                                                                                                                  2. Съберете подробностите, които възлите ще използват за комуникация със сървъра на сървър на база с данни:

                                                                                                                                                    • име на домакина или IP адрес (хост) и порта

                                                                                                                                                    • името на базата данни (dbname) за съхранение на ключове

                                                                                                                                                    • потребителското име и паролата на потребител с всички привилегии в базата данни за съхранение на ключове

                                                                                                                                                  5

                                                                                                                                                  За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.


                                                                                                                                                   

                                                                                                                                                  Тъй като възлите за защита на хибридните данни съхраняват ключовете, използвани за криптиране и декриптиране на съдържание, неспособността да се поддържа оперативно внедряване ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА от това съдържание.

                                                                                                                                                  Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда.

                                                                                                                                                  8

                                                                                                                                                  Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност .

                                                                                                                                                  9

                                                                                                                                                  Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080.

                                                                                                                                                  Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация.

                                                                                                                                                  За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност .

                                                                                                                                                  10

                                                                                                                                                  Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър .

                                                                                                                                                  11

                                                                                                                                                  Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена HdsTrialGroup и добавете пилотни потребители. Пробната група може да има до 250 потребители. На HdsTrialGroup обектът трябва да бъде синхронизиран с облака, преди да можете да започнете пробна версия за вашата организация. За да синхронизирате групов обект, изберете го в конектора на директория Конфигурация > Избор на обект меню. (За подробни инструкции вижте Ръководство за разгръщане на Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Ключовете за дадено пространство се задават от създателя на пространството. Когато избирате пилотни потребители, имайте предвид, че ако решите да деактивирате за постоянно внедряването на Hybrid Data Security, всички потребители губят достъп до съдържание в пространствата, създадени от пилотните потребители. Загубата става очевидна веднага щом приложенията на потребителите обновят своите кеширани копия на съдържанието.

                                                                                                                                                  Създайте хибриден клъстер за сигурност на данните

                                                                                                                                                  Поток на задачи за внедряване на хибридна защита на данните

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Подгответе вашата среда

                                                                                                                                                  1

                                                                                                                                                  Изтеглете инсталационни файлове

                                                                                                                                                  Изтеглете OVA файла на вашата локална машина за по-късна употреба.

                                                                                                                                                  2

                                                                                                                                                  Създайте ISO конфигурация за HDS хостовете

                                                                                                                                                  Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните.

                                                                                                                                                  3

                                                                                                                                                  Инсталирайте HDS Host OVA

                                                                                                                                                  Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.


                                                                                                                                                   

                                                                                                                                                  Опцията за конфигуриране на мрежови настройки по време на внедряване на OVA е тествана с ESXi 6.5. Възможно е опцията да не е налична в по-ранните версии.

                                                                                                                                                  4

                                                                                                                                                  Настройте хибридната VM машина за защита на данните

                                                                                                                                                  Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.

                                                                                                                                                  5

                                                                                                                                                  Качете и монтирайте ISO конфигурацията на HDS

                                                                                                                                                  Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS.

                                                                                                                                                  6

                                                                                                                                                  Конфигурирайте HDS възел за прокси интеграция

                                                                                                                                                  Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо.

                                                                                                                                                  7

                                                                                                                                                  Регистрирайте първия възел в клъстера

                                                                                                                                                  Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните.

                                                                                                                                                  8

                                                                                                                                                  Създайте и регистрирайте още възли

                                                                                                                                                  Завършете настройката на клъстера.

                                                                                                                                                  9

                                                                                                                                                  Изпълнете пробна версия и преминете към производство (следваща глава)

                                                                                                                                                  Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.

                                                                                                                                                  Изтеглете инсталационни файлове

                                                                                                                                                  В тази задача изтегляте OVA файл на вашата машина (не на сървърите, които сте настройвам като възли за хибридна защита на данните). Използвате този файл по-късно в процеса на инсталиране.
                                                                                                                                                  1

                                                                                                                                                  Влезте вhttps://admin.webex.com и след това щракнете Услуги .

                                                                                                                                                  2

                                                                                                                                                  В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте .

                                                                                                                                                  Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.


                                                                                                                                                   

                                                                                                                                                  Можете също да изтеглите OVA по всяко време от Помощ раздел за Настройки страница. На картата за защита на хибридни данни щракнете Редактиране на настройките за да отворите страницата. След това щракнете Изтеглете софтуера за хибридна защита на данните в Помощ раздел.


                                                                                                                                                   

                                                                                                                                                  По-старите версии на софтуерния пакет (OVA) няма да са съвместими с най-новите надстройки за хибридна защита на данните. Това може да доведе до проблеми при надграждане на приложението. Уверете се, че сте изтеглили най-новата версия на файла OVA.

                                                                                                                                                  3

                                                                                                                                                  Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща .

                                                                                                                                                  OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
                                                                                                                                                  4

                                                                                                                                                  По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство.

                                                                                                                                                  Създайте ISO конфигурация за HDS хостовете

                                                                                                                                                  Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.

                                                                                                                                                    Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:

                                                                                                                                                    Описание

                                                                                                                                                    Променлива

                                                                                                                                                    HTTP прокси без удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS прокси без удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP прокси с удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS прокси с удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Конфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:

                                                                                                                                                    • Данни за база данни

                                                                                                                                                    • Актуализации на сертификата

                                                                                                                                                    • Промени в политиката за оторизация

                                                                                                                                                  • Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.

                                                                                                                                                  1

                                                                                                                                                  В командния ред на вашата машина въведете подходящата команда за вашата среда:

                                                                                                                                                  В редовна среда:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  В FedRAMP среди:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Тази стъпка почиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

                                                                                                                                                  2

                                                                                                                                                  За да влизам в регистъра на изображенията на Docker, въведете следното:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  При подкана за парола въведете този хеш:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Изтеглете най-новото стабилно изображение за вашата среда:

                                                                                                                                                  В редовна среда:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  В FedRAMP среди:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Когато изтеглянето завърши, въведете подходящата команда за вашата среда:

                                                                                                                                                  • В обикновени среди без прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • В обикновени среди с HTTP прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • В обикновени среди с HTTPS прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • В FedRAMP среди без прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • В FedRAMP среди с HTTP прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • В FedRAMP среди с HTTPS прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Инструментът за настройка не поддържа свързване към localhost чрез http://localhost:8080 . Използвайтеhttp://127.0.0.1:8080 за да се свържете с локален хост.

                                                                                                                                                  Използвайте уеб браузър, за да отидете на локалния хост, http://127.0.0.1:8080 и въведете потребителско име на администратор на клиента за Control Hub при подкана.

                                                                                                                                                  Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход.

                                                                                                                                                  7

                                                                                                                                                  Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните.

                                                                                                                                                  8

                                                                                                                                                  На страницата за преглед на инструмента за настройка щракнете Започнете .

                                                                                                                                                  9

                                                                                                                                                  На ISO импортиране страница, имате следните опции:

                                                                                                                                                  • не —Ако създавате първия си HDS възел, нямате ISO файл за качване.
                                                                                                                                                  • да —Ако вече сте създали HDS възли, тогава избирате своя ISO файл в прегледа и го качвате.
                                                                                                                                                  10

                                                                                                                                                  Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .

                                                                                                                                                  • Ако никога досега не сте качвали сертификат, качете сертификата X.509, въведете паролата и щракнете Продължете .
                                                                                                                                                  • Ако сертификатът ви е ОК, щракнете Продължете .
                                                                                                                                                  • Ако вашият сертификат е изтекъл или искате да го замените, изберете не за Да продължите ли да използвате верига за сертификати и частен ключ от предишен ISO? . Качете нов сертификат X.509, въведете паролата и щракнете Продължете .
                                                                                                                                                  11

                                                                                                                                                  Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни:

                                                                                                                                                  1. Изберете своя Тип база данни ( PostgreSQL или Microsoft SQL Server ).

                                                                                                                                                    Ако изберете Microsoft SQL Server , получавате поле Тип на удостоверяването .

                                                                                                                                                  2. ( Microsoft SQL Server само) Изберете своя Тип на удостоверяването :

                                                                                                                                                    • Основно удостоверяване : Имате нужда от име на профила в SQL Server в Потребителско име поле.

                                                                                                                                                    • Удостоверяване на Windows : Нуждаете се от акаунт в Windows във формата username@DOMAIN в Потребителско име поле.

                                                                                                                                                  3. Въведете адреса на сървър на база с данни във формуляра <hostname>:<port> или <IP-address>:<port>.

                                                                                                                                                    Пример:
                                                                                                                                                    dbhost.example.org:1433 или 198.51.100.17:1433

                                                                                                                                                    Можете да използвате IP адрес за основно удостоверяване, ако възлите не могат да използват DNS за разрешаване на името на хоста.

                                                                                                                                                    Ако използвате удостоверяване на Windows, трябва да въведете напълно квалифицирано име на домейн във формата dbhost.example.org:1433

                                                                                                                                                  4. Въведете Име на базата данни .

                                                                                                                                                  5. Въведете Потребителско име и парола на потребител с всички привилегии в базата данни за съхранение на ключове.

                                                                                                                                                  12

                                                                                                                                                  Изберете a TLS режим на връзка с база данни :

                                                                                                                                                  Режим

                                                                                                                                                  Описание

                                                                                                                                                  Предпочитайте TLS (опция по подразбиране)

                                                                                                                                                  HDS възлите не изискват TLS за свързване към сървъра на сървър на база с данни. Ако активирате TLS на сървъра на сървър на база с данни, възлите се опитват да установят криптирана връзка.

                                                                                                                                                  Изисквайте TLS

                                                                                                                                                  HDS възлите се свързват само ако сървърът на сървър на база с данни може да договаря TLS.

                                                                                                                                                  Изисквайте TLS и потвърдете подписващия сертификат


                                                                                                                                                   

                                                                                                                                                  Този режим не е приложим за бази данни на SQL Server.

                                                                                                                                                  • HDS възлите се свързват само ако сървърът на сървър на база с данни може да договаря TLS.

                                                                                                                                                  • След установяване на TLS връзка, възелът сравнява подписващия сертификат от сървър на база с данни с сертифициращия орган в главен сертификат на базата данни . Ако не съвпадат, възелът прекратява връзката.

                                                                                                                                                  Използвайте главен сертификат на базата данни контрол под падащото меню, за да качите главен сертификат за тази опция.

                                                                                                                                                  Изисквайте TLS и проверете подписващия сертификат и името на хоста

                                                                                                                                                  • HDS възлите се свързват само ако сървърът на сървър на база с данни може да договаря TLS.

                                                                                                                                                  • След установяване на TLS връзка, възелът сравнява подписващия сертификат от сървър на база с данни с сертифициращия орган в главен сертификат на базата данни . Ако не съвпадат, възелът прекратява връзката.

                                                                                                                                                  • Възлите също така проверяват дали името на хоста в сертификат на сървъра съвпада с името на хоста в Хост на базата данни и порт поле. Имената трябва да съвпадат точно, или възелът прекъсва връзката.

                                                                                                                                                  Използвайте главен сертификат на базата данни контрол под падащото меню, за да качите главен сертификат за тази опция.

                                                                                                                                                  Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.)

                                                                                                                                                  13

                                                                                                                                                  На страницата System Logs конфигурирайте вашия Syslogd сървър:

                                                                                                                                                  1. Въведете URL на syslog сървъра.

                                                                                                                                                    Ако сървърът не е DNS-разрешим от възлите за вашия HDS клъстер, използвайте IP адрес в URL.

                                                                                                                                                    Пример:
                                                                                                                                                    udp://10.92.43.23:514 показва регистриране към хост Syslogd 10.92.43.23 на UDP порт 514.
                                                                                                                                                  2. Ако сте настройвам вашия сървър да използва TLS криптиране, проверете Вашият syslog сървър конфигуриран ли е за SSL криптиране? .

                                                                                                                                                    Ако поставите отметка в това поле за отметка, уверете се, че сте въвели TCP URL , като напр tcp://10.92.43.23:514.

                                                                                                                                                  3. От Изберете прекратяване на запис на syslog падащо меню изберете подходящата настройка за вашия ISO файл: Изберете или Newline се използва за Graylog и Rsyslog TCP

                                                                                                                                                    • Нулев байт -- \x00

                                                                                                                                                    • Нов ред -- \n —Изберете този избор за Graylog и Rsyslog TCP.

                                                                                                                                                  4. Щракнете върху Продължаване.

                                                                                                                                                  14

                                                                                                                                                  (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран.

                                                                                                                                                  Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове.

                                                                                                                                                  16

                                                                                                                                                  Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране.

                                                                                                                                                  17

                                                                                                                                                  Направете резервно копие на ISO файла във вашата локална система.

                                                                                                                                                  Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията.

                                                                                                                                                  18

                                                                                                                                                  За да изключите инструмента за настройка, въведете CTRL+C.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.


                                                                                                                                                   

                                                                                                                                                  Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите.

                                                                                                                                                  Инсталирайте HDS Host OVA

                                                                                                                                                  Използвайте тази процедура, за да създадете виртуална машина от OVA файла.
                                                                                                                                                  1

                                                                                                                                                  Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi.

                                                                                                                                                  2

                                                                                                                                                  Изберете Файл > Внедряване на OVF шаблон .

                                                                                                                                                  3

                                                                                                                                                  В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща .

                                                                                                                                                  4

                                                                                                                                                  На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща .

                                                                                                                                                  5

                                                                                                                                                  На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща .

                                                                                                                                                  Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона.

                                                                                                                                                  6

                                                                                                                                                  Проверете детайлите на шаблона и след това щракнете Следваща .

                                                                                                                                                  7

                                                                                                                                                  Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща .

                                                                                                                                                  8

                                                                                                                                                  На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM .

                                                                                                                                                  9

                                                                                                                                                  На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM.

                                                                                                                                                  10

                                                                                                                                                  На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:

                                                                                                                                                  • Име на хост — Въведете FQDN (име на хост и домейн) или име на хост от една дума за възела.

                                                                                                                                                     
                                                                                                                                                    • Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509.

                                                                                                                                                    • За да осигурите успешна регистрация в облака, използвайте само малки букви в FQDN или името на хост, които сте задали за възела. Понастоящем изписването с главни букви не се поддържа.

                                                                                                                                                    • Общата дължина на FQDN не трябва да надвишава 64 знака.

                                                                                                                                                  • IP адрес — Въведете IP адрес за вътрешния интерфейс на възела.

                                                                                                                                                     

                                                                                                                                                    Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.

                                                                                                                                                  • маска — Въведете адреса на маска на подмрежата в десетична нотация. например 255.255.255.0 .
                                                                                                                                                  • Портал — Въведете IP адрес на шлюза. Шлюзът е мрежов възел, който служи като точка на достъп до друга мрежа.
                                                                                                                                                  • DNS сървъри — Въведете разделен със запетая списък с DNS сървъри, които обработват преобразуването на имена на домейни в цифрови IP адреси. (Разрешени са до 4 DNS записа.)
                                                                                                                                                  • NTP сървъри — Въведете NTP сървър на вашата организация или друг външен NTP сървър , който може да се използва във вашата организация. NTP сървърите по подразбиране може да не работят за всички предприятия. Можете също да използвате разделен със запетая списък, за да въведете множество NTP сървъри.
                                                                                                                                                  • Разположете всички възли в една и съща подмрежа или VLAN, така че всички възли в клъстер да са достъпни от клиенти във вашата мрежа за административни цели.

                                                                                                                                                  Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.


                                                                                                                                                   

                                                                                                                                                  Опцията за конфигуриране на мрежови настройки по време на внедряване на OVA е тествана с ESXi 6.5. Възможно е опцията да не е налична в по-ранните версии.

                                                                                                                                                  11

                                                                                                                                                  Щракнете с десния бутон върху възела VM и след това изберете Мощност > Включване .

                                                                                                                                                  Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела.

                                                                                                                                                  Съвети за отстраняване на неизправности

                                                                                                                                                  Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам.

                                                                                                                                                  Настройте хибридната VM машина за защита на данните

                                                                                                                                                  Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.

                                                                                                                                                  1

                                                                                                                                                  В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел.

                                                                                                                                                  VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
                                                                                                                                                  2

                                                                                                                                                  Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни:

                                                                                                                                                  1. Вход: admin

                                                                                                                                                  2. Парола: cisco

                                                                                                                                                  Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор.

                                                                                                                                                  3

                                                                                                                                                  Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция.

                                                                                                                                                  4

                                                                                                                                                  Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.

                                                                                                                                                  5

                                                                                                                                                  (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика.

                                                                                                                                                  Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509.

                                                                                                                                                  6

                                                                                                                                                  Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила.

                                                                                                                                                  Качете и монтирайте ISO конфигурацията на HDS

                                                                                                                                                  Използвайте тази процедура, за да конфигурирате виртуална машина от ISO файла, който сте създали с инструмента за настройка на HDS.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.

                                                                                                                                                  1

                                                                                                                                                  Качете ISO файла от вашия компютър:

                                                                                                                                                  1. В левия навигационен панел на клиента VMware vSphere щракнете върху ESXi сървъра.

                                                                                                                                                  2. В списъка Хардуер на раздела Конфигурация щракнете Съхранение .

                                                                                                                                                  3. В списъка Datastores щракнете с щраквам с десния бутон върху хранилището на данни за вашите VM и щракнете Преглед на Datastore .

                                                                                                                                                  4. Щракнете върху иконата за качване на файлове и след това щракнете върху Качване на файл .

                                                                                                                                                  5. Отидете до мястото, където сте изтеглили ISO файла на вашия компютър и щракнете Отвори .

                                                                                                                                                  6. Щракнете върху да за да приемете предупреждението за операцията за качване/изтегляне и затворете диалоговия прозорец за съхранение на данни.

                                                                                                                                                  2

                                                                                                                                                  Монтирайте ISO файла:

                                                                                                                                                  1. В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките .

                                                                                                                                                  2. Щракнете върху ОК за да приемете предупреждението за ограничени опции за редактиране.

                                                                                                                                                  3. Щракнете върху CD/DVD Drive 1, изберете опцията за монтиране от ISO файл на хранилище за данни и прегледайте мястото, където сте качили конфигурационния ISO файл.

                                                                                                                                                  4. Проверете Свързани и Свържете при включване .

                                                                                                                                                  5. Запазете промените и рестартирайте виртуална машина.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.

                                                                                                                                                  Конфигурирайте HDS възел за прокси интеграция

                                                                                                                                                  Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  1

                                                                                                                                                  Въведете URL за настройка на HDS възел https://[HDS Node IP or FQDN]/setup в уеб браузър, въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте .

                                                                                                                                                  2

                                                                                                                                                  Отидете на Доверен магазин и прокси и след това изберете опция:

                                                                                                                                                  • Без прокси —Опция по опция по подразбиране, преди да интегрирате прокси. Не се изисква актуализация на сертификата.
                                                                                                                                                  • Прозрачен прокси без проверка — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
                                                                                                                                                  • Прозрачен инспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTPS при внедряването на хибридна защита на данните, но HDS възлите се нуждаят от главен сертификат , така че да имат доверие на прокси сървъра. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
                                                                                                                                                  • Изрично прокси —С изричен прокси, вие казвате на клиента (HDS възли) кой прокси сървър да използва и тази опция поддържа няколко типа удостоверяване. След като изберете тази опция, трябва да въведете следната информация:
                                                                                                                                                    1. Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.

                                                                                                                                                    2. Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.

                                                                                                                                                    3. Прокси протокол — Изберете http (преглежда и контролира всички заявки, които се получават от клиента) или https (предоставя канал към сървъра, а клиентът получава и валидира сертификата на сървъра). Изберете опция въз основа на това, което поддържа вашият прокси сървър .

                                                                                                                                                    4. Тип на удостоверяването — Изберете измежду следните типове удостоверяване:

                                                                                                                                                      • Няма — не се изисква допълнително удостоверяване.

                                                                                                                                                        Предлага се за HTTP или HTTPS прокси сървъри.

                                                                                                                                                      • Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.

                                                                                                                                                        Предлага се за HTTP или HTTPS прокси сървъри.

                                                                                                                                                        Ако изберете тази опция, трябва също да въведете потребителско име и парола.

                                                                                                                                                      • Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.

                                                                                                                                                        Предлага се само за HTTPS прокси сървъри.

                                                                                                                                                        Ако изберете тази опция, трябва също да въведете потребителско име и парола.

                                                                                                                                                  Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси.

                                                                                                                                                  3

                                                                                                                                                  Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра.

                                                                                                                                                  Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла.

                                                                                                                                                  4

                                                                                                                                                  Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито.

                                                                                                                                                  Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема.

                                                                                                                                                  Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode .

                                                                                                                                                  5

                                                                                                                                                  След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила.

                                                                                                                                                  6

                                                                                                                                                  Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов.

                                                                                                                                                  Възелът се рестартира в рамките на няколко минути.

                                                                                                                                                  7

                                                                                                                                                  След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние.

                                                                                                                                                  Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра.

                                                                                                                                                  Регистрирайте първия възел в клъстера

                                                                                                                                                  Тази задача приема общия възел, който сте създали в Настройте хибридната VM машина за защита на данните , регистрира възела в облака Webex и го превръща в възел за хибридна защита на данните.

                                                                                                                                                  Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.

                                                                                                                                                  • Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Влезте в https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  От менюто в лявата част на екрана изберете Услуги .

                                                                                                                                                  3

                                                                                                                                                  В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте .

                                                                                                                                                  Появява се страницата Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща .

                                                                                                                                                  5

                                                                                                                                                  В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните.

                                                                                                                                                  Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас"

                                                                                                                                                  6

                                                                                                                                                  Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща .

                                                                                                                                                  Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните .

                                                                                                                                                  Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
                                                                                                                                                  7

                                                                                                                                                  Щракнете върху Отидете на Node .

                                                                                                                                                  8

                                                                                                                                                  Щракнете върху Продължете в предупредително съобщение.

                                                                                                                                                  След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
                                                                                                                                                  9

                                                                                                                                                  Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете .

                                                                                                                                                  Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
                                                                                                                                                  10

                                                                                                                                                  Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub.

                                                                                                                                                  На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.

                                                                                                                                                  Създайте и регистрирайте още възли

                                                                                                                                                  За да добавите допълнителни възли към вашия клъстер, просто създавате допълнителни VM и монтирате същия конфигурационен ISO файл, след което регистрирате възела. Препоръчваме ви да имате поне 3 възела.

                                                                                                                                                   

                                                                                                                                                  По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност .

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.

                                                                                                                                                  • Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA .

                                                                                                                                                  2

                                                                                                                                                  Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните .

                                                                                                                                                  3

                                                                                                                                                  На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS .

                                                                                                                                                  4

                                                                                                                                                  Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел.

                                                                                                                                                  5

                                                                                                                                                  Регистрирайте възела.

                                                                                                                                                  1. Вhttps://admin.webex.com , изберете Услуги от менюто в лявата част на екрана.

                                                                                                                                                  2. В секцията Хибридни услуги намерете картата за защита на хибридни данни и щракнете Ресурси .

                                                                                                                                                    Появява се страницата Ресурси за защита на хибридните данни.
                                                                                                                                                  3. Щракнете върху Добавяне на ресурс .

                                                                                                                                                  4. В първото поле изберете името на съществуващия си клъстер.

                                                                                                                                                  5. Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща .

                                                                                                                                                    Появява се съобщение, което показва, че можете да регистрирате своя възел в облака на Webex .
                                                                                                                                                  6. Щракнете върху Отидете на Node .

                                                                                                                                                    След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата организация за достъп до вашия възел.
                                                                                                                                                  7. Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете .

                                                                                                                                                    Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
                                                                                                                                                  8. Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub.

                                                                                                                                                  Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Изпълнете пробна версия и преминете към производство (следваща глава)
                                                                                                                                                  Изпълнете пробна версия и преминете към производство

                                                                                                                                                  Поток на задачата от пробна и производствена

                                                                                                                                                  След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.

                                                                                                                                                  1

                                                                                                                                                  Ако е приложимо, синхронизирайте HdsTrialGroup групов обект.

                                                                                                                                                  Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Активирайте пробна версия

                                                                                                                                                  Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана.

                                                                                                                                                  3

                                                                                                                                                  Тествайте внедряването на вашата хибридна защита на данните

                                                                                                                                                  Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните.

                                                                                                                                                  4

                                                                                                                                                  Наблюдавайте здравето на хибридната защита на данните

                                                                                                                                                  Проверете състоянието и настройвам известия по имейл за аларми.

                                                                                                                                                  5

                                                                                                                                                  Добавяне или премахване на потребители от вашия пробен период

                                                                                                                                                  6

                                                                                                                                                  Завършете пробната фаза с едно от следните действия:

                                                                                                                                                  Активирайте пробна версия

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Влезте вhttps://admin.webex.com и след това изберете Услуги .

                                                                                                                                                  2

                                                                                                                                                  Под Hybrid Data Security щракнете върху Настройки .

                                                                                                                                                  3

                                                                                                                                                  В секцията Състояние на услугата щракнете Започнете пробна версия .

                                                                                                                                                  Състоянието на услугата се променя на пробен режим.
                                                                                                                                                  4

                                                                                                                                                  Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране.

                                                                                                                                                  (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, HdsTrialGroup.)

                                                                                                                                                  Тествайте внедряването на вашата хибридна защита на данните

                                                                                                                                                  Използвайте тази процедура, за да тествате сценарии за криптиране на хибридна защита на данните.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • Настройте внедряването на хибридната защита на данните.

                                                                                                                                                  • Активирайте пробната версия и добавете няколко пробни потребители.

                                                                                                                                                  • Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.

                                                                                                                                                  1

                                                                                                                                                  Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.


                                                                                                                                                   

                                                                                                                                                  Ако деактивирате внедряването на хибридна защита на данните, съдържанието в пространствата, които пилотните потребители създават, вече няма да бъде достъпно, след като кешираните от клиента копия на ключовете за криптиране бъдат заменени.

                                                                                                                                                  2

                                                                                                                                                  Изпращайте съобщения до новото пространство.

                                                                                                                                                  3

                                                                                                                                                  Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните.

                                                                                                                                                  1. За да проверите дали потребител първо установява защитен канал към KMS, филтрирайте kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Трябва да намерите запис като следния (идентификаторите, съкратени за четливост):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. За да проверите за потребител, който иска съществуващ ключ от KMS, филтрирайте kms.data.method=retrieve и kms.data.type=KEY:

                                                                                                                                                    Трябва да намерите запис като:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. За да проверите за потребител, който иска създаване на нов KMS ключ, филтрирайте kms.data.method=create и kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Трябва да намерите запис като:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. За да проверите за потребител, който иска създаването на нов KMS Resource Object (KRO), когато се създаде пространство или друг защитен ресурс, филтрирайте върху kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Трябва да намерите запис като:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Наблюдавайте здравето на хибридната защита на данните

                                                                                                                                                  индикатор на състоянието в Control Hub ви показва дали всичко е наред с внедряването на хибридната защита на данните. За по-проактивни сигнали, записвам се за известия по имейл. Ще бъдете уведомени, когато има аларми, засягащи услугата, или надстройки на софтуера.
                                                                                                                                                  1

                                                                                                                                                  В Контролен център , изберете Услуги от менюто в лявата част на екрана.

                                                                                                                                                  2

                                                                                                                                                  В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки .

                                                                                                                                                  Появява се страницата Настройки за защита на хибридните данни.
                                                                                                                                                  3

                                                                                                                                                  В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете .

                                                                                                                                                  Добавяне или премахване на потребители от вашия пробен период

                                                                                                                                                  След като активирате пробен период и сте добавили първоначалния набор от потребители на пробния период, можете да добавяте или премахвате членове на пробния период по всяко време, докато пробният период е активен.

                                                                                                                                                  Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.

                                                                                                                                                  Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.

                                                                                                                                                  1

                                                                                                                                                  Влезте в Control Hub и след това изберете Услуги .

                                                                                                                                                  2

                                                                                                                                                  Под Hybrid Data Security щракнете върху Настройки .

                                                                                                                                                  3

                                                                                                                                                  В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период.

                                                                                                                                                  4

                                                                                                                                                  Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете .

                                                                                                                                                  Преминете от пробна версия към производствена

                                                                                                                                                  Когато сте доволни, че внедряването ви работи добре за пробните потребители, можете да преминете към производство. Когато преминете към производство, всички потребители в организацията ще използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Не можете да се върнете обратно към пробен режим от производство, освен ако не деактивирате услугата като част от възстановяване след срив. Повторното активиране на услугата изисква да настройвам нов пробен период.
                                                                                                                                                  1

                                                                                                                                                  Влезте в Control Hub и след това изберете Услуги .

                                                                                                                                                  2

                                                                                                                                                  Под Hybrid Data Security щракнете върху Настройки .

                                                                                                                                                  3

                                                                                                                                                  В секцията Състояние на услугата щракнете Преминете към Производство .

                                                                                                                                                  4

                                                                                                                                                  Потвърдете, че искате да преместите всичките си потребители в производствения режим.

                                                                                                                                                  Прекратете пробния си период, без да преминете към производство

                                                                                                                                                  Ако по време на пробния период решите да не продължите с внедряването на хибридната защита на данните, можете да деактивирате хибридната защита на данните, което приключва пробния период и премества пробните потребители обратно към услугите за сигурност на облачните данни. Потребителите на пробния период ще загубят достъп до данните, които са били криптирани по време на пробния период.
                                                                                                                                                  1

                                                                                                                                                  Влезте в Control Hub и след това изберете Услуги .

                                                                                                                                                  2

                                                                                                                                                  Под Hybrid Data Security щракнете върху Настройки .

                                                                                                                                                  3

                                                                                                                                                  В секцията Деактивиране щракнете Деактивирайте .

                                                                                                                                                  4

                                                                                                                                                  Потвърдете, че искате да деактивирате услугата и да прекратите пробния период.

                                                                                                                                                  Управлявайте внедряването на HDS

                                                                                                                                                  Управление на внедряването на HDS

                                                                                                                                                  Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.

                                                                                                                                                  Задайте график за надграждане на клъстер

                                                                                                                                                  Софтуерните надстройки за хибридна защита на данните се извършват автоматично на ниво клъстер, което гарантира, че всички възли винаги работят с една и съща версия на софтуер. Надстройките се извършват според графика за надграждане на клъстера. Когато надстройката на софтуера стане налична, имате възможност да надстроите ръчно клъстера преди планираното време за надстройка. Можете да зададете конкретен график за надграждане или да използвате графика по подразбиране от 3:00 часа AM всеки ден Съединени щати: Америка/Лос Анджелис. Можете също да изберете да отложите предстояща надстройка, ако е необходимо.

                                                                                                                                                  За да зададете графика за надстройка:

                                                                                                                                                  1

                                                                                                                                                  Влезте в Контролен център .

                                                                                                                                                  2

                                                                                                                                                  На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните .

                                                                                                                                                  3

                                                                                                                                                  На страницата Ресурси за защита на хибридни данни изберете клъстера.

                                                                                                                                                  4

                                                                                                                                                  В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера.

                                                                                                                                                  5

                                                                                                                                                  На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка.

                                                                                                                                                  Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете .

                                                                                                                                                  Променете конфигурацията на възела

                                                                                                                                                  Понякога може да се наложи да промените конфигурацията на вашия възел за хибридна защита на данните поради причина като:
                                                                                                                                                  • Промяна на сертификати x.509 поради изтичане или други причини.


                                                                                                                                                     

                                                                                                                                                    Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.

                                                                                                                                                  • Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.

                                                                                                                                                  • Създаване на нова конфигурация за подготовка на нов център за данни.

                                                                                                                                                  Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:

                                                                                                                                                  • Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.

                                                                                                                                                  • Твърдо нулиране —Старите пароли спират да работят незабавно.

                                                                                                                                                  Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.

                                                                                                                                                  Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.

                                                                                                                                                    Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:

                                                                                                                                                    Описание

                                                                                                                                                    Променлива

                                                                                                                                                    HTTP прокси без удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS прокси без удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP прокси с удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS прокси с удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.

                                                                                                                                                  1

                                                                                                                                                  Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.

                                                                                                                                                  1. В командния ред на вашата машина въведете подходящата команда за вашата среда:

                                                                                                                                                    В редовна среда:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    В FedRAMP среди:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Тази стъпка почиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

                                                                                                                                                  2. За да влизам в регистъра на изображенията на Docker, въведете следното:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. При подкана за парола въведете този хеш:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Изтеглете най-новото стабилно изображение за вашата среда:

                                                                                                                                                    В редовна среда:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    В FedRAMP среди:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Уверете се, че сте изтеглили най-новия инструмент за настройка за тази процедура. Версиите на инструмента, създадени преди 22 февруари 2018 г., нямат екрани за нулиране на паролата.

                                                                                                                                                  5. Когато изтеглянето завърши, въведете подходящата команда за вашата среда:

                                                                                                                                                    • В обикновени среди без прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • В обикновени среди с HTTP прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • В обикновени среди с HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • В FedRAMP среди без прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • В FedRAMP среди с HTTP прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • В FedRAMP среди с HTTPS прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“.

                                                                                                                                                  6. Използвайте браузър, за да се свържете с локалния хост, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Инструментът за настройка не поддържа свързване към localhost чрез http://localhost:8080 . Използвайтеhttp://127.0.0.1:8080 за да се свържете с локален хост.

                                                                                                                                                  7. Когато бъдете подканени, въведете вашите идентификационни данни за влизане в Control Hub и след това щракнете Приемам да продължи.

                                                                                                                                                  8. Импортирайте текущия конфигурационен ISO файл.

                                                                                                                                                  9. Следвайте подканите, за да завършите инструмента и да изтеглите актуализирания файл.

                                                                                                                                                    За да изключите инструмента за настройка, въведете CTRL+C.

                                                                                                                                                  10. Създайте резервно копие на актуализирания файл в друг център за данни.

                                                                                                                                                  2

                                                                                                                                                  Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли .

                                                                                                                                                  1. Инсталирайте HDS хост OVA.

                                                                                                                                                  2. Настройте HDS VM.

                                                                                                                                                  3. Монтирайте актуализирания конфигурационен файл.

                                                                                                                                                  4. Регистрирайте новия възел в Control Hub.

                                                                                                                                                  3

                                                                                                                                                  За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел:

                                                                                                                                                  1. Изключете виртуална машина.

                                                                                                                                                  2. В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките .

                                                                                                                                                  3. Щракнете върху CD/DVD Drive 1, изберете опцията за монтиране от ISO файл и прегледайте мястото, където сте изтеглили новия конфигурационен ISO файл.

                                                                                                                                                  4. Проверете Свържете при включване .

                                                                                                                                                  5. Запазете промените си и включете виртуална машина.

                                                                                                                                                  4

                                                                                                                                                  Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация.

                                                                                                                                                  Изключете Blocked External DNS Resolution Mode

                                                                                                                                                  Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.

                                                                                                                                                  Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Уверете се, че вашите вътрешни DNS сървъри могат да разрешават публични DNS имена и че вашите възли могат да комуникират с тях.
                                                                                                                                                  1

                                                                                                                                                  В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте .

                                                                                                                                                  2

                                                                                                                                                  Отидете на Общ преглед (страницата по подразбиране).

                                                                                                                                                  Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да .

                                                                                                                                                  3

                                                                                                                                                  Отидете до Доверен магазин и прокси страница.

                                                                                                                                                  4

                                                                                                                                                  Щракнете върху Проверете прокси връзката .

                                                                                                                                                  Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Повторете теста на прокси връзката на всеки възел във вашия клъстер за хибридна защита на данните.

                                                                                                                                                  Премахване на възел

                                                                                                                                                  Използвайте тази процедура, за да премахнете възел за защита на хибридни данни от облака на Webex . След като премахнете възела от клъстера, изтрийте виртуална машина, за да предотвратите по-нататъшен достъп до вашите данни за сигурност.
                                                                                                                                                  1

                                                                                                                                                  Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина.

                                                                                                                                                  2

                                                                                                                                                  Премахнете възела:

                                                                                                                                                  1. Влезте в Control Hub и след това изберете Услуги .

                                                                                                                                                  2. На картата за защита на хибридни данни щракнете Вижте всички за да се покаже страницата Ресурси за защита на хибридните данни.

                                                                                                                                                  3. Изберете своя клъстер, за да покажете неговия панел за преглед.

                                                                                                                                                  4. Щракнете върху Отворете списъка с възли .

                                                                                                                                                  5. В раздела Възли изберете възела, който искате да премахнете.

                                                                                                                                                  6. Щракнете върху Действия > Дерегистриране на възел .

                                                                                                                                                  3

                                                                                                                                                  В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .)

                                                                                                                                                  Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност.

                                                                                                                                                  Възстановяване при бедствия с помощта на Център за данни в режим на готовност

                                                                                                                                                  Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.

                                                                                                                                                  Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:

                                                                                                                                                  Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.

                                                                                                                                                  1

                                                                                                                                                  Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .

                                                                                                                                                  2

                                                                                                                                                  След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки

                                                                                                                                                  3

                                                                                                                                                  На Разширени настройки страница, добавете конфигурацията по-долу или премахнете passiveMode конфигурация, за да направи възела активен. Възелът може да обработва трафик, след като това е конфигурирано.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране.

                                                                                                                                                  5

                                                                                                                                                  Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията.

                                                                                                                                                  6

                                                                                                                                                  В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. .

                                                                                                                                                  7

                                                                                                                                                  Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Уверете се Свързани и Свържете при включване са проверени, така че актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.

                                                                                                                                                  8

                                                                                                                                                  Включете HDS възела и се уверете, че няма аларми за поне 15 минути.

                                                                                                                                                  9

                                                                                                                                                  Повторете процеса за всеки възел в център за данни в режим на готовност.


                                                                                                                                                   

                                                                                                                                                  Проверете изхода на системния журнал, за да се уверите, че възлите на център за данни в режим на готовност не са в пасивен режим. „KMS, конфигуриран в пасивен режим“ не трябва да се появява в системните дневници.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  След отказ, ако основният център за данни стане отново активен, поставете център за данни в режим на готовност отново в пасивен режим, като следвате стъпките, описани в Настройте център за данни в режим на готовност за възстановяване при бедствия .

                                                                                                                                                  (По избор) Демонтирайте ISO след HDS конфигурация

                                                                                                                                                  Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.

                                                                                                                                                  Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.

                                                                                                                                                  1

                                                                                                                                                  Изключете един от вашите HDS възли.

                                                                                                                                                  2

                                                                                                                                                  Във vCenter Server Appliance изберете HDS възела.

                                                                                                                                                  3

                                                                                                                                                  Изберете Редактиране на настройките > CD/ DVD устройство и премахнете отметката ISO файл на хранилище за данни .

                                                                                                                                                  4

                                                                                                                                                  Включете HDS възела и се уверете, че няма аларми за поне 20 минути.

                                                                                                                                                  5

                                                                                                                                                  Повторете последователно за всеки HDS възел.

                                                                                                                                                  Отстраняване на проблеми със сигурността на хибридните данни

                                                                                                                                                  Преглед на сигнали и отстраняване на неизправности

                                                                                                                                                  Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:

                                                                                                                                                  • Не могат да се създават нови пространства (не може да се създадат нови ключове)

                                                                                                                                                  • Съобщенията и заглавията на пространството не могат да се дешифрират за:

                                                                                                                                                    • Нови потребители, добавени към пространство (не могат да извлекат ключове)

                                                                                                                                                    • Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)

                                                                                                                                                  • Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране

                                                                                                                                                  Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.

                                                                                                                                                  Предупреждения

                                                                                                                                                  Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.

                                                                                                                                                  Таблица 1. Често срещани проблеми и стъпки за разрешаването им

                                                                                                                                                  Предупреждение

                                                                                                                                                  Действие

                                                                                                                                                  Грешка при достъп до локална база данни.

                                                                                                                                                  Проверете за грешки в базата данни или проблеми с локалната мрежа.

                                                                                                                                                  неуспешна връзка с локална база данни.

                                                                                                                                                  Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел.

                                                                                                                                                  Грешка при достъп до облачна услуга.

                                                                                                                                                  Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност .

                                                                                                                                                  Подновяване на регистрацията на облачна услуга.

                                                                                                                                                  Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход.

                                                                                                                                                  Регистрацията на облачна услуга отпадна.

                                                                                                                                                  Регистрацията в облачни услуги е прекратена. Услугата се изключва.

                                                                                                                                                  Услугата все още не е активирана.

                                                                                                                                                  Активирайте пробна версия или завършете преместването на пробната версия в производствен.

                                                                                                                                                  Конфигурираният домейн не съответства на сертификат на сървъра.

                                                                                                                                                  Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата.

                                                                                                                                                  Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка.

                                                                                                                                                  Удостоверяването на облачни услуги не бе успешно.

                                                                                                                                                  Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга .

                                                                                                                                                  Неуспешно отваряне на файл с локално хранилище за ключове.

                                                                                                                                                  Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове.

                                                                                                                                                  сертификат на сървъра е невалиден.

                                                                                                                                                  Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати.

                                                                                                                                                  Не може да се публикуват показатели.

                                                                                                                                                  Проверете достъпа на локалната мрежа до външни облачни услуги.

                                                                                                                                                  /media/configdrive/hds директорията не съществува.

                                                                                                                                                  Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно.

                                                                                                                                                  Отстраняване на проблеми със сигурността на хибридните данни

                                                                                                                                                  Използвайте следните общи указания, когато отстранявате проблеми с Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там.

                                                                                                                                                  2

                                                                                                                                                  Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните.

                                                                                                                                                  3

                                                                                                                                                  Контакт Поддръжка на Cisco .

                                                                                                                                                  Други бележки

                                                                                                                                                  Известни проблеми за сигурността на хибридните данни

                                                                                                                                                  • Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.

                                                                                                                                                  • Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.

                                                                                                                                                    Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).

                                                                                                                                                  Използвайте OpenSSL, за да генерирате PKCS12 файл

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.

                                                                                                                                                  • Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.

                                                                                                                                                  • Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.

                                                                                                                                                  • Създайте частен ключ.

                                                                                                                                                  • Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).

                                                                                                                                                  1

                                                                                                                                                  Когато получите сертификат на сървъра от вашия CA, запазете го като hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Покажете сертификата като текст и проверете подробностите.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен hdsnode-bundle.pem. Пакетният файл трябва да включва сертификат на сървъра, всички междинни CA сертификати и сертификатите за основния CA във формат по-долу:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Създайте .p12 файла с приятелското име kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Проверете подробностите за сертификат на сървъра .

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Въведете парола при подкана, за да шифровате частния ключ, така че да бъде посочен в изхода. След това проверете дали частният ключ и първият сертификат включват редовете friendlyName: kms-private-key.

                                                                                                                                                    Пример:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .


                                                                                                                                                   

                                                                                                                                                  Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече.

                                                                                                                                                  Трафик между HDS възлите и облака

                                                                                                                                                  Изходящ трафик за събиране на показатели

                                                                                                                                                  Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.

                                                                                                                                                  Входящ трафик

                                                                                                                                                  Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :

                                                                                                                                                  • Заявки за криптиране от клиенти, които се насочват от услугата за криптиране

                                                                                                                                                  • Надстройки на софтуера на възела

                                                                                                                                                  Конфигурирайте Squid прокси сървъри за хибридна защита на данните

                                                                                                                                                  Websocket не може да се свърже чрез Squid прокси

                                                                                                                                                  Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss:) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.

                                                                                                                                                  Калмари 4 и 5

                                                                                                                                                  Добавете on_unsupported_protocol директива за squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Калмари 3.5.27

                                                                                                                                                  Успешно тествахме хибридната защита на данните с добавени следните правила squid.conf. Тези правила подлежат на промяна, докато разработваме функции и актуализираме облака на Webex .

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Предговор

                                                                                                                                                  Нова и променена информация

                                                                                                                                                  Дата

                                                                                                                                                  Направени промени

                                                                                                                                                  20 октомври 2023 г

                                                                                                                                                  07 август 2023 г

                                                                                                                                                  23 май 2023 г

                                                                                                                                                  06 декември 2022 г

                                                                                                                                                  23 ноември 2022 г

                                                                                                                                                  13 октомври 2021 г

                                                                                                                                                  Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker .

                                                                                                                                                  24 юни 2021 г

                                                                                                                                                  Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности.

                                                                                                                                                  30 април 2021 г.

                                                                                                                                                  Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности.

                                                                                                                                                  24 февруари 2021 г

                                                                                                                                                  HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности.

                                                                                                                                                  2 февруари 2021 г

                                                                                                                                                  HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.

                                                                                                                                                  11 януари 2021 г

                                                                                                                                                  Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете .

                                                                                                                                                  13 октомври 2020 г

                                                                                                                                                  Актуализиран Изтеглете инсталационни файлове .

                                                                                                                                                  08 октомври 2020 г.

                                                                                                                                                  Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди.

                                                                                                                                                  14 август 2020 г

                                                                                                                                                  Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане.

                                                                                                                                                  5 август 2020 г

                                                                                                                                                  Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения.

                                                                                                                                                  Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове.

                                                                                                                                                  16 юни 2020 г

                                                                                                                                                  Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub.

                                                                                                                                                  4 юни 2020 г

                                                                                                                                                  Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете.

                                                                                                                                                  29 май 2020 г

                                                                                                                                                  Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения.

                                                                                                                                                  5 май 2020 г

                                                                                                                                                  Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5.

                                                                                                                                                  21 април 2020 г

                                                                                                                                                  Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI.

                                                                                                                                                  1 април 2020 г.

                                                                                                                                                  Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове.

                                                                                                                                                  20 февруари 2020 гАктуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS.
                                                                                                                                                  4 февруари 2020 гАктуализиран Изисквания за прокси сървър .
                                                                                                                                                  16 декември 2019 г.Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър .
                                                                                                                                                  19 ноември 2019 г

                                                                                                                                                  Добавена информация за Blocked External DNS Resolution Mode в следните раздели:

                                                                                                                                                  8 ноември 2019 г

                                                                                                                                                  Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това.

                                                                                                                                                  Актуализирани съответно следните раздели:


                                                                                                                                                   

                                                                                                                                                  Опцията за конфигуриране на мрежови настройки по време на внедряване на OVA е тествана с ESXi 6.5. Възможно е опцията да не е налична в по-ранните версии.

                                                                                                                                                  6 септември 2019 г

                                                                                                                                                  Добавен SQL Server Standard към Изисквания за сървър на база данни .

                                                                                                                                                  Август 29, 2019Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа.
                                                                                                                                                  20 август 2019 г

                                                                                                                                                  Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex .

                                                                                                                                                  За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия.

                                                                                                                                                  13 юни 2019 гАктуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории.
                                                                                                                                                  6 март 2019 г
                                                                                                                                                  Февруари 28, 2019
                                                                                                                                                  • Коригирано е количеството локално пространство на твърдия диск на сървър, което трябва да заделите, когато подготвяте виртуалните хостове, които стават възли за хибридна защита на данните, от 50-GB на 20-GB, за да отразите размера на диска, който OVA създава.

                                                                                                                                                  26 февруари 2019 г.
                                                                                                                                                  • Възлите за хибридна защита на данните вече поддържат криптирани връзки със сървъри на база данни PostgreSQL и криптирани връзки за регистриране към TLS-способен syslog сървър. Актуализиран Създайте ISO конфигурация за HDS хостовете с инструкции.

                                                                                                                                                  • Премахнати целеви URL адреси от таблицата „Изисквания за интернет свързаност за хибридни виртуални машини за защита на данни“. Таблицата вече се отнася до списъка, поддържан в таблицата „Допълнителни URL адреси за хибридни услуги на Webex Teams“ на Мрежови изисквания за услугите на Webex Teams .

                                                                                                                                                  24 януари 2019 г

                                                                                                                                                  • Hybrid Data Security вече поддържа Microsoft SQL Server като база данни. SQL Server Always On (Always On Failover Clusters и Always on Availability Groups) се поддържа от JDBC драйверите, които се използват в Hybrid Data Security. Добавено съдържание, свързано с внедряването със SQL Server.


                                                                                                                                                     

                                                                                                                                                    Поддръжката на Microsoft SQL Server е предназначена само за нови разполагания на хибридната защита на данните. Понастоящем не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server в съществуващо разполагане.

                                                                                                                                                  5 ноември 2018 г
                                                                                                                                                  19 октомври 2018 г

                                                                                                                                                  31 юли 2018 г

                                                                                                                                                  21 май 2018 г.

                                                                                                                                                  Променена терминология, за да отрази ребрандирането на Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security вече е Hybrid Data Security.

                                                                                                                                                  • Приложението Cisco Spark вече е приложението Webex App.

                                                                                                                                                  • Облакът на Cisco Collaboraton вече е облакът на Webex .

                                                                                                                                                  11 април 2018 г
                                                                                                                                                  22 февруари 2018 г
                                                                                                                                                  15 февруари 2018
                                                                                                                                                  • В X.509 Изисквания за сертификат таблица, посочи, че сертификатът не може да бъде сертификат с заместващ знак и че KMS използва домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN.

                                                                                                                                                  18 януари 2018

                                                                                                                                                  2 ноември 2017 г

                                                                                                                                                  • Изяснена синхронизация на директории на HdsTrialGroup.

                                                                                                                                                  • Фиксирани инструкции за качване на ISO конфигурационен файл за монтиране към VM възлите.

                                                                                                                                                  18 август 2017 г

                                                                                                                                                  Публикувано за първи път

                                                                                                                                                  Започнете с хибридна защита на данните

                                                                                                                                                  Преглед на сигурността на хибридните данни

                                                                                                                                                  От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.

                                                                                                                                                  По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.

                                                                                                                                                  Архитектура на сферата на сигурността

                                                                                                                                                  Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.

                                                                                                                                                  Царства на разделяне (без хибридна защита на данните)

                                                                                                                                                  За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.

                                                                                                                                                  В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:

                                                                                                                                                  1. Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.

                                                                                                                                                  2. Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.

                                                                                                                                                  3. Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.

                                                                                                                                                  4. Шифрованото съобщение се съхранява в областта на съхранение.

                                                                                                                                                  Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.

                                                                                                                                                  Сътрудничество с други организации

                                                                                                                                                  Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.

                                                                                                                                                  Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.

                                                                                                                                                  Очаквания за внедряване на хибридна защита на данните

                                                                                                                                                  Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.

                                                                                                                                                  За да внедрите хибридна защита на данните, трябва да предоставите:

                                                                                                                                                  Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:

                                                                                                                                                  • Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.

                                                                                                                                                  • Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.


                                                                                                                                                   

                                                                                                                                                  Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS.

                                                                                                                                                  Процес на настройка на високо ниво

                                                                                                                                                  Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:

                                                                                                                                                  • Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.

                                                                                                                                                    Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.

                                                                                                                                                  • Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.

                                                                                                                                                  • Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.

                                                                                                                                                  Модел за внедряване на хибридна защита на данните

                                                                                                                                                  В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.

                                                                                                                                                  По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)

                                                                                                                                                  Модел за внедряване на хибридна защита на данните

                                                                                                                                                  Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)

                                                                                                                                                  Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.

                                                                                                                                                  Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.

                                                                                                                                                  Ние поддържаме само един клъстер на организация.

                                                                                                                                                  Пробен режим за хибридна защита на данните

                                                                                                                                                  След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.

                                                                                                                                                  Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .

                                                                                                                                                  Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.

                                                                                                                                                  Център за данни в режим на готовност за възстановяване при бедствия

                                                                                                                                                  По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ръчно преминаване при отказ към Център за данни в режим на готовност

                                                                                                                                                  Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.


                                                                                                                                                   

                                                                                                                                                  Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни.

                                                                                                                                                  Настройте център за данни в режим на готовност за възстановяване при бедствия

                                                                                                                                                  Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)

                                                                                                                                                  • Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.

                                                                                                                                                  1

                                                                                                                                                  Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .


                                                                                                                                                   

                                                                                                                                                  ISO файлът трябва да бъде копие на оригиналния ISO файл на основния център за данни, върху който трябва да се направят следните актуализации на конфигурацията.

                                                                                                                                                  2

                                                                                                                                                  След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки

                                                                                                                                                  3

                                                                                                                                                  На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране.

                                                                                                                                                  5

                                                                                                                                                  Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията.

                                                                                                                                                  6

                                                                                                                                                  В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. .

                                                                                                                                                  7

                                                                                                                                                  Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Уверете се Свързани и Свържете при включване са проверени, така че актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.

                                                                                                                                                  8

                                                                                                                                                  Включете HDS възела и се уверете, че няма аларми за поне 15 минути.

                                                                                                                                                  9

                                                                                                                                                  Повторете процеса за всеки възел в център за данни в режим на готовност.


                                                                                                                                                   

                                                                                                                                                  Проверете системните журнали, за да проверите дали възлите са в пасивен режим. Трябва да можете да видите съобщението „KMS конфигуриран в пасивен режим“ в системните дневници.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.

                                                                                                                                                  Прокси поддръжка

                                                                                                                                                  Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.

                                                                                                                                                  Възлите за защита на хибридните данни поддържат следните прокси опции:

                                                                                                                                                  • Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.

                                                                                                                                                  • Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.

                                                                                                                                                  • Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).

                                                                                                                                                  • Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:

                                                                                                                                                    1. Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.

                                                                                                                                                    2. Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.

                                                                                                                                                    3. Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:

                                                                                                                                                      • HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.

                                                                                                                                                      • HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.

                                                                                                                                                    4. Тип на удостоверяването — Изберете измежду следните типове удостоверяване:

                                                                                                                                                      • Няма — не се изисква допълнително удостоверяване.

                                                                                                                                                        Достъпно, ако изберете HTTP или HTTPS като прокси протокол.

                                                                                                                                                      • Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.

                                                                                                                                                        Достъпно, ако изберете HTTP или HTTPS като прокси протокол.

                                                                                                                                                        Изисква да въведете потребителско име и парола на всеки възел.

                                                                                                                                                      • Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.

                                                                                                                                                        Достъпно само ако изберете HTTPS като прокси протокол.

                                                                                                                                                        Изисква да въведете потребителско име и парола на всеки възел.

                                                                                                                                                  Пример за хибридни възли за защита на данни и прокси

                                                                                                                                                  Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.

                                                                                                                                                  Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)

                                                                                                                                                  Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.

                                                                                                                                                  Подгответе вашата среда

                                                                                                                                                  Изисквания за хибридна сигурност на данните

                                                                                                                                                  Изисквания за лиценз на Cisco Webex

                                                                                                                                                  За да внедрите хибридна защита на данните:

                                                                                                                                                  Изисквания за работния плот на Docker

                                                                                                                                                  Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".

                                                                                                                                                  X.509 Изисквания за сертификат

                                                                                                                                                  верига за сертификати трябва да отговаря на следните изисквания:

                                                                                                                                                  Таблица 1. Изисквания за сертификат X.509 за внедряване на хибридна защита на данни

                                                                                                                                                  Изискване

                                                                                                                                                  Подробности

                                                                                                                                                  • Подписано от доверен орган за сертификати (CA)

                                                                                                                                                  По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Носи име на име на домейн с общо име (CN), което идентифицира вашето внедряване на хибридна защита на данните

                                                                                                                                                  • Не е заместващ сертификат

                                                                                                                                                  CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. hds.company.com.

                                                                                                                                                  CN не трябва да съдържа * (уместен знак).

                                                                                                                                                  CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN.

                                                                                                                                                  След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване.

                                                                                                                                                  • Не-SHA1 подпис

                                                                                                                                                  Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки с KMS на други организации.

                                                                                                                                                  • Форматиран като защитен с парола файл PKCS #12

                                                                                                                                                  • Използвайте приятелското име на kms-private-key за да маркирате сертификата, частния ключ и всички междинни сертификати за качване.

                                                                                                                                                  Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат.

                                                                                                                                                  Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS.

                                                                                                                                                  Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.

                                                                                                                                                  Изисквания за виртуален хост

                                                                                                                                                  Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:

                                                                                                                                                  • Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни

                                                                                                                                                  • VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.


                                                                                                                                                     

                                                                                                                                                    Трябва да надстроите, ако имате по-ранна версия на ESXi.

                                                                                                                                                  • Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър

                                                                                                                                                  Изисквания за сървър на база данни


                                                                                                                                                   

                                                                                                                                                  Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни.

                                                                                                                                                  Има две опции за сървър на база с данни. Изискванията за всеки са както следва:

                                                                                                                                                  Таблица 2. Изисквания към сървъра за бази данни по тип база данни

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 или 16, инсталиран и работещ.

                                                                                                                                                  • Инсталиран SQL Server 2016, 2017 или 2019 (Enterprise или Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 изисква Service Pack 2 и Кумулативна актуализация 2 или по-нова версия.

                                                                                                                                                  Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта)

                                                                                                                                                  Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта)

                                                                                                                                                  Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC драйвер 42.2.5

                                                                                                                                                  SQL Server JDBC драйвер 4.6

                                                                                                                                                  Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ).

                                                                                                                                                  Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server

                                                                                                                                                  Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:

                                                                                                                                                  • HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.

                                                                                                                                                  • Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.

                                                                                                                                                  • DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).

                                                                                                                                                  • Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .

                                                                                                                                                    Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.

                                                                                                                                                  Изисквания за външна свързаност

                                                                                                                                                  Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:

                                                                                                                                                  Приложение

                                                                                                                                                  Протокол

                                                                                                                                                  Порт

                                                                                                                                                  Упътване от ап

                                                                                                                                                  Дестинация

                                                                                                                                                  Възли за хибридна защита на данните

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Изходящ HTTPS и WSS

                                                                                                                                                  • Webex сървъри:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Всички хостове за обща идентичност

                                                                                                                                                  • Други URL адреси, които са изброени за хибридна защита на данните в Допълнителни URL адреси за хибридни услуги на Webex таблица на Мрежови изисквания за услугите на Webex

                                                                                                                                                  Инструмент за настройка на HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Изходящ HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Всички хостове за обща идентичност

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели.

                                                                                                                                                  URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:

                                                                                                                                                  Регион

                                                                                                                                                  Общи URL адреси на хост за самоличност

                                                                                                                                                  Северна и Южна Америка

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Европейски съюз

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Канада

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Изисквания за прокси сървър

                                                                                                                                                  • Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.

                                                                                                                                                  • Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:

                                                                                                                                                    • Няма удостоверяване с HTTP или HTTPS

                                                                                                                                                    • Основно удостоверяване с HTTP или HTTPS

                                                                                                                                                    • Дайджест удостоверяване само с HTTPS

                                                                                                                                                  • За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.

                                                                                                                                                  • Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.

                                                                                                                                                  • Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към wbx2.com и ciscospark.com ще реши проблема.

                                                                                                                                                  Изпълнете предпоставките за хибридна защита на данните

                                                                                                                                                  Използвайте този контролен списък, за да се уверите, че сте готови да инсталирате и конфигурирате своя клъстер за хибридна защита на данните.
                                                                                                                                                  1

                                                                                                                                                  Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес.

                                                                                                                                                  2

                                                                                                                                                  Изберете име на домейн за внедряването на HDS (например hds.company.com) и да получите верига за сертификати, съдържаща сертификат X.509, частен ключ и всякакви междинни сертификати. верига за сертификати трябва да отговаря на изискванията в X.509 Изисквания за сертификат .

                                                                                                                                                  3

                                                                                                                                                  Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост .

                                                                                                                                                  4

                                                                                                                                                  Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове.

                                                                                                                                                  1. Създайте база данни за съхранение на ключове. (Трябва да създадете тази база данни - не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни.)

                                                                                                                                                  2. Съберете подробностите, които възлите ще използват за комуникация със сървъра на сървър на база с данни:

                                                                                                                                                    • име на домакина или IP адрес (хост) и порта

                                                                                                                                                    • името на базата данни (dbname) за съхранение на ключове

                                                                                                                                                    • потребителското име и паролата на потребител с всички привилегии в базата данни за съхранение на ключове

                                                                                                                                                  5

                                                                                                                                                  За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.


                                                                                                                                                   

                                                                                                                                                  Тъй като възлите за защита на хибридните данни съхраняват ключовете, използвани за криптиране и декриптиране на съдържание, неспособността да се поддържа оперативно внедряване ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА от това съдържание.

                                                                                                                                                  Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда.

                                                                                                                                                  8

                                                                                                                                                  Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност .

                                                                                                                                                  9

                                                                                                                                                  Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080.

                                                                                                                                                  Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация.

                                                                                                                                                  За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност .

                                                                                                                                                  10

                                                                                                                                                  Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър .

                                                                                                                                                  11

                                                                                                                                                  Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена HdsTrialGroup и добавете пилотни потребители. Пробната група може да има до 250 потребители. На HdsTrialGroup обектът трябва да бъде синхронизиран с облака, преди да можете да започнете пробна версия за вашата организация. За да синхронизирате групов обект, изберете го в конектора на директория Конфигурация > Избор на обект меню. (За подробни инструкции вижте Ръководство за разгръщане на Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Ключовете за дадено пространство се задават от създателя на пространството. Когато избирате пилотни потребители, имайте предвид, че ако решите да деактивирате за постоянно внедряването на Hybrid Data Security, всички потребители губят достъп до съдържание в пространствата, създадени от пилотните потребители. Загубата става очевидна веднага щом приложенията на потребителите обновят своите кеширани копия на съдържанието.

                                                                                                                                                  Създайте хибриден клъстер за сигурност на данните

                                                                                                                                                  Поток на задачи за внедряване на хибридна защита на данните

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Подгответе вашата среда

                                                                                                                                                  1

                                                                                                                                                  Изтеглете инсталационни файлове

                                                                                                                                                  Изтеглете OVA файла на вашата локална машина за по-късна употреба.

                                                                                                                                                  2

                                                                                                                                                  Създайте ISO конфигурация за HDS хостовете

                                                                                                                                                  Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните.

                                                                                                                                                  3

                                                                                                                                                  Инсталирайте HDS Host OVA

                                                                                                                                                  Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.


                                                                                                                                                   

                                                                                                                                                  Опцията за конфигуриране на мрежови настройки по време на внедряване на OVA е тествана с ESXi 6.5. Възможно е опцията да не е налична в по-ранните версии.

                                                                                                                                                  4

                                                                                                                                                  Настройте хибридната VM машина за защита на данните

                                                                                                                                                  Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.

                                                                                                                                                  5

                                                                                                                                                  Качете и монтирайте ISO конфигурацията на HDS

                                                                                                                                                  Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS.

                                                                                                                                                  6

                                                                                                                                                  Конфигурирайте HDS възел за прокси интеграция

                                                                                                                                                  Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо.

                                                                                                                                                  7

                                                                                                                                                  Регистрирайте първия възел в клъстера

                                                                                                                                                  Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните.

                                                                                                                                                  8

                                                                                                                                                  Създайте и регистрирайте още възли

                                                                                                                                                  Завършете настройката на клъстера.

                                                                                                                                                  9

                                                                                                                                                  Изпълнете пробна версия и преминете към производство (следваща глава)

                                                                                                                                                  Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.

                                                                                                                                                  Изтеглете инсталационни файлове

                                                                                                                                                  В тази задача изтегляте OVA файл на вашата машина (не на сървърите, които сте настройвам като възли за хибридна защита на данните). Използвате този файл по-късно в процеса на инсталиране.
                                                                                                                                                  1

                                                                                                                                                  Влезте вhttps://admin.webex.com и след това щракнете Услуги .

                                                                                                                                                  2

                                                                                                                                                  В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте .

                                                                                                                                                  Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.


                                                                                                                                                   

                                                                                                                                                  Можете също да изтеглите OVA по всяко време от Помощ раздел за Настройки страница. На картата за защита на хибридни данни щракнете Редактиране на настройките за да отворите страницата. След това щракнете Изтеглете софтуера за хибридна защита на данните в Помощ раздел.


                                                                                                                                                   

                                                                                                                                                  По-старите версии на софтуерния пакет (OVA) няма да са съвместими с най-новите надстройки за хибридна защита на данните. Това може да доведе до проблеми при надграждане на приложението. Уверете се, че сте изтеглили най-новата версия на файла OVA.

                                                                                                                                                  3

                                                                                                                                                  Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща .

                                                                                                                                                  OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
                                                                                                                                                  4

                                                                                                                                                  По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство.

                                                                                                                                                  Създайте ISO конфигурация за HDS хостовете

                                                                                                                                                  Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.

                                                                                                                                                    Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:

                                                                                                                                                    Описание

                                                                                                                                                    Променлива

                                                                                                                                                    HTTP прокси без удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS прокси без удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP прокси с удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS прокси с удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Конфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:

                                                                                                                                                    • Данни за база данни

                                                                                                                                                    • Актуализации на сертификата

                                                                                                                                                    • Промени в политиката за оторизация

                                                                                                                                                  • Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.

                                                                                                                                                  1

                                                                                                                                                  В командния ред на вашата машина въведете подходящата команда за вашата среда:

                                                                                                                                                  В редовна среда:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  В FedRAMP среди:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Тази стъпка почиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

                                                                                                                                                  2

                                                                                                                                                  За да влизам в регистъра на изображенията на Docker, въведете следното:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  При подкана за парола въведете този хеш:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Изтеглете най-новото стабилно изображение за вашата среда:

                                                                                                                                                  В редовна среда:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  В FedRAMP среди:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Когато изтеглянето завърши, въведете подходящата команда за вашата среда:

                                                                                                                                                  • В обикновени среди без прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • В обикновени среди с HTTP прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • В обикновени среди с HTTPS прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • В FedRAMP среди без прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • В FedRAMP среди с HTTP прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • В FedRAMP среди с HTTPS прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Инструментът за настройка не поддържа свързване към localhost чрез http://localhost:8080 . Използвайтеhttp://127.0.0.1:8080 за да се свържете с локален хост.

                                                                                                                                                  Използвайте уеб браузър, за да отидете на локалния хост, http://127.0.0.1:8080 и въведете потребителско име на администратор на клиента за Control Hub при подкана.

                                                                                                                                                  Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход.

                                                                                                                                                  7

                                                                                                                                                  Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните.

                                                                                                                                                  8

                                                                                                                                                  На страницата за преглед на инструмента за настройка щракнете Започнете .

                                                                                                                                                  9

                                                                                                                                                  На ISO импортиране страница, имате следните опции:

                                                                                                                                                  • не —Ако създавате първия си HDS възел, нямате ISO файл за качване.
                                                                                                                                                  • да —Ако вече сте създали HDS възли, тогава избирате своя ISO файл в прегледа и го качвате.
                                                                                                                                                  10

                                                                                                                                                  Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .

                                                                                                                                                  • Ако никога досега не сте качвали сертификат, качете сертификата X.509, въведете паролата и щракнете Продължете .
                                                                                                                                                  • Ако сертификатът ви е ОК, щракнете Продължете .
                                                                                                                                                  • Ако вашият сертификат е изтекъл или искате да го замените, изберете не за Да продължите ли да използвате верига за сертификати и частен ключ от предишен ISO? . Качете нов сертификат X.509, въведете паролата и щракнете Продължете .
                                                                                                                                                  11

                                                                                                                                                  Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни:

                                                                                                                                                  1. Изберете своя Тип база данни ( PostgreSQL или Microsoft SQL Server ).

                                                                                                                                                    Ако изберете Microsoft SQL Server , получавате поле Тип на удостоверяването .

                                                                                                                                                  2. ( Microsoft SQL Server само) Изберете своя Тип на удостоверяването :

                                                                                                                                                    • Основно удостоверяване : Имате нужда от име на профила в SQL Server в Потребителско име поле.

                                                                                                                                                    • Удостоверяване на Windows : Нуждаете се от акаунт в Windows във формата username@DOMAIN в Потребителско име поле.

                                                                                                                                                  3. Въведете адреса на сървър на база с данни във формуляра <hostname>:<port> или <IP-address>:<port>.

                                                                                                                                                    Пример:
                                                                                                                                                    dbhost.example.org:1433 или 198.51.100.17:1433

                                                                                                                                                    Можете да използвате IP адрес за основно удостоверяване, ако възлите не могат да използват DNS за разрешаване на името на хоста.

                                                                                                                                                    Ако използвате удостоверяване на Windows, трябва да въведете напълно квалифицирано име на домейн във формата dbhost.example.org:1433

                                                                                                                                                  4. Въведете Име на базата данни .

                                                                                                                                                  5. Въведете Потребителско име и парола на потребител с всички привилегии в базата данни за съхранение на ключове.

                                                                                                                                                  12

                                                                                                                                                  Изберете a TLS режим на връзка с база данни :

                                                                                                                                                  Режим

                                                                                                                                                  Описание

                                                                                                                                                  Предпочитайте TLS (опция по подразбиране)

                                                                                                                                                  HDS възлите не изискват TLS за свързване към сървъра на сървър на база с данни. Ако активирате TLS на сървъра на сървър на база с данни, възлите се опитват да установят криптирана връзка.

                                                                                                                                                  Изисквайте TLS

                                                                                                                                                  HDS възлите се свързват само ако сървърът на сървър на база с данни може да договаря TLS.

                                                                                                                                                  Изисквайте TLS и потвърдете подписващия сертификат


                                                                                                                                                   

                                                                                                                                                  Този режим не е приложим за бази данни на SQL Server.

                                                                                                                                                  • HDS възлите се свързват само ако сървърът на сървър на база с данни може да договаря TLS.

                                                                                                                                                  • След установяване на TLS връзка, възелът сравнява подписващия сертификат от сървър на база с данни с сертифициращия орган в главен сертификат на базата данни . Ако не съвпадат, възелът прекратява връзката.

                                                                                                                                                  Използвайте главен сертификат на базата данни контрол под падащото меню, за да качите главен сертификат за тази опция.

                                                                                                                                                  Изисквайте TLS и проверете подписващия сертификат и името на хоста

                                                                                                                                                  • HDS възлите се свързват само ако сървърът на сървър на база с данни може да договаря TLS.

                                                                                                                                                  • След установяване на TLS връзка, възелът сравнява подписващия сертификат от сървър на база с данни с сертифициращия орган в главен сертификат на базата данни . Ако не съвпадат, възелът прекратява връзката.

                                                                                                                                                  • Възлите също така проверяват дали името на хоста в сертификат на сървъра съвпада с името на хоста в Хост на базата данни и порт поле. Имената трябва да съвпадат точно, или възелът прекъсва връзката.

                                                                                                                                                  Използвайте главен сертификат на базата данни контрол под падащото меню, за да качите главен сертификат за тази опция.

                                                                                                                                                  Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.)

                                                                                                                                                  13

                                                                                                                                                  На страницата System Logs конфигурирайте вашия Syslogd сървър:

                                                                                                                                                  1. Въведете URL на syslog сървъра.

                                                                                                                                                    Ако сървърът не е DNS-разрешим от възлите за вашия HDS клъстер, използвайте IP адрес в URL.

                                                                                                                                                    Пример:
                                                                                                                                                    udp://10.92.43.23:514 показва регистриране към хост Syslogd 10.92.43.23 на UDP порт 514.
                                                                                                                                                  2. Ако сте настройвам вашия сървър да използва TLS криптиране, проверете Вашият syslog сървър конфигуриран ли е за SSL криптиране? .

                                                                                                                                                    Ако поставите отметка в това поле за отметка, уверете се, че сте въвели TCP URL , като напр tcp://10.92.43.23:514.

                                                                                                                                                  3. От Изберете прекратяване на запис на syslog падащо меню изберете подходящата настройка за вашия ISO файл: Изберете или Newline се използва за Graylog и Rsyslog TCP

                                                                                                                                                    • Нулев байт -- \x00

                                                                                                                                                    • Нов ред -- \n —Изберете този избор за Graylog и Rsyslog TCP.

                                                                                                                                                  4. Щракнете върху Продължаване.

                                                                                                                                                  14

                                                                                                                                                  (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран.

                                                                                                                                                  Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове.

                                                                                                                                                  16

                                                                                                                                                  Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране.

                                                                                                                                                  17

                                                                                                                                                  Направете резервно копие на ISO файла във вашата локална система.

                                                                                                                                                  Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията.

                                                                                                                                                  18

                                                                                                                                                  За да изключите инструмента за настройка, въведете CTRL+C.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.


                                                                                                                                                   

                                                                                                                                                  Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите.

                                                                                                                                                  Инсталирайте HDS Host OVA

                                                                                                                                                  Използвайте тази процедура, за да създадете виртуална машина от OVA файла.
                                                                                                                                                  1

                                                                                                                                                  Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi.

                                                                                                                                                  2

                                                                                                                                                  Изберете Файл > Внедряване на OVF шаблон .

                                                                                                                                                  3

                                                                                                                                                  В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща .

                                                                                                                                                  4

                                                                                                                                                  На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща .

                                                                                                                                                  5

                                                                                                                                                  На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща .

                                                                                                                                                  Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона.

                                                                                                                                                  6

                                                                                                                                                  Проверете детайлите на шаблона и след това щракнете Следваща .

                                                                                                                                                  7

                                                                                                                                                  Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща .

                                                                                                                                                  8

                                                                                                                                                  На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM .

                                                                                                                                                  9

                                                                                                                                                  На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM.

                                                                                                                                                  10

                                                                                                                                                  На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:

                                                                                                                                                  • Име на хост — Въведете FQDN (име на хост и домейн) или име на хост от една дума за възела.

                                                                                                                                                     
                                                                                                                                                    • Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509.

                                                                                                                                                    • За да осигурите успешна регистрация в облака, използвайте само малки букви в FQDN или името на хост, които сте задали за възела. Понастоящем изписването с главни букви не се поддържа.

                                                                                                                                                    • Общата дължина на FQDN не трябва да надвишава 64 знака.

                                                                                                                                                  • IP адрес — Въведете IP адрес за вътрешния интерфейс на възела.

                                                                                                                                                     

                                                                                                                                                    Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.

                                                                                                                                                  • маска — Въведете адреса на маска на подмрежата в десетична нотация. например 255.255.255.0 .
                                                                                                                                                  • Портал — Въведете IP адрес на шлюза. Шлюзът е мрежов възел, който служи като точка на достъп до друга мрежа.
                                                                                                                                                  • DNS сървъри — Въведете разделен със запетая списък с DNS сървъри, които обработват преобразуването на имена на домейни в цифрови IP адреси. (Разрешени са до 4 DNS записа.)
                                                                                                                                                  • NTP сървъри — Въведете NTP сървър на вашата организация или друг външен NTP сървър , който може да се използва във вашата организация. NTP сървърите по подразбиране може да не работят за всички предприятия. Можете също да използвате разделен със запетая списък, за да въведете множество NTP сървъри.
                                                                                                                                                  • Разположете всички възли в една и съща подмрежа или VLAN, така че всички възли в клъстер да са достъпни от клиенти във вашата мрежа за административни цели.

                                                                                                                                                  Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.


                                                                                                                                                   

                                                                                                                                                  Опцията за конфигуриране на мрежови настройки по време на внедряване на OVA е тествана с ESXi 6.5. Възможно е опцията да не е налична в по-ранните версии.

                                                                                                                                                  11

                                                                                                                                                  Щракнете с десния бутон върху възела VM и след това изберете Мощност > Включване .

                                                                                                                                                  Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела.

                                                                                                                                                  Съвети за отстраняване на неизправности

                                                                                                                                                  Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам.

                                                                                                                                                  Настройте хибридната VM машина за защита на данните

                                                                                                                                                  Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.

                                                                                                                                                  1

                                                                                                                                                  В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел.

                                                                                                                                                  VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
                                                                                                                                                  2

                                                                                                                                                  Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни:

                                                                                                                                                  1. Вход: admin

                                                                                                                                                  2. Парола: cisco

                                                                                                                                                  Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор.

                                                                                                                                                  3

                                                                                                                                                  Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция.

                                                                                                                                                  4

                                                                                                                                                  Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.

                                                                                                                                                  5

                                                                                                                                                  (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика.

                                                                                                                                                  Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509.

                                                                                                                                                  6

                                                                                                                                                  Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила.

                                                                                                                                                  Качете и монтирайте ISO конфигурацията на HDS

                                                                                                                                                  Използвайте тази процедура, за да конфигурирате виртуална машина от ISO файла, който сте създали с инструмента за настройка на HDS.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.

                                                                                                                                                  1

                                                                                                                                                  Качете ISO файла от вашия компютър:

                                                                                                                                                  1. В левия навигационен панел на клиента VMware vSphere щракнете върху ESXi сървъра.

                                                                                                                                                  2. В списъка Хардуер на раздела Конфигурация щракнете Съхранение .

                                                                                                                                                  3. В списъка Datastores щракнете с щраквам с десния бутон върху хранилището на данни за вашите VM и щракнете Преглед на Datastore .

                                                                                                                                                  4. Щракнете върху иконата за качване на файлове и след това щракнете върху Качване на файл .

                                                                                                                                                  5. Отидете до мястото, където сте изтеглили ISO файла на вашия компютър и щракнете Отвори .

                                                                                                                                                  6. Щракнете върху да за да приемете предупреждението за операцията за качване/изтегляне и затворете диалоговия прозорец за съхранение на данни.

                                                                                                                                                  2

                                                                                                                                                  Монтирайте ISO файла:

                                                                                                                                                  1. В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките .

                                                                                                                                                  2. Щракнете върху ОК за да приемете предупреждението за ограничени опции за редактиране.

                                                                                                                                                  3. Щракнете върху CD/DVD Drive 1, изберете опцията за монтиране от ISO файл на хранилище за данни и прегледайте мястото, където сте качили конфигурационния ISO файл.

                                                                                                                                                  4. Проверете Свързани и Свържете при включване .

                                                                                                                                                  5. Запазете промените и рестартирайте виртуална машина.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.

                                                                                                                                                  Конфигурирайте HDS възел за прокси интеграция

                                                                                                                                                  Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  1

                                                                                                                                                  Въведете URL за настройка на HDS възел https://[HDS Node IP or FQDN]/setup в уеб браузър, въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте .

                                                                                                                                                  2

                                                                                                                                                  Отидете на Доверен магазин и прокси и след това изберете опция:

                                                                                                                                                  • Без прокси —Опция по опция по подразбиране, преди да интегрирате прокси. Не се изисква актуализация на сертификата.
                                                                                                                                                  • Прозрачен прокси без проверка — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
                                                                                                                                                  • Прозрачен инспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTPS при внедряването на хибридна защита на данните, но HDS възлите се нуждаят от главен сертификат , така че да имат доверие на прокси сървъра. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
                                                                                                                                                  • Изрично прокси —С изричен прокси, вие казвате на клиента (HDS възли) кой прокси сървър да използва и тази опция поддържа няколко типа удостоверяване. След като изберете тази опция, трябва да въведете следната информация:
                                                                                                                                                    1. Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.

                                                                                                                                                    2. Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.

                                                                                                                                                    3. Прокси протокол — Изберете http (преглежда и контролира всички заявки, които се получават от клиента) или https (предоставя канал към сървъра, а клиентът получава и валидира сертификата на сървъра). Изберете опция въз основа на това, което поддържа вашият прокси сървър .

                                                                                                                                                    4. Тип на удостоверяването — Изберете измежду следните типове удостоверяване:

                                                                                                                                                      • Няма — не се изисква допълнително удостоверяване.

                                                                                                                                                        Предлага се за HTTP или HTTPS прокси сървъри.

                                                                                                                                                      • Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.

                                                                                                                                                        Предлага се за HTTP или HTTPS прокси сървъри.

                                                                                                                                                        Ако изберете тази опция, трябва също да въведете потребителско име и парола.

                                                                                                                                                      • Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.

                                                                                                                                                        Предлага се само за HTTPS прокси сървъри.

                                                                                                                                                        Ако изберете тази опция, трябва също да въведете потребителско име и парола.

                                                                                                                                                  Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси.

                                                                                                                                                  3

                                                                                                                                                  Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра.

                                                                                                                                                  Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла.

                                                                                                                                                  4

                                                                                                                                                  Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито.

                                                                                                                                                  Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема.

                                                                                                                                                  Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode .

                                                                                                                                                  5

                                                                                                                                                  След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила.

                                                                                                                                                  6

                                                                                                                                                  Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов.

                                                                                                                                                  Възелът се рестартира в рамките на няколко минути.

                                                                                                                                                  7

                                                                                                                                                  След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние.

                                                                                                                                                  Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра.

                                                                                                                                                  Регистрирайте първия възел в клъстера

                                                                                                                                                  Тази задача приема общия възел, който сте създали в Настройте хибридната VM машина за защита на данните , регистрира възела в облака Webex и го превръща в възел за хибридна защита на данните.

                                                                                                                                                  Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.

                                                                                                                                                  • Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Влезте в https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  От менюто в лявата част на екрана изберете Услуги .

                                                                                                                                                  3

                                                                                                                                                  В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте .

                                                                                                                                                  Появява се страницата Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща .

                                                                                                                                                  5

                                                                                                                                                  В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните.

                                                                                                                                                  Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас"

                                                                                                                                                  6

                                                                                                                                                  Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща .

                                                                                                                                                  Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните .

                                                                                                                                                  Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
                                                                                                                                                  7

                                                                                                                                                  Щракнете върху Отидете на Node .

                                                                                                                                                  8

                                                                                                                                                  Щракнете върху Продължете в предупредително съобщение.

                                                                                                                                                  След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
                                                                                                                                                  9

                                                                                                                                                  Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете .

                                                                                                                                                  Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
                                                                                                                                                  10

                                                                                                                                                  Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub.

                                                                                                                                                  На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.

                                                                                                                                                  Създайте и регистрирайте още възли

                                                                                                                                                  За да добавите допълнителни възли към вашия клъстер, просто създавате допълнителни VM и монтирате същия конфигурационен ISO файл, след което регистрирате възела. Препоръчваме ви да имате поне 3 възела.

                                                                                                                                                   

                                                                                                                                                  По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност .

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.

                                                                                                                                                  • Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA .

                                                                                                                                                  2

                                                                                                                                                  Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните .

                                                                                                                                                  3

                                                                                                                                                  На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS .

                                                                                                                                                  4

                                                                                                                                                  Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел.

                                                                                                                                                  5

                                                                                                                                                  Регистрирайте възела.

                                                                                                                                                  1. Вhttps://admin.webex.com , изберете Услуги от менюто в лявата част на екрана.

                                                                                                                                                  2. В секцията Хибридни услуги намерете картата за защита на хибридни данни и щракнете Ресурси .

                                                                                                                                                    Появява се страницата Ресурси за защита на хибридните данни.
                                                                                                                                                  3. Щракнете върху Добавяне на ресурс .

                                                                                                                                                  4. В първото поле изберете името на съществуващия си клъстер.

                                                                                                                                                  5. Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща .

                                                                                                                                                    Появява се съобщение, което показва, че можете да регистрирате своя възел в облака на Webex .
                                                                                                                                                  6. Щракнете върху Отидете на Node .

                                                                                                                                                    След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата организация за достъп до вашия възел.
                                                                                                                                                  7. Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете .

                                                                                                                                                    Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
                                                                                                                                                  8. Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub.

                                                                                                                                                  Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Изпълнете пробна версия и преминете към производство (следваща глава)
                                                                                                                                                  Изпълнете пробна версия и преминете към производство

                                                                                                                                                  Поток на задачата от пробна и производствена

                                                                                                                                                  След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.

                                                                                                                                                  1

                                                                                                                                                  Ако е приложимо, синхронизирайте HdsTrialGroup групов обект.

                                                                                                                                                  Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Активирайте пробна версия

                                                                                                                                                  Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана.

                                                                                                                                                  3

                                                                                                                                                  Тествайте внедряването на вашата хибридна защита на данните

                                                                                                                                                  Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните.

                                                                                                                                                  4

                                                                                                                                                  Наблюдавайте здравето на хибридната защита на данните

                                                                                                                                                  Проверете състоянието и настройвам известия по имейл за аларми.

                                                                                                                                                  5

                                                                                                                                                  Добавяне или премахване на потребители от вашия пробен период

                                                                                                                                                  6

                                                                                                                                                  Завършете пробната фаза с едно от следните действия:

                                                                                                                                                  Активирайте пробна версия

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Влезте вhttps://admin.webex.com и след това изберете Услуги .

                                                                                                                                                  2

                                                                                                                                                  Под Hybrid Data Security щракнете върху Настройки .

                                                                                                                                                  3

                                                                                                                                                  В секцията Състояние на услугата щракнете Започнете пробна версия .

                                                                                                                                                  Състоянието на услугата се променя на пробен режим.
                                                                                                                                                  4

                                                                                                                                                  Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране.

                                                                                                                                                  (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, HdsTrialGroup.)

                                                                                                                                                  Тествайте внедряването на вашата хибридна защита на данните

                                                                                                                                                  Използвайте тази процедура, за да тествате сценарии за криптиране на хибридна защита на данните.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • Настройте внедряването на хибридната защита на данните.

                                                                                                                                                  • Активирайте пробната версия и добавете няколко пробни потребители.

                                                                                                                                                  • Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.

                                                                                                                                                  1

                                                                                                                                                  Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.


                                                                                                                                                   

                                                                                                                                                  Ако деактивирате внедряването на хибридна защита на данните, съдържанието в пространствата, които пилотните потребители създават, вече няма да бъде достъпно, след като кешираните от клиента копия на ключовете за криптиране бъдат заменени.

                                                                                                                                                  2

                                                                                                                                                  Изпращайте съобщения до новото пространство.

                                                                                                                                                  3

                                                                                                                                                  Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните.

                                                                                                                                                  1. За да проверите дали потребител първо установява защитен канал към KMS, филтрирайте kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Трябва да намерите запис като следния (идентификаторите, съкратени за четливост):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. За да проверите за потребител, който иска съществуващ ключ от KMS, филтрирайте kms.data.method=retrieve и kms.data.type=KEY:

                                                                                                                                                    Трябва да намерите запис като:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. За да проверите за потребител, който иска създаване на нов KMS ключ, филтрирайте kms.data.method=create и kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Трябва да намерите запис като:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. За да проверите за потребител, който иска създаването на нов KMS Resource Object (KRO), когато се създаде пространство или друг защитен ресурс, филтрирайте върху kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Трябва да намерите запис като:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Наблюдавайте здравето на хибридната защита на данните

                                                                                                                                                  индикатор на състоянието в Control Hub ви показва дали всичко е наред с внедряването на хибридната защита на данните. За по-проактивни сигнали, записвам се за известия по имейл. Ще бъдете уведомени, когато има аларми, засягащи услугата, или надстройки на софтуера.
                                                                                                                                                  1

                                                                                                                                                  В Контролен център , изберете Услуги от менюто в лявата част на екрана.

                                                                                                                                                  2

                                                                                                                                                  В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки .

                                                                                                                                                  Появява се страницата Настройки за защита на хибридните данни.
                                                                                                                                                  3

                                                                                                                                                  В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете .

                                                                                                                                                  Добавяне или премахване на потребители от вашия пробен период

                                                                                                                                                  След като активирате пробен период и сте добавили първоначалния набор от потребители на пробния период, можете да добавяте или премахвате членове на пробния период по всяко време, докато пробният период е активен.

                                                                                                                                                  Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.

                                                                                                                                                  Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.

                                                                                                                                                  1

                                                                                                                                                  Влезте в Control Hub и след това изберете Услуги .

                                                                                                                                                  2

                                                                                                                                                  Под Hybrid Data Security щракнете върху Настройки .

                                                                                                                                                  3

                                                                                                                                                  В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период.

                                                                                                                                                  4

                                                                                                                                                  Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете .

                                                                                                                                                  Преминете от пробна версия към производствена

                                                                                                                                                  Когато сте доволни, че внедряването ви работи добре за пробните потребители, можете да преминете към производство. Когато преминете към производство, всички потребители в организацията ще използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Не можете да се върнете обратно към пробен режим от производство, освен ако не деактивирате услугата като част от възстановяване след срив. Повторното активиране на услугата изисква да настройвам нов пробен период.
                                                                                                                                                  1

                                                                                                                                                  Влезте в Control Hub и след това изберете Услуги .

                                                                                                                                                  2

                                                                                                                                                  Под Hybrid Data Security щракнете върху Настройки .

                                                                                                                                                  3

                                                                                                                                                  В секцията Състояние на услугата щракнете Преминете към Производство .

                                                                                                                                                  4

                                                                                                                                                  Потвърдете, че искате да преместите всичките си потребители в производствения режим.

                                                                                                                                                  Прекратете пробния си период, без да преминете към производство

                                                                                                                                                  Ако по време на пробния период решите да не продължите с внедряването на хибридната защита на данните, можете да деактивирате хибридната защита на данните, което приключва пробния период и премества пробните потребители обратно към услугите за сигурност на облачните данни. Потребителите на пробния период ще загубят достъп до данните, които са били криптирани по време на пробния период.
                                                                                                                                                  1

                                                                                                                                                  Влезте в Control Hub и след това изберете Услуги .

                                                                                                                                                  2

                                                                                                                                                  Под Hybrid Data Security щракнете върху Настройки .

                                                                                                                                                  3

                                                                                                                                                  В секцията Деактивиране щракнете Деактивирайте .

                                                                                                                                                  4

                                                                                                                                                  Потвърдете, че искате да деактивирате услугата и да прекратите пробния период.

                                                                                                                                                  Управлявайте внедряването на HDS

                                                                                                                                                  Управление на внедряването на HDS

                                                                                                                                                  Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.

                                                                                                                                                  Задайте график за надграждане на клъстер

                                                                                                                                                  Софтуерните надстройки за хибридна защита на данните се извършват автоматично на ниво клъстер, което гарантира, че всички възли винаги работят с една и съща версия на софтуер. Надстройките се извършват според графика за надграждане на клъстера. Когато надстройката на софтуера стане налична, имате възможност да надстроите ръчно клъстера преди планираното време за надстройка. Можете да зададете конкретен график за надграждане или да използвате графика по подразбиране от 3:00 часа AM всеки ден Съединени щати: Америка/Лос Анджелис. Можете също да изберете да отложите предстояща надстройка, ако е необходимо.

                                                                                                                                                  За да зададете графика за надстройка:

                                                                                                                                                  1

                                                                                                                                                  Влезте в Контролен център .

                                                                                                                                                  2

                                                                                                                                                  На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните .

                                                                                                                                                  3

                                                                                                                                                  На страницата Ресурси за защита на хибридни данни изберете клъстера.

                                                                                                                                                  4

                                                                                                                                                  В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера.

                                                                                                                                                  5

                                                                                                                                                  На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка.

                                                                                                                                                  Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете .

                                                                                                                                                  Променете конфигурацията на възела

                                                                                                                                                  Понякога може да се наложи да промените конфигурацията на вашия възел за хибридна защита на данните поради причина като:
                                                                                                                                                  • Промяна на сертификати x.509 поради изтичане или други причини.


                                                                                                                                                     

                                                                                                                                                    Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.

                                                                                                                                                  • Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.

                                                                                                                                                  • Създаване на нова конфигурация за подготовка на нов център за данни.

                                                                                                                                                  Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:

                                                                                                                                                  • Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.

                                                                                                                                                  • Твърдо нулиране —Старите пароли спират да работят незабавно.

                                                                                                                                                  Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.

                                                                                                                                                  Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.

                                                                                                                                                    Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:

                                                                                                                                                    Описание

                                                                                                                                                    Променлива

                                                                                                                                                    HTTP прокси без удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS прокси без удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP прокси с удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS прокси с удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.

                                                                                                                                                  1

                                                                                                                                                  Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.

                                                                                                                                                  1. В командния ред на вашата машина въведете подходящата команда за вашата среда:

                                                                                                                                                    В редовна среда:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    В FedRAMP среди:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Тази стъпка почиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

                                                                                                                                                  2. За да влизам в регистъра на изображенията на Docker, въведете следното:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. При подкана за парола въведете този хеш:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Изтеглете най-новото стабилно изображение за вашата среда:

                                                                                                                                                    В редовна среда:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    В FedRAMP среди:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Уверете се, че сте изтеглили най-новия инструмент за настройка за тази процедура. Версиите на инструмента, създадени преди 22 февруари 2018 г., нямат екрани за нулиране на паролата.

                                                                                                                                                  5. Когато изтеглянето завърши, въведете подходящата команда за вашата среда:

                                                                                                                                                    • В обикновени среди без прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • В обикновени среди с HTTP прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • В обикновени среди с HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • В FedRAMP среди без прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • В FedRAMP среди с HTTP прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • В FedRAMP среди с HTTPS прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“.

                                                                                                                                                  6. Използвайте браузър, за да се свържете с локалния хост, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Инструментът за настройка не поддържа свързване към localhost чрез http://localhost:8080 . Използвайтеhttp://127.0.0.1:8080 за да се свържете с локален хост.

                                                                                                                                                  7. Когато бъдете подканени, въведете вашите идентификационни данни за влизане в Control Hub и след това щракнете Приемам да продължи.

                                                                                                                                                  8. Импортирайте текущия конфигурационен ISO файл.

                                                                                                                                                  9. Следвайте подканите, за да завършите инструмента и да изтеглите актуализирания файл.

                                                                                                                                                    За да изключите инструмента за настройка, въведете CTRL+C.

                                                                                                                                                  10. Създайте резервно копие на актуализирания файл в друг център за данни.

                                                                                                                                                  2

                                                                                                                                                  Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли .

                                                                                                                                                  1. Инсталирайте HDS хост OVA.

                                                                                                                                                  2. Настройте HDS VM.

                                                                                                                                                  3. Монтирайте актуализирания конфигурационен файл.

                                                                                                                                                  4. Регистрирайте новия възел в Control Hub.

                                                                                                                                                  3

                                                                                                                                                  За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел:

                                                                                                                                                  1. Изключете виртуална машина.

                                                                                                                                                  2. В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките .

                                                                                                                                                  3. Щракнете върху CD/DVD Drive 1, изберете опцията за монтиране от ISO файл и прегледайте мястото, където сте изтеглили новия конфигурационен ISO файл.

                                                                                                                                                  4. Проверете Свържете при включване .

                                                                                                                                                  5. Запазете промените си и включете виртуална машина.

                                                                                                                                                  4

                                                                                                                                                  Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация.

                                                                                                                                                  Изключете Blocked External DNS Resolution Mode

                                                                                                                                                  Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.

                                                                                                                                                  Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Уверете се, че вашите вътрешни DNS сървъри могат да разрешават публични DNS имена и че вашите възли могат да комуникират с тях.
                                                                                                                                                  1

                                                                                                                                                  В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте .

                                                                                                                                                  2

                                                                                                                                                  Отидете на Общ преглед (страницата по подразбиране).

                                                                                                                                                  Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да .

                                                                                                                                                  3

                                                                                                                                                  Отидете до Доверен магазин и прокси страница.

                                                                                                                                                  4

                                                                                                                                                  Щракнете върху Проверете прокси връзката .

                                                                                                                                                  Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Повторете теста на прокси връзката на всеки възел във вашия клъстер за хибридна защита на данните.

                                                                                                                                                  Премахване на възел

                                                                                                                                                  Използвайте тази процедура, за да премахнете възел за защита на хибридни данни от облака на Webex . След като премахнете възела от клъстера, изтрийте виртуална машина, за да предотвратите по-нататъшен достъп до вашите данни за сигурност.
                                                                                                                                                  1

                                                                                                                                                  Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина.

                                                                                                                                                  2

                                                                                                                                                  Премахнете възела:

                                                                                                                                                  1. Влезте в Control Hub и след това изберете Услуги .

                                                                                                                                                  2. На картата за защита на хибридни данни щракнете Вижте всички за да се покаже страницата Ресурси за защита на хибридните данни.

                                                                                                                                                  3. Изберете своя клъстер, за да покажете неговия панел за преглед.

                                                                                                                                                  4. Щракнете върху Отворете списъка с възли .

                                                                                                                                                  5. В раздела Възли изберете възела, който искате да премахнете.

                                                                                                                                                  6. Щракнете върху Действия > Дерегистриране на възел .

                                                                                                                                                  3

                                                                                                                                                  В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .)

                                                                                                                                                  Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност.

                                                                                                                                                  Възстановяване при бедствия с помощта на Център за данни в режим на готовност

                                                                                                                                                  Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.

                                                                                                                                                  Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:

                                                                                                                                                  Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.

                                                                                                                                                  1

                                                                                                                                                  Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .

                                                                                                                                                  2

                                                                                                                                                  След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки

                                                                                                                                                  3

                                                                                                                                                  На Разширени настройки страница, добавете конфигурацията по-долу или премахнете passiveMode конфигурация, за да направи възела активен. Възелът може да обработва трафик, след като това е конфигурирано.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране.

                                                                                                                                                  5

                                                                                                                                                  Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията.

                                                                                                                                                  6

                                                                                                                                                  В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. .

                                                                                                                                                  7

                                                                                                                                                  Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Уверете се Свързани и Свържете при включване са проверени, така че актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.

                                                                                                                                                  8

                                                                                                                                                  Включете HDS възела и се уверете, че няма аларми за поне 15 минути.

                                                                                                                                                  9

                                                                                                                                                  Повторете процеса за всеки възел в център за данни в режим на готовност.


                                                                                                                                                   

                                                                                                                                                  Проверете изхода на системния журнал, за да се уверите, че възлите на център за данни в режим на готовност не са в пасивен режим. „KMS, конфигуриран в пасивен режим“ не трябва да се появява в системните дневници.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  След отказ, ако основният център за данни стане отново активен, поставете център за данни в режим на готовност отново в пасивен режим, като следвате стъпките, описани в Настройте център за данни в режим на готовност за възстановяване при бедствия .

                                                                                                                                                  (По избор) Демонтирайте ISO след HDS конфигурация

                                                                                                                                                  Стандартната HDS конфигурация работи с монтиран ISO . Но някои клиенти предпочитат да не оставят ISO файловете непрекъснато монтирани. Можете да демонтирате ISO файла, след като всички HDS възли вземат новата конфигурация.

                                                                                                                                                  Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всичките си HDS възли. След като всичките ви възли приемат промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.

                                                                                                                                                  1

                                                                                                                                                  Изключете един от вашите HDS възли.

                                                                                                                                                  2

                                                                                                                                                  Във vCenter Server Appliance изберете HDS възела.

                                                                                                                                                  3

                                                                                                                                                  Изберете Редактиране на настройките > CD/ DVD устройство и премахнете отметката ISO файл на хранилище за данни .

                                                                                                                                                  4

                                                                                                                                                  Включете HDS възела и се уверете, че няма аларми за поне 20 минути.

                                                                                                                                                  5

                                                                                                                                                  Повторете последователно за всеки HDS възел.

                                                                                                                                                  Отстраняване на проблеми със сигурността на хибридните данни

                                                                                                                                                  Преглед на сигнали и отстраняване на неизправности

                                                                                                                                                  Разгръщането на хибридна защита на данните се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква време за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за защита на хибридни данни, те изпитват следните симптоми:

                                                                                                                                                  • Не могат да се създават нови пространства (не може да се създадат нови ключове)

                                                                                                                                                  • Съобщенията и заглавията на пространството не могат да се дешифрират за:

                                                                                                                                                    • Нови потребители, добавени към пространство (не могат да извлекат ключове)

                                                                                                                                                    • Съществуващи потребители в пространство, използващи нов клиент (не може да извлече ключове)

                                                                                                                                                  • Съществуващите потребители в пространство ще продължат да работят успешно, докато техните клиенти имат кеш на ключовете за криптиране

                                                                                                                                                  Важно е правилно да наблюдавате своя клъстер за хибридна защита на данните и незабавно да адресирате всички предупреждения, за да избегнете прекъсване на услугата.

                                                                                                                                                  Предупреждения

                                                                                                                                                  Ако има проблем с настройката на хибридната защита на данните, Control Hub показва сигнали до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.

                                                                                                                                                  Таблица 1. Често срещани проблеми и стъпки за разрешаването им

                                                                                                                                                  Предупреждение

                                                                                                                                                  Действие

                                                                                                                                                  Грешка при достъп до локална база данни.

                                                                                                                                                  Проверете за грешки в базата данни или проблеми с локалната мрежа.

                                                                                                                                                  неуспешна връзка с локална база данни.

                                                                                                                                                  Проверете дали сървърът на сървър на база с данни е наличен и правилните идентификационни данни за акаунт на услуга са били използвани в конфигурацията на възел.

                                                                                                                                                  Грешка при достъп до облачна услуга.

                                                                                                                                                  Проверете дали възлите имат достъп до сървърите на Webex , както е посочено в Изисквания за външна свързаност .

                                                                                                                                                  Подновяване на регистрацията на облачна услуга.

                                                                                                                                                  Регистрацията в облачни услуги беше прекратена. Подновяването на регистрацията е в ход.

                                                                                                                                                  Регистрацията на облачна услуга отпадна.

                                                                                                                                                  Регистрацията в облачни услуги е прекратена. Услугата се изключва.

                                                                                                                                                  Услугата все още не е активирана.

                                                                                                                                                  Активирайте пробна версия или завършете преместването на пробната версия в производствен.

                                                                                                                                                  Конфигурираният домейн не съответства на сертификат на сървъра.

                                                                                                                                                  Уверете се, че вашият сертификат на сървъра съответства на конфигурирания домейн за активиране на услугата.

                                                                                                                                                  Най-вероятната причина е, че CN на сертификата е наскоро променен и вече е различен от CN, който е бил използван по време на първоначалната настройка.

                                                                                                                                                  Удостоверяването на облачни услуги не бе успешно.

                                                                                                                                                  Проверете за точността и възможното изтичане на идентификационните данни за акаунт на услуга .

                                                                                                                                                  Неуспешно отваряне на файл с локално хранилище за ключове.

                                                                                                                                                  Проверете за целостта и точността на паролата във файла на локалното хранилище на ключове.

                                                                                                                                                  сертификат на сървъра е невалиден.

                                                                                                                                                  Проверете дата на изтичане на валидността or, shortened, дата на изтичане на сертификата на сървъра и потвърдете, че е издаден от доверен орган за сертификати.

                                                                                                                                                  Не може да се публикуват показатели.

                                                                                                                                                  Проверете достъпа на локалната мрежа до външни облачни услуги.

                                                                                                                                                  /media/configdrive/hds директорията не съществува.

                                                                                                                                                  Проверете конфигурацията за монтиране на ISO на виртуален хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и че се монтира успешно.

                                                                                                                                                  Отстраняване на проблеми със сигурността на хибридните данни

                                                                                                                                                  Използвайте следните общи указания, когато отстранявате проблеми с Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Прегледайте Control Hub за сигнали и коригирайте всички елементи, които намерите там.

                                                                                                                                                  2

                                                                                                                                                  Прегледайте изхода на syslog сървъра за активност от внедряването на хибридна защита на данните.

                                                                                                                                                  3

                                                                                                                                                  Контакт Поддръжка на Cisco .

                                                                                                                                                  Други бележки

                                                                                                                                                  Известни проблеми за сигурността на хибридните данни

                                                                                                                                                  • Ако изключите своя клъстер за хибридна защита на данни (чрез го изтриете в Control Hub или като изключите всички възли), загубите своя конфигурационен ISO файл или загубите достъп до базата данни на хранилището на ключове, потребителите на вашето Webex App вече няма да могат да използват пространства под своите хора списък, които са създадени с ключове от вашия KMS. Това се отнася както за пробно, така и за производствено внедряване. Понастоящем нямаме решение или решение за този проблем и ви призоваваме да не изключвате вашите HDS услуги, след като те обработват активни потребителски акаунти.

                                                                                                                                                  • Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за определен период от време (вероятно един час). Когато потребителят стане член на пробна версия за хибридна защита на данните, клиентът на потребителя продължава да използва съществуващата ECDH връзка, докато не изтече. Като алтернатива, потребителят може да излизам отново в приложението Webex App, за да актуализира местоположението, с което приложението се свързва за ключове за криптиране.

                                                                                                                                                    Същото поведение се случва, когато преместите пробен период в производствен за организацията. Всички потребители без опит със съществуващи ECDH връзки към предишните услуги за сигурност на данните ще продължат да използват тези услуги, докато ECDH връзката не бъде предоговорена (чрез изчакване или чрез излизане и обратно).

                                                                                                                                                  Използвайте OpenSSL, за да генерирате PKCS12 файл

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • OpenSSL е един инструмент, който може да се използва за създаване на файла PKCS12 в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини да направите това и ние не подкрепяме или популяризираме един начин пред друг.

                                                                                                                                                  • Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, за да ви помогнем да създадете файл, който отговаря на изискванията на сертификата X.509 в X.509 Изисквания за сертификат . Разберете тези изисквания, преди да продължите.

                                                                                                                                                  • Инсталирайте OpenSSL в поддържана среда. Вижhttps://www.openssl.org за софтуера и документацията.

                                                                                                                                                  • Създайте частен ключ.

                                                                                                                                                  • Започнете тази процедура, когато получите сертификат на сървъра от вашия орган за сертификати (CA).

                                                                                                                                                  1

                                                                                                                                                  Когато получите сертификат на сървъра от вашия CA, запазете го като hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Покажете сертификата като текст и проверете подробностите.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Използвайте текстов редактор, за да създадете файл с пакет от сертификати, наречен hdsnode-bundle.pem. Пакетният файл трябва да включва сертификат на сървъра, всички междинни CA сертификати и сертификатите за основния CA във формат по-долу:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Създайте .p12 файла с приятелското име kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Проверете подробностите за сертификат на сървъра .

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Въведете парола при подкана, за да шифровате частния ключ, така че да бъде посочен в изхода. След това проверете дали частният ключ и първият сертификат включват редовете friendlyName: kms-private-key.

                                                                                                                                                    Пример:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Върнете се към Изпълнете предпоставките за хибридна защита на данните . Вие ще използвате hdsnode.p12 файл и паролата, която сте задали за него, в Създайте ISO конфигурация за HDS хостовете .


                                                                                                                                                   

                                                                                                                                                  Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато оригиналният сертификат изтече.

                                                                                                                                                  Трафик между HDS възлите и облака

                                                                                                                                                  Изходящ трафик за събиране на показатели

                                                                                                                                                  Възлите за хибридна защита на данните изпращат определени показатели към облака на Webex . Те включват системни метрики за макс. хеп, използван хеп, натоварване на CPU и брой нишки; метрики за синхронни и асинхронни нишки; показатели за сигнали, включващи праг на криптиращи връзки, латентност или дължина на опашката за заявки; метрики на хранилището за данни; и показатели за криптиране на връзката. Възлите изпращат криптиран ключов материал по извънлентов (отделен от заявката) канал.

                                                                                                                                                  Входящ трафик

                                                                                                                                                  Възлите за защита на хибридните данни получават следните типове входящ трафик от облака на Webex :

                                                                                                                                                  • Заявки за криптиране от клиенти, които се насочват от услугата за криптиране

                                                                                                                                                  • Надстройки на софтуера на възела

                                                                                                                                                  Конфигурирайте Squid прокси сървъри за хибридна защита на данните

                                                                                                                                                  Websocket не може да се свърже чрез Squid прокси

                                                                                                                                                  Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket ( wss:) връзки, които изисква Hybrid Data Security. Тези раздели дават насоки как да конфигурирате различни версии на Squid за игнориране wss: трафик за правилното функциониране на услугите.

                                                                                                                                                  Калмари 4 и 5

                                                                                                                                                  Добавете on_unsupported_protocol директива за squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Калмари 3.5.27

                                                                                                                                                  Успешно тествахме хибридната защита на данните с добавени следните правила squid.conf. Тези правила подлежат на промяна, докато разработваме функции и актуализираме облака на Webex .

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Предговор

                                                                                                                                                  Нова и променена информация

                                                                                                                                                  Дата

                                                                                                                                                  Направени промени

                                                                                                                                                  20 октомври 2023 г

                                                                                                                                                  07 август 2023 г

                                                                                                                                                  23 май 2023 г

                                                                                                                                                  06 декември 2022 г

                                                                                                                                                  23 ноември 2022 г

                                                                                                                                                  13 октомври 2021 г

                                                                                                                                                  Docker Desktop трябва да стартира програма за настройка, преди да можете да инсталирате HDS възли. Виж Изисквания за работния плот на Docker .

                                                                                                                                                  24 юни 2021 г

                                                                                                                                                  Отбелязано е, че можете да използвате повторно файла с частен ключ и CSR , за да поискате друг сертификат. Виж Използвайте OpenSSL, за да генерирате PKCS12 файл за подробности.

                                                                                                                                                  30 април 2021 г.

                                                                                                                                                  Променено изискването за VM за локално пространство на твърдия диск на 30 GB. Виж Изисквания за виртуален хост за подробности.

                                                                                                                                                  24 февруари 2021 г

                                                                                                                                                  HDS Setup Tool вече може да работи зад прокси. Виж Създайте ISO конфигурация за HDS хостовете за подробности.

                                                                                                                                                  2 февруари 2021 г

                                                                                                                                                  HDS вече може да работи без монтиран ISO файл. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.

                                                                                                                                                  11 януари 2021 г

                                                                                                                                                  Добавена информация за инструмента за настройка на HDS и прокси сървърите към Създайте ISO конфигурация за HDS хостовете .

                                                                                                                                                  13 октомври 2020 г

                                                                                                                                                  Актуализиран Изтеглете инсталационни файлове .

                                                                                                                                                  08 октомври 2020 г.

                                                                                                                                                  Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с команди за FedRAMP среди.

                                                                                                                                                  14 август 2020 г

                                                                                                                                                  Актуализиран Създайте ISO конфигурация за HDS хостовете и Променете конфигурацията на възела с промени в процеса на влизане.

                                                                                                                                                  5 август 2020 г

                                                                                                                                                  Актуализиран Тествайте внедряването на вашата хибридна защита на данните за промени в регистрационните съобщения.

                                                                                                                                                  Актуализиран Изисквания за виртуален хост за премахване на максимален брой хостове.

                                                                                                                                                  16 юни 2020 г

                                                                                                                                                  Актуализиран Премахване на възел за промени в потребителския интерфейс на Control Hub.

                                                                                                                                                  4 юни 2020 г

                                                                                                                                                  Актуализиран Създайте ISO конфигурация за HDS хостовете за промени в разширените настройки, които може да зададете.

                                                                                                                                                  29 май 2020 г

                                                                                                                                                  Актуализиран Създайте ISO конфигурация за HDS хостовете за да покажете, че можете също да използвате TLS с бази данни на SQL Server, промени в потребителския интерфейс и други разяснения.

                                                                                                                                                  5 май 2020 г

                                                                                                                                                  Актуализиран Изисквания за виртуален хост да покаже новото изискване на ESXi 6.5.

                                                                                                                                                  21 април 2020 г

                                                                                                                                                  Актуализиран Изисквания за външна свързаност с нови хостове на Америка CI.

                                                                                                                                                  1 април 2020 г.

                                                                                                                                                  Актуализиран Изисквания за външна свързаност с информация за регионалните CI хостове.

                                                                                                                                                  20 февруари 2020 гАктуализиран Създайте ISO конфигурация за HDS хостовете с информация за нов опционален екран с разширени настройки в инструмента за настройка на HDS.
                                                                                                                                                  4 февруари 2020 гАктуализиран Изисквания за прокси сървър .
                                                                                                                                                  16 декември 2019 г.Изяснява се изискването за работа в режим на разделяне на блокиран външен DNS Изисквания за прокси сървър .
                                                                                                                                                  19 ноември 2019 г

                                                                                                                                                  Добавена информация за Blocked External DNS Resolution Mode в следните раздели:

                                                                                                                                                  8 ноември 2019 г

                                                                                                                                                  Вече можете да конфигурирате мрежови настройки за възел, докато разгръщате OVA, а не след това.

                                                                                                                                                  Актуализирани съответно следните раздели:


                                                                                                                                                   

                                                                                                                                                  Опцията за конфигуриране на мрежови настройки по време на внедряване на OVA е тествана с ESXi 6.5. Възможно е опцията да не е налична в по-ранните версии.

                                                                                                                                                  6 септември 2019 г

                                                                                                                                                  Добавен SQL Server Standard към Изисквания за сървър на база данни .

                                                                                                                                                  Август 29, 2019Добавено Конфигурирайте Squid прокси сървъри за хибридна защита на данните приложение с насоки за конфигуриране на Squid прокси сървъри за игнориране на трафика от websocket за правилна работа.
                                                                                                                                                  20 август 2019 г

                                                                                                                                                  Добавени и актуализирани секции, за да покрият поддръжката на прокси за комуникации на възел за хибридна защита на данните към облака на Webex .

                                                                                                                                                  За достъп само до съдържанието за поддръжка на прокси за съществуващо внедряване, вижте Прокси поддръжка за хибридна защита на данните и Webex Video Mesh помощна статия.

                                                                                                                                                  13 юни 2019 гАктуализиран Поток на задачата от пробна и производствена с напомняне за синхронизиране на HdsTrialGroup групов обект преди стартиране на пробна версия, ако вашата организация използва синхронизиране на директории.
                                                                                                                                                  6 март 2019 г
                                                                                                                                                  Февруари 28, 2019
                                                                                                                                                  • Коригирано е количеството локално пространство на твърдия диск на сървър, което трябва да заделите, когато подготвяте виртуалните хостове, които стават възли за хибридна защита на данните, от 50-GB на 20-GB, за да отразите размера на диска, който OVA създава.

                                                                                                                                                  26 февруари 2019 г.
                                                                                                                                                  • Възлите за хибридна защита на данните вече поддържат криптирани връзки със сървъри на база данни PostgreSQL и криптирани връзки за регистриране към TLS-способен syslog сървър. Актуализиран Създайте ISO конфигурация за HDS хостовете с инструкции.

                                                                                                                                                  • Премахнати целеви URL адреси от таблицата „Изисквания за интернет свързаност за хибридни виртуални машини за защита на данни“. Таблицата вече се отнася до списъка, поддържан в таблицата „Допълнителни URL адреси за хибридни услуги на Webex Teams“ на Мрежови изисквания за услугите на Webex Teams .

                                                                                                                                                  24 януари 2019 г

                                                                                                                                                  • Hybrid Data Security вече поддържа Microsoft SQL Server като база данни. SQL Server Always On (Always On Failover Clusters и Always on Availability Groups) се поддържа от JDBC драйверите, които се използват в Hybrid Data Security. Добавено съдържание, свързано с внедряването със SQL Server.


                                                                                                                                                     

                                                                                                                                                    Поддръжката на Microsoft SQL Server е предназначена само за нови разполагания на хибридната защита на данните. Понастоящем не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server в съществуващо разполагане.

                                                                                                                                                  5 ноември 2018 г
                                                                                                                                                  19 октомври 2018 г

                                                                                                                                                  31 юли 2018 г

                                                                                                                                                  21 май 2018 г.

                                                                                                                                                  Променена терминология, за да отрази ребрандирането на Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security вече е Hybrid Data Security.

                                                                                                                                                  • Приложението Cisco Spark вече е приложението Webex App.

                                                                                                                                                  • Облакът на Cisco Collaboraton вече е облакът на Webex .

                                                                                                                                                  11 април 2018 г
                                                                                                                                                  22 февруари 2018 г
                                                                                                                                                  15 февруари 2018
                                                                                                                                                  • В X.509 Изисквания за сертификат таблица, посочи, че сертификатът не може да бъде сертификат с заместващ знак и че KMS използва домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN.

                                                                                                                                                  18 януари 2018

                                                                                                                                                  2 ноември 2017 г

                                                                                                                                                  • Изяснена синхронизация на директории на HdsTrialGroup.

                                                                                                                                                  • Фиксирани инструкции за качване на ISO конфигурационен файл за монтиране към VM възлите.

                                                                                                                                                  18 август 2017 г

                                                                                                                                                  Публикувано за първи път

                                                                                                                                                  Започнете с хибридна защита на данните

                                                                                                                                                  Преглед на сигурността на хибридните данни

                                                                                                                                                  От първия ден сигурността на данните е основният фокус при проектирането на Webex App. Крайъгълният камък на тази сигурност е криптирането на съдържание от край до край, активирано от клиентите на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографските ключове, които клиентите използват за динамично криптиране и декриптиране на съобщения и файлове.

                                                                                                                                                  По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачния KMS, в сферата на сигурността на Cisco. Hybrid Data Security премества KMS и други функции, свързани със сигурността, във вашия корпоративни данни , така че никой освен вас не държи ключовете за вашето криптирано съдържание.

                                                                                                                                                  Архитектура на сферата на сигурността

                                                                                                                                                  Облачната архитектура на Webex разделя различни видове услуги в отделни сфери или домейни на доверие, както е показано по-долу.

                                                                                                                                                  Царства на разделяне (без хибридна защита на данните)

                                                                                                                                                  За да разберем по-добре хибридната защита на данните, нека първо разгледаме този чист облачен случай, където Cisco предоставя всички функции в своите облачни сфери. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логически и физически отделена от сферата на сигурността в център за данни B. И двете от своя страна са отделени от сферата, където в крайна сметка се съхранява криптирано съдържание , в център за данни C.

                                                                                                                                                  В тази диаграма клиентът е приложението Webex , което се изпълнява на лаптоп на потребителя и е удостоверено с услугата за самоличност. Когато потребителят състави съобщение, което да изпрати до пространство, се изпълняват следните стъпки:

                                                                                                                                                  1. Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за криптиране на съобщението. защитена връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.

                                                                                                                                                  2. Съобщението е криптирано, преди да напусне клиента. Клиентът го изпраща до услугата за индексиране, която създава криптирани индекси за търсене, за да помогне при бъдещи търсения на съдържанието.

                                                                                                                                                  3. Шифрованото съобщение се изпраща до службата за съответствие за проверка на съответствието.

                                                                                                                                                  4. Шифрованото съобщение се съхранява в областта на съхранение.

                                                                                                                                                  Когато внедрите Hybrid Data Security, вие премествате функциите на областта на сигурността (KMS, индексиране и съответствие) във вашия в помещението център за данни. Другите облачни услуги, които съставляват Webex (включително самоличност и съхранение на съдържание), остават в сферата на Cisco.

                                                                                                                                                  Сътрудничество с други организации

                                                                                                                                                  Потребителите във вашата организация може редовно да използват приложението Webex , за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашият KMS изпраща ключа на клиента по защитен канал от ECDH. Въпреки това, когато друга организация притежава ключа за пространството, вашият KMS насочва заявката към облака на Webex през отделен ECDH канал, за да получи ключа от съответния KMS, и след това връща ключа на вашия потребител в оригиналния канал.

                                                                                                                                                  Услугата KMS, работеща в организация A, валидира връзките към KMS в други организации, използвайки x.509 PKI сертификати. Виж Подгответе вашата среда за подробности относно генерирането на сертификат x.509, който да използвате с внедряването на хибридната защита на данните.

                                                                                                                                                  Очаквания за внедряване на хибридна защита на данните

                                                                                                                                                  Внедряването на хибридна защита на данните изисква значителна ангажираност на клиента и осъзнаване на рисковете, които идват от притежаването на ключове за криптиране.

                                                                                                                                                  За да внедрите хибридна защита на данните, трябва да предоставите:

                                                                                                                                                  Пълната загуба на ISO конфигурацията, която създавате за Hybrid Data Security, или на базата данни, която предоставяте, ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират космическо съдържание и други криптирани данни в приложението Webex . Ако това се случи, можете да създадете ново внедряване, но ще се вижда само ново съдържание. За да избегнете загуба на достъп до данните, трябва:

                                                                                                                                                  • Управлявайте архивирането и възстановяването на базата данни и ISO конфигурацията.

                                                                                                                                                  • Бъдете готови да извършите бързо възстановяване след възстановяване след срив, ако възникне катастрофа, като повреда на диска на базата данни или катастрофа в център за данни за данни.


                                                                                                                                                   

                                                                                                                                                  Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS.

                                                                                                                                                  Процес на настройка на високо ниво

                                                                                                                                                  Този документ обхваща настройката и управлението на внедряване на хибридна защита на данните:

                                                                                                                                                  • Настройте хибридна защита на данните —Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данните, тестване на внедряването ви с подгрупа потребители в пробен режим и, след като тестването приключи, преминаване към производство. Това преобразува цялата организация да използва вашия клъстер за хибридна защита на данните за функции за сигурност.

                                                                                                                                                    Фазите на настройка, тестване и производство са разгледани подробно в следващите три глави.

                                                                                                                                                  • Поддържайте внедряването на хибридната защита на данните —Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира Поддръжка на Cisco , ако е необходимо. Можете да използвате известия на екрана и да настройвам базирани на имейл сигнали в Control Hub.

                                                                                                                                                  • Разберете общи сигнали, стъпки за отстраняване на неизправности и известни проблеми —Ако срещнете проблеми с внедряването или използването на хибридна защита на данните, последната глава от това ръководство и приложението Известни проблеми може да ви помогнат да определите и отстраните проблема.

                                                                                                                                                  Модел за внедряване на хибридна защита на данните

                                                                                                                                                  В рамките на вашия корпоративни данни вие внедрявате хибридна защита на данните като единичен клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уебсокети и защитен HTTP.

                                                                                                                                                  По време на инсталационния процес ви предоставяме OVA файла, за да настройвам виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете ISO файл за персонализирана конфигурация на клъстер, който монтирате на всеки възел. Клъстерът за хибридна защита на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате данните за Syslogd и връзката към базата данни в инструмента за настройка на HDS.)

                                                                                                                                                  Модел за внедряване на хибридна защита на данните

                                                                                                                                                  Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три, а вие можете да имате до пет. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надграждане на софтуер или друга дейност по поддръжка на възел. (Облакът Webex надгражда само един възел в даден момент.)

                                                                                                                                                  Всички възли в клъстер имат достъп до едно и също ключово хранилище за данни и регистрират активността на един и същ сървър на системния журнал. Самите възли са без състояние и обработват ключови заявки по кръгова система, както е указано от облака.

                                                                                                                                                  Възлите стават активни, когато ги регистрирате в Control Hub. За да извадите отделен възел от експлоатация, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.

                                                                                                                                                  Ние поддържаме само един клъстер на организация.

                                                                                                                                                  Пробен режим за хибридна защита на данните

                                                                                                                                                  След като настроите внедряване на хибридна защита на данните, първо го изпробвате с набор от пилотни потребители. По време на пробния период тези потребители използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Другите ви потребители продължават да използват сферата на сигурността в облака.

                                                                                                                                                  Ако решите да не продължите с внедряването по време на пробния период и деактивирате услугата, пилотните потребители и всички потребители, с които са взаимодействали чрез създаване на нови пространства по време на пробния период, ще загубят достъп до съобщенията и съдържанието. Те ще видят „Това съобщение не може да бъде декриптирано“ в приложението Webex .

                                                                                                                                                  Ако сте доволни, че внедряването ви работи добре за пробните потребители и сте готови да разширите хибридната защита на данните за всичките си потребители, премествате внедряването в производствена. Пилотните потребители продължават да имат достъп до ключовете, които са били използвани по време на пробния период. Въпреки това, не можете да се движите напред-назад между производствения режим и първоначалния пробен период. Ако трябва да деактивирате услугата, като например да извършите възстановяване след възстановяване след срив, когато активирате повторно, трябва да започнете нова пробна версия и да настройвам набора от пилотни потребители за новия пробен период, преди да се върнете обратно към производствен режим. Дали потребителите ще запазят достъп до данни в този момент зависи от това дали сте поддържали успешно резервни копия на ключовото хранилище на данни и ISO конфигурационен файл за възлите за хибридна защита на данните във вашия клъстер.

                                                                                                                                                  Център за данни в режим на готовност за възстановяване при бедствия

                                                                                                                                                  По време на внедряването вие настройвам защитен център за данни в режим на готовност. В случай на бедствие в център за данни , можете ръчно да провалите внедряването си в център за данни в готовност.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ръчно преминаване при отказ към Център за данни в режим на готовност

                                                                                                                                                  Базите данни на активния и резервния центрове за данни са синхронизирани една с друга, което ще сведе до минимум времето, необходимо за извършване на отказ. ISO файлът на център за данни в режим на готовност се актуализира с допълнителни конфигурации, които гарантират, че възлите са регистрирани в организацията, но няма да обработват трафика. Следователно възлите на център за данни в режим на готовност винаги остават актуални с най-новата версия на HDS софтуера.


                                                                                                                                                   

                                                                                                                                                  Активните възли за хибридна защита на данни трябва винаги да са в същия център за данни като активния сървър на база с данни.

                                                                                                                                                  Настройте център за данни в режим на готовност за възстановяване при бедствия

                                                                                                                                                  Следвайте стъпките по-долу, за да конфигурирате ISO файла на център за данни в режим на готовност:

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • Центърът за център за данни в готовност трябва да отразява производствената среда на VM и резервна база данни PostgreSQL или Microsoft SQL Server. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM. (Виж Център за данни в режим на готовност за възстановяване при бедствия за преглед на този модел на отказ.)

                                                                                                                                                  • Уверете се, че синхронизирането на базата данни е активирано между базата данни с активни и пасивни възли на клъстер.

                                                                                                                                                  1

                                                                                                                                                  Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създайте ISO конфигурация за HDS хостовете .


                                                                                                                                                   

                                                                                                                                                  ISO файлът трябва да бъде копие на оригиналния ISO файл на основния център за данни, върху който трябва да се направят следните актуализации на конфигурацията.

                                                                                                                                                  2

                                                                                                                                                  След като конфигурирате сървъра Syslogd, щракнете върху Разширени настройки

                                                                                                                                                  3

                                                                                                                                                  На Разширени настройки страница, добавете конфигурацията по-долу, за да поставите възела в пасивен режим. В този режим възелът ще бъде регистриран в организацията и ще бъде свързан към облака, но няма да обработва никакъв трафик.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране.

                                                                                                                                                  5

                                                                                                                                                  Направете резервно копие на ISO файла във вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията.

                                                                                                                                                  6

                                                                                                                                                  В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките. .

                                                                                                                                                  7

                                                                                                                                                  Щракнете върху Редактиране на настройките > CD/ DVD устройство 1 и изберете Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Уверете се Свързани и Свържете при включване са проверени, така че актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.

                                                                                                                                                  8

                                                                                                                                                  Включете HDS възела и се уверете, че няма аларми за поне 15 минути.

                                                                                                                                                  9

                                                                                                                                                  Повторете процеса за всеки възел в център за данни в режим на готовност.


                                                                                                                                                   

                                                                                                                                                  Проверете системните журнали, за да проверите дали възлите са в пасивен режим. Трябва да можете да видите съобщението „KMS конфигуриран в пасивен режим“ в системните дневници.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  След конфигуриране passiveMode в ISO файла и го запишете, можете да създадете друго копие на ISO файла без passiveMode конфигурация и я запазете на сигурно място. Това копие на ISO файла без passiveMode configured може да помогне за бърз процес на отказ по време на възстановяване след срив. Виж Възстановяване при бедствия с помощта на Център за данни в режим на готовност за подробната процедура за отказване.

                                                                                                                                                  Прокси поддръжка

                                                                                                                                                  Hybrid Data Security поддържа изрични, прозрачни инспектиращи и непроверяващи прокси сървъри. Можете да свържете тези прокси сървъри към вашето внедряване, така че да можете да защитите и наблюдавате трафика от предприятието към облака. Можете да използвате интерфейс за администратор на платформата на възлите за управление на сертификати и за проверка на цялостното състояние на свързаност, след като настройвам прокси сървъра на възлите.

                                                                                                                                                  Възлите за защита на хибридните данни поддържат следните прокси опции:

                                                                                                                                                  • Без прокси —По подразбиране, ако не използвате настройката на HDS възел Trust Store & Proxy конфигурация за интегриране на прокси. Не се изисква актуализация на сертификата.

                                                                                                                                                  • Прозрачен неинспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.

                                                                                                                                                  • Прозрачно тунелиране или проверка на прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTP или HTTPS на възлите. Възлите обаче се нуждаят от главен сертификат , така че да имат доверие на проксито. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).

                                                                                                                                                  • Изрично прокси —С изричен прокси вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:

                                                                                                                                                    1. Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.

                                                                                                                                                    2. Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.

                                                                                                                                                    3. Прокси протокол — В зависимост от това какво поддържа вашият прокси сървър , изберете между следните протоколи:

                                                                                                                                                      • HTTP – Преглежда и контролира всички заявки, които клиентът изпраща.

                                                                                                                                                      • HTTPS – Предоставя канал към сървъра. Клиентът получава и валидира сертификата на сървъра.

                                                                                                                                                    4. Тип на удостоверяването — Изберете измежду следните типове удостоверяване:

                                                                                                                                                      • Няма — не се изисква допълнително удостоверяване.

                                                                                                                                                        Достъпно, ако изберете HTTP или HTTPS като прокси протокол.

                                                                                                                                                      • Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.

                                                                                                                                                        Достъпно, ако изберете HTTP или HTTPS като прокси протокол.

                                                                                                                                                        Изисква да въведете потребителско име и парола на всеки възел.

                                                                                                                                                      • Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.

                                                                                                                                                        Достъпно само ако изберете HTTPS като прокси протокол.

                                                                                                                                                        Изисква да въведете потребителско име и парола на всеки възел.

                                                                                                                                                  Пример за хибридни възли за защита на данни и прокси

                                                                                                                                                  Тази диаграма показва примерна връзка между хибридната защита на данните, мрежата и прокси сървъра. За опциите за прозрачна проверка и HTTPS изрична проверка на прокси сървъра, един и същ главен сертификат трябва да бъде инсталиран на прокси сървъра и на възлите за хибридна защита на данните.

                                                                                                                                                  Блокиран режим на разделителна способност на външен DNS (изрични прокси конфигурации)

                                                                                                                                                  Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . При разгръщания с изрични прокси конфигурации, които не позволяват външна DNS резолюция за вътрешни клиенти, ако възелът не може да запита DNS сървърите, той автоматично преминава в режим на блокирана външна DNS разделителна способност. В този режим могат да продължат регистрацията на възел и други тестове за прокси свързаност.

                                                                                                                                                  Подгответе вашата среда

                                                                                                                                                  Изисквания за хибридна сигурност на данните

                                                                                                                                                  Изисквания за лиценз на Cisco Webex

                                                                                                                                                  За да внедрите хибридна защита на данните:

                                                                                                                                                  Изисквания за работния плот на Docker

                                                                                                                                                  Преди да инсталирате своите HDS възли, имате нужда от Docker Desktop, за да стартирате програма за настройка. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker актуализира и разширява нашите абонаменти за продукти ".

                                                                                                                                                  X.509 Изисквания за сертификат

                                                                                                                                                  верига за сертификати трябва да отговаря на следните изисквания:

                                                                                                                                                  Таблица 1. Изисквания за сертификат X.509 за внедряване на хибридна защита на данни

                                                                                                                                                  Изискване

                                                                                                                                                  Подробности

                                                                                                                                                  • Подписано от доверен орган за сертификати (CA)

                                                                                                                                                  По подразбиране ние вярваме на CA в списъка на Mozilla (с изключение на WoSign и StartCom) наhttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Носи име на име на домейн с общо име (CN), което идентифицира вашето внедряване на хибридна защита на данните

                                                                                                                                                  • Не е заместващ сертификат

                                                                                                                                                  CN не е необходимо да е достъпен или да е домакин на живо. Препоръчваме ви да използвате име, което отразява вашата организация, напр. hds.company.com.

                                                                                                                                                  CN не трябва да съдържа * (уместен знак).

                                                                                                                                                  CN се използва за проверка на възлите за хибридна защита на данните към клиентите на Webex App. Всички възли за хибридна защита на данните във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на домейна CN, а не всеки домейн, който е дефиниран в полетата на x.509v3 SAN.

                                                                                                                                                  След като сте регистрирали възел с този сертификат, ние не поддържаме промяна на име на домейн. Изберете домейн, който може да се прилага както за пробното, така и за производственото внедряване.

                                                                                                                                                  • Не-SHA1 подпис

                                                                                                                                                  Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки с KMS на други организации.

                                                                                                                                                  • Форматиран като защитен с парола файл PKCS #12

                                                                                                                                                  • Използвайте приятелското име на kms-private-key за да маркирате сертификата, частния ключ и всички междинни сертификати за качване.

                                                                                                                                                  Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат.

                                                                                                                                                  Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS.

                                                                                                                                                  Софтуерът KMS не налага използването на ключове или разширените ограничения за използване на ключове. Някои сертифициращи органи изискват разширените ограничения за използване на ключ да се прилагат към всеки сертификат, като например удостоверяване на сървъра. Добре е да използвате удостоверяването на сървъра или други настройки.

                                                                                                                                                  Изисквания за виртуален хост

                                                                                                                                                  Виртуалните хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер, имат следните изисквания:

                                                                                                                                                  • Най-малко два отделни хоста (препоръчани 3), разположени в един и същ защитен център за данни

                                                                                                                                                  • VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.


                                                                                                                                                     

                                                                                                                                                    Трябва да надстроите, ако имате по-ранна версия на ESXi.

                                                                                                                                                  • Минимум 4 vCPU, 8 GB основна памет, 30 GB локално пространство на твърдия диск на сървър

                                                                                                                                                  Изисквания за сървър на база данни


                                                                                                                                                   

                                                                                                                                                  Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни.

                                                                                                                                                  Има две опции за сървър на база с данни. Изискванията за всеки са както следва:

                                                                                                                                                  Таблица 2. Изисквания към сървъра за бази данни по тип база данни

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 или 16, инсталиран и работещ.

                                                                                                                                                  • Инсталиран SQL Server 2016, 2017 или 2019 (Enterprise или Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 изисква Service Pack 2 и Кумулативна актуализация 2 или по-нова версия.

                                                                                                                                                  Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта)

                                                                                                                                                  Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че няма превишаване (препоръчва се 2 TB, ако искате да работите с базата данни за дълго време, без да е необходимо да увеличавате паметта)

                                                                                                                                                  Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на сървър на база с данни:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC драйвер 42.2.5

                                                                                                                                                  SQL Server JDBC драйвер 4.6

                                                                                                                                                  Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстер при отказ и Групи за наличност Always On ).

                                                                                                                                                  Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server

                                                                                                                                                  Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за ключове на Microsoft SQL Server, тогава имате нужда от следната конфигурация във вашата среда:

                                                                                                                                                  • HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.

                                                                                                                                                  • Windows акаунтът, който предоставяте на HDS възлите, трябва да има достъп за четене/запис до базата данни.

                                                                                                                                                  • DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешат вашия център за разпространение на ключове (KDC).

                                                                                                                                                  • Можете да регистрирате екземпляра на база данни HDS на вашия Microsoft SQL Server като име на принципал на услуга (SPN) във вашата Active Directory. Виж Регистрирайте главно име на услуга за връзки с Kerberos .

                                                                                                                                                    Инструментът за настройка на HDS, HDS стартерът и локалният KMS трябва да използват удостоверяване на Windows за достъп до базата данни на хранилището за ключове. Те използват детайлите от вашата ISO конфигурация, за да конструират SPN, когато искат достъп с удостоверяване на Kerberos.

                                                                                                                                                  Изисквания за външна свързаност

                                                                                                                                                  Конфигурирайте вашата защитна стена, за да разрешите следната свързаност за HDS приложенията:

                                                                                                                                                  Приложение

                                                                                                                                                  Протокол

                                                                                                                                                  Порт

                                                                                                                                                  Упътване от ап

                                                                                                                                                  Дестинация

                                                                                                                                                  Възли за хибридна защита на данните

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Изходящ HTTPS и WSS

                                                                                                                                                  • Webex сървъри:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Всички хостове за обща идентичност

                                                                                                                                                  • Други URL адреси, които са изброени за хибридна защита на данните в Допълнителни URL адреси за хибридни услуги на Webex таблица на Мрежови изисквания за услугите на Webex

                                                                                                                                                  Инструмент за настройка на HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Изходящ HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Всички хостове за обща идентичност

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Възлите за хибридна защита на данните работят с транслация на мрежов достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към дестинациите на домейна в предходната таблица. За връзки, които отиват към възлите за хибридна защита на данните, не трябва да се виждат портове от интернет. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите за хибридна защита на данните на TCP портове 443 и 22 за административни цели.

                                                                                                                                                  URL адресите за хостовете за обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:

                                                                                                                                                  Регион

                                                                                                                                                  Общи URL адреси на хост за самоличност

                                                                                                                                                  Северна и Южна Америка

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Европейски съюз

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Канада

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Изисквания за прокси сървър

                                                                                                                                                  • Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли за хибридна защита на данните.

                                                                                                                                                  • Поддържаме следните комбинации от типове удостоверяване за изрични прокси сървъри:

                                                                                                                                                    • Няма удостоверяване с HTTP или HTTPS

                                                                                                                                                    • Основно удостоверяване с HTTP или HTTPS

                                                                                                                                                    • Дайджест удостоверяване само с HTTPS

                                                                                                                                                  • За прозрачно проверяващо прокси или HTTPS изрично прокси, трябва да имате копие на главен сертификат на проксито. Инструкциите за внедряване в това ръководство ви казват как да качите копието в хранилищата за доверие на възлите за хибридна защита на данните.

                                                                                                                                                  • Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик към порт 443 да се маршрутизира през прокси сървъра.

                                                                                                                                                  • Прокси сървърите, които проверяват уеб трафика, могат да попречат на връзките на уеб сокет. Ако възникне този проблем, заобикаляне (без проверка) на трафика към wbx2.com и ciscospark.com ще реши проблема.

                                                                                                                                                  Изпълнете предпоставките за хибридна защита на данните

                                                                                                                                                  Използвайте този контролен списък, за да се уверите, че сте готови да инсталирате и конфигурирате своя клъстер за хибридна защита на данните.
                                                                                                                                                  1

                                                                                                                                                  Уверете се, че вашата организация Webex е активирана за Pro Pack за Cisco Webex Control Hub и получете идентификационните данни за акаунт с пълни администраторски права на организация. Свържете се с вашия партньор на Cisco или мениджър на акаунт за помощ с този процес.

                                                                                                                                                  2

                                                                                                                                                  Изберете име на домейн за внедряването на HDS (например hds.company.com) и да получите верига за сертификати, съдържаща сертификат X.509, частен ключ и всякакви междинни сертификати. верига за сертификати трябва да отговаря на изискванията в X.509 Изисквания за сертификат .

                                                                                                                                                  3

                                                                                                                                                  Подгответе идентични виртуални хостове, които ще настройвам като възли за хибридна защита на данните във вашия клъстер. Имате нужда от поне два отделни хоста (3 препоръчани), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост .

                                                                                                                                                  4

                                                                                                                                                  Подгответе сървър на база с данни , който ще действа като хранилище на данни за клъстера, според Изисквания за сървър на база данни . Сървърът на сървър на база с данни трябва да бъде разположен в защитения център за данни с виртуалните хостове.

                                                                                                                                                  1. Създайте база данни за съхранение на ключове. (Трябва да създадете тази база данни - не използвайте базата данни по подразбиране. Приложенията HDS, когато са инсталирани, създават схемата на базата данни.)

                                                                                                                                                  2. Съберете подробностите, които възлите ще използват за комуникация със сървъра на сървър на база с данни:

                                                                                                                                                    • име на домакина или IP адрес (хост) и порта

                                                                                                                                                    • името на базата данни (dbname) за съхранение на ключове

                                                                                                                                                    • потребителското име и паролата на потребител с всички привилегии в базата данни за съхранение на ключове

                                                                                                                                                  5

                                                                                                                                                  За бързо възстановяване след срив, настройвам среда за архивиране в различен център за данни. Архивната среда отразява производствената среда на виртуални машини и сървър за архивиране на сървър на база с данни. Например, ако производството има 3 VM, работещи с HDS възли, средата за архивиране трябва да има 3 VM.

                                                                                                                                                  6

                                                                                                                                                  Настройте хост на syslog за събиране на регистрационни файлове от възлите в клъстера. Съберете неговия мрежов адрес и порт на системния журнал (по подразбиране е UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Създайте защитена политика за архивиране за възлите за хибридна защита на данните, сървър на база с данни и хоста на системния журнал. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите за хибридна защита на данните.


                                                                                                                                                   

                                                                                                                                                  Тъй като възлите за защита на хибридните данни съхраняват ключовете, използвани за криптиране и декриптиране на съдържание, неспособността да се поддържа оперативно внедряване ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА от това съдържание.

                                                                                                                                                  Клиентите на Webex App кешират своите ключове, така че прекъсването може да не се забележи веднага, но ще стане очевидно с времето. Докато временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Въпреки това, пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите за хибридна защита на данни да поддържат чести архиви на базата данни и конфигурационния ISO файл и да бъдат готови да изградят отново център за данни, ако възникне катастрофална повреда.

                                                                                                                                                  8

                                                                                                                                                  Уверете се, че конфигурацията на защитната ви стена позволява свързаност за вашите възли за хибридна защита на данните, както е посочено в Изисквания за външна свързаност .

                                                                                                                                                  9

                                                                                                                                                  Инсталирайте Docker (https://www.docker.com ) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова, или Mac OSX Yosemite 10.10.3 или по-нова) с уеб браузър, който има достъп до нея на http://127.0.0.1:8080.

                                                                                                                                                  Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда информация за конфигуриране за всички възли за защита на хибридните данни. Вашата организация може да се нуждае от лиценз за Docker Desktop. Виж Изисквания за работния плот на Docker за повече информация.

                                                                                                                                                  За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има очертана свързаност Изисквания за външна свързаност .

                                                                                                                                                  10

                                                                                                                                                  Ако интегрирате прокси с Hybrid Data Security, уверете се, че отговаря на Изисквания за прокси сървър .

                                                                                                                                                  11

                                                                                                                                                  Ако вашата организация използва синхронизиране на директории, създайте група в Active Directory , наречена HdsTrialGroup и добавете пилотни потребители. Пробната група може да има до 250 потребители. На HdsTrialGroup обектът трябва да бъде синхронизиран с облака, преди да можете да започнете пробна версия за вашата организация. За да синхронизирате групов обект, изберете го в конектора на директория Конфигурация > Избор на обект меню. (За подробни инструкции вижте Ръководство за разгръщане на Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Ключовете за дадено пространство се задават от създателя на пространството. Когато избирате пилотни потребители, имайте предвид, че ако решите да деактивирате за постоянно внедряването на Hybrid Data Security, всички потребители губят достъп до съдържание в пространствата, създадени от пилотните потребители. Загубата става очевидна веднага щом приложенията на потребителите обновят своите кеширани копия на съдържанието.

                                                                                                                                                  Създайте хибриден клъстер за сигурност на данните

                                                                                                                                                  Поток на задачи за внедряване на хибридна защита на данните

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Подгответе вашата среда

                                                                                                                                                  1

                                                                                                                                                  Изтеглете инсталационни файлове

                                                                                                                                                  Изтеглете OVA файла на вашата локална машина за по-късна употреба.

                                                                                                                                                  2

                                                                                                                                                  Създайте ISO конфигурация за HDS хостовете

                                                                                                                                                  Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите за хибридна защита на данните.

                                                                                                                                                  3

                                                                                                                                                  Инсталирайте HDS Host OVA

                                                                                                                                                  Създайте виртуална машина от файла OVA и извършете първоначална конфигурация, като мрежови настройки.


                                                                                                                                                   

                                                                                                                                                  Опцията за конфигуриране на мрежови настройки по време на внедряване на OVA е тествана с ESXi 6.5. Възможно е опцията да не е налична в по-ранните версии.

                                                                                                                                                  4

                                                                                                                                                  Настройте хибридната VM машина за защита на данните

                                                                                                                                                  Влезте в конзолата на VM и задайте идентификационните данни за вход. Конфигурирайте мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.

                                                                                                                                                  5

                                                                                                                                                  Качете и монтирайте ISO конфигурацията на HDS

                                                                                                                                                  Конфигурирайте VM от ISO конфигурационен файл , който сте създали с инструмента за настройка на HDS.

                                                                                                                                                  6

                                                                                                                                                  Конфигурирайте HDS възел за прокси интеграция

                                                                                                                                                  Ако мрежовата среда изисква конфигурация на прокси сървър, посочете типа прокси, който ще използвате за възела, и добавете прокси сертификата към хранилището за доверие, ако е необходимо.

                                                                                                                                                  7

                                                                                                                                                  Регистрирайте първия възел в клъстера

                                                                                                                                                  Регистрирайте VM с облака на Cisco Webex като възел за хибридна защита на данните.

                                                                                                                                                  8

                                                                                                                                                  Създайте и регистрирайте още възли

                                                                                                                                                  Завършете настройката на клъстера.

                                                                                                                                                  9

                                                                                                                                                  Изпълнете пробна версия и преминете към производство (следваща глава)

                                                                                                                                                  Докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.

                                                                                                                                                  Изтеглете инсталационни файлове

                                                                                                                                                  В тази задача изтегляте OVA файл на вашата машина (не на сървърите, които сте настройвам като възли за хибридна защита на данните). Използвате този файл по-късно в процеса на инсталиране.
                                                                                                                                                  1

                                                                                                                                                  Влезте вhttps://admin.webex.com и след това щракнете Услуги .

                                                                                                                                                  2

                                                                                                                                                  В секцията Хибридни услуги намерете картата за защита на хибридни данни и след това щракнете Настройте .

                                                                                                                                                  Ако картата е деактивирана или не я виждате, свържете се с екипа на акаунта си или с партньорската си организация. Дайте им номера на вашата сметка и поискайте да активирате вашата организация за хибридна защита на данните. За да намерите номера на сметката, щракнете върху зъбното колело горе вдясно до името на вашата организация.


                                                                                                                                                   

                                                                                                                                                  Можете също да изтеглите OVA по всяко време от Помощ раздел за Настройки страница. На картата за защита на хибридни данни щракнете Редактиране на настройките за да отворите страницата. След това щракнете Изтеглете софтуера за хибридна защита на данните в Помощ раздел.


                                                                                                                                                   

                                                                                                                                                  По-старите версии на софтуерния пакет (OVA) няма да са съвместими с най-новите надстройки за хибридна защита на данните. Това може да доведе до проблеми при надграждане на приложението. Уверете се, че сте изтеглили най-новата версия на файла OVA.

                                                                                                                                                  3

                                                                                                                                                  Изберете не за да посочите, че все още не сте настройвам възела, и след това щракнете Следваща .

                                                                                                                                                  OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
                                                                                                                                                  4

                                                                                                                                                  По желание щракнете Отворете Ръководство за разгръщане за да проверите дали има налична по-нова версия на това ръководство.

                                                                                                                                                  Създайте ISO конфигурация за HDS хостовете

                                                                                                                                                  Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO , за да конфигурирате вашия хост за хибридна защита на данни.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.

                                                                                                                                                    Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате Docker контейнера в стъпка 5 . Тази таблица дава някои възможни променливи на средата:

                                                                                                                                                    Описание

                                                                                                                                                    Променлива

                                                                                                                                                    HTTP прокси без удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS прокси без удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP прокси с удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS прокси с удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Конфигурационният ISO файл, който генерирате, съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от последното копие на този файл всеки път, когато правите промени в конфигурацията, като тези:

                                                                                                                                                    • Данни за база данни

                                                                                                                                                    • Актуализации на сертификата

                                                                                                                                                    • Промени в политиката за оторизация

                                                                                                                                                  • Ако планирате да шифровате връзките към базата данни, настройвам внедряването на PostgreSQL или SQL Server за TLS.

                                                                                                                                                  1

                                                                                                                                                  В командния ред на вашата машина въведете подходящата команда за вашата среда:

                                                                                                                                                  В редовна среда:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  В FedRAMP среди:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Тази стъпка почиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

                                                                                                                                                  2

                                                                                                                                                  За да влизам в регистъра на изображенията на Docker, въведете следното:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  При подкана за парола въведете този хеш:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Изтеглете най-новото стабилно изображение за вашата среда:

                                                                                                                                                  В редовна среда:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  В FedRAMP среди:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Когато изтеглянето завърши, въведете подходящата команда за вашата среда:

                                                                                                                                                  • В обикновени среди без прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • В обикновени среди с HTTP прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • В обикновени среди с HTTPS прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • В FedRAMP среди без прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • В FedRAMP среди с HTTP прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • В FedRAMP среди с HTTPS прокси:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Инструментът за настройка не поддържа свързване към localhost чрез http://localhost:8080 . Използвайтеhttp://127.0.0.1:8080 за да се свържете с локален хост.

                                                                                                                                                  Използвайте уеб браузър, за да отидете на локалния хост, http://127.0.0.1:8080 и въведете потребителско име на администратор на клиента за Control Hub при подкана.

                                                                                                                                                  Инструментът използва това първо въвеждане на потребителското име, за да зададе подходящата среда за този акаунт. След това инструментът показва стандартната подкана за вход.

                                                                                                                                                  7

                                                                                                                                                  Когато бъдете подканени, въведете вашите идентификационни данни за вход на администратор на клиента Control Hub и след това щракнете Влезте за да разрешите достъп до необходимите услуги за хибридна защита на данните.

                                                                                                                                                  8

                                                                                                                                                  На страницата за преглед на инструмента за настройка щракнете Започнете .

                                                                                                                                                  9

                                                                                                                                                  На ISO импортиране страница, имате следните опции:

                                                                                                                                                  • не —Ако създавате първия си HDS възел, нямате ISO файл за качване.
                                                                                                                                                  • да —Ако вече сте създали HDS възли, тогава избирате своя ISO файл в прегледа и го качвате.
                                                                                                                                                  10

                                                                                                                                                  Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат .

                                                                                                                                                  • Ако никога досега не сте качвали сертификат, качете сертификата X.509, въведете паролата и щракнете Продължете .
                                                                                                                                                  • Ако сертификатът ви е ОК, щракнете Продължете .
                                                                                                                                                  • Ако вашият сертификат е изтекъл или искате да го замените, изберете не за Да продължите ли да използвате верига за сертификати и частен ключ от предишен ISO? . Качете нов сертификат X.509, въведете паролата и щракнете Продължете .
                                                                                                                                                  11

                                                                                                                                                  Въведете адреса на базата данни и акаунт за HDS за достъп до вашето ключово хранилище за данни:

                                                                                                                                                  1. Изберете своя Тип база данни ( PostgreSQL или Microsoft SQL Server ).

                                                                                                                                                    Ако изберете Microsoft SQL Server , получавате поле Тип на удостоверяването .

                                                                                                                                                  2. ( Microsoft SQL Server само) Изберете своя Тип на удостоверяването :

                                                                                                                                                    • Основно удостоверяване : Имате нужда от име на профила в SQL Server в Потребителско име поле.

                                                                                                                                                    • Удостоверяване на Windows : Нуждаете се от акаунт в Windows във формата username@DOMAIN в Потребителско име поле.

                                                                                                                                                  3. Въведете адреса на сървър на база с данни във формуляра <hostname>:<port> или <IP-address>:<port>.

                                                                                                                                                    Пример:
                                                                                                                                                    dbhost.example.org:1433 или 198.51.100.17:1433

                                                                                                                                                    Можете да използвате IP адрес за основно удостоверяване, ако възлите не могат да използват DNS за разрешаване на името на хоста.

                                                                                                                                                    Ако използвате удостоверяване на Windows, трябва да въведете напълно квалифицирано име на домейн във формата dbhost.example.org:1433

                                                                                                                                                  4. Въведете Име на базата данни .

                                                                                                                                                  5. Въведете Потребителско име и парола на потребител с всички привилегии в базата данни за съхранение на ключове.

                                                                                                                                                  12

                                                                                                                                                  Изберете a TLS режим на връзка с база данни :

                                                                                                                                                  Режим

                                                                                                                                                  Описание

                                                                                                                                                  Предпочитайте TLS (опция по подразбиране)

                                                                                                                                                  HDS възлите не изискват TLS за свързване към сървъра на сървър на база с данни. Ако активирате TLS на сървъра на сървър на база с данни, възлите се опитват да установят криптирана връзка.

                                                                                                                                                  Изисквайте TLS

                                                                                                                                                  HDS възлите се свързват само ако сървърът на сървър на база с данни може да договаря TLS.

                                                                                                                                                  Изисквайте TLS и потвърдете подписващия сертификат


                                                                                                                                                   

                                                                                                                                                  Този режим не е приложим за бази данни на SQL Server.

                                                                                                                                                  • HDS възлите се свързват само ако сървърът на сървър на база с данни може да договаря TLS.

                                                                                                                                                  • След установяване на TLS връзка, възелът сравнява подписващия сертификат от сървър на база с данни с сертифициращия орган в главен сертификат на базата данни . Ако не съвпадат, възелът прекратява връзката.

                                                                                                                                                  Използвайте главен сертификат на базата данни контрол под падащото меню, за да качите главен сертификат за тази опция.

                                                                                                                                                  Изисквайте TLS и проверете подписващия сертификат и името на хоста

                                                                                                                                                  • HDS възлите се свързват само ако сървърът на сървър на база с данни може да договаря TLS.

                                                                                                                                                  • След установяване на TLS връзка, възелът сравнява подписващия сертификат от сървър на база с данни с сертифициращия орган в главен сертификат на базата данни . Ако не съвпадат, възелът прекратява връзката.

                                                                                                                                                  • Възлите също така проверяват дали името на хоста в сертификат на сървъра съвпада с името на хоста в Хост на базата данни и порт поле. Имената трябва да съвпадат точно, или възелът прекъсва връзката.

                                                                                                                                                  Използвайте главен сертификат на базата данни контрол под падащото меню, за да качите главен сертификат за тази опция.

                                                                                                                                                  Когато качите главен сертификат (ако е необходимо) и щракнете Продължете , инструментът за настройка на HDS тества TLS връзката към сървъра на сървър на база с данни. Инструментът също така проверява подписващия сертификат и името на хоста, ако е приложимо. Ако тестът е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с инструмент за настройка на HDS не може успешно да я тества.)

                                                                                                                                                  13

                                                                                                                                                  На страницата System Logs конфигурирайте вашия Syslogd сървър:

                                                                                                                                                  1. Въведете URL на syslog сървъра.

                                                                                                                                                    Ако сървърът не е DNS-разрешим от възлите за вашия HDS клъстер, използвайте IP адрес в URL.

                                                                                                                                                    Пример:
                                                                                                                                                    udp://10.92.43.23:514 показва регистриране към хост Syslogd 10.92.43.23 на UDP порт 514.
                                                                                                                                                  2. Ако сте настройвам вашия сървър да използва TLS криптиране, проверете Вашият syslog сървър конфигуриран ли е за SSL криптиране? .

                                                                                                                                                    Ако поставите отметка в това поле за отметка, уверете се, че сте въвели TCP URL , като напр tcp://10.92.43.23:514.

                                                                                                                                                  3. От Изберете прекратяване на запис на syslog падащо меню изберете подходящата настройка за вашия ISO файл: Изберете или Newline се използва за Graylog и Rsyslog TCP

                                                                                                                                                    • Нулев байт -- \x00

                                                                                                                                                    • Нов ред -- \n —Изберете този избор за Graylog и Rsyslog TCP.

                                                                                                                                                  4. Щракнете върху Продължаване.

                                                                                                                                                  14

                                                                                                                                                  (По избор) Можете да промените стойност по подразбиране за някои параметри на връзката към базата данни в Разширени настройки . По принцип този параметър е единственият, който може да искате да промените:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Щракнете върху Продължете на Нулиране на паролата за сервизни акаунти екран.

                                                                                                                                                  Паролите за акаунти за услуги имат деветмесечен живот. Използвайте този екран, когато паролите ви изтичат или искате да ги нулирате, за да анулирате предишни ISO файлове.

                                                                                                                                                  16

                                                                                                                                                  Щракнете върху Изтеглете ISO файл . Запазете файла на място, което е лесно за намиране.

                                                                                                                                                  17

                                                                                                                                                  Направете резервно копие на ISO файла във вашата локална система.

                                                                                                                                                  Пазете резервното копие сигурно. Този файл съдържа главен ключ за шифроване за съдържанието на базата данни. Ограничете достъпа само до онези администратори на Hybrid Data Security, които трябва да направят промени в конфигурацията.

                                                                                                                                                  18

                                                                                                                                                  За да изключите инструмента за настройка, въведете CTRL+C.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Архивирайте конфигурационния ISO файл. Нуждаете се от него, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, вие също сте загубили главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.


                                                                                                                                                   

                                                                                                                                                  Никога нямаме копие на този ключ и не можем да помогнем, ако го загубите.

                                                                                                                                                  Инсталирайте HDS Host OVA

                                                                                                                                                  Използвайте тази процедура, за да създадете виртуална машина от OVA файла.
                                                                                                                                                  1

                                                                                                                                                  Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi.

                                                                                                                                                  2

                                                                                                                                                  Изберете Файл > Внедряване на OVF шаблон .

                                                                                                                                                  3

                                                                                                                                                  В съветника посочете местоположението на файла OVA, който сте изтеглили по-рано, и след това щракнете Следваща .

                                                                                                                                                  4

                                                                                                                                                  На Изберете име и папка страница, въведете a Име на виртуална машина за възела (например „HDS_ Нode_ 1"), изберете местоположение, където може да се намира разгръщането на възела на виртуална машина , и след това щракнете Следваща .

                                                                                                                                                  5

                                                                                                                                                  На Изберете изчислителен ресурс страница, изберете целевия изчислителен ресурс и след това щракнете Следваща .

                                                                                                                                                  Изпълнява се проверка за валидиране. След като приключи, се появяват подробностите за шаблона.

                                                                                                                                                  6

                                                                                                                                                  Проверете детайлите на шаблона и след това щракнете Следваща .

                                                                                                                                                  7

                                                                                                                                                  Ако бъдете помолени да изберете конфигурацията на ресурса на Конфигурация страница, щракнете 4 CPU и след това щракнете Следваща .

                                                                                                                                                  8

                                                                                                                                                  На Изберете място за съхранение страница, щракнете Следваща за да приемете дисковия формат по подразбиране и политиката за съхранение на VM .

                                                                                                                                                  9

                                                                                                                                                  На Изберете мрежи страница, изберете опцията за мрежа от списъка с записи, за да осигурите желаната свързаност към VM.

                                                                                                                                                  10

                                                                                                                                                  На Персонализирайте шаблона страница, конфигурирайте следните мрежови настройки:

                                                                                                                                                  • Име на хост — Въведете FQDN (име на хост и домейн) или име на хост от една дума за възела.

                                                                                                                                                     
                                                                                                                                                    • Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509.

                                                                                                                                                    • За да осигурите успешна регистрация в облака, използвайте само малки букви в FQDN или името на хост, които сте задали за възела. Понастоящем изписването с главни букви не се поддържа.

                                                                                                                                                    • Общата дължина на FQDN не трябва да надвишава 64 знака.

                                                                                                                                                  • IP адрес — Въведете IP адрес за вътрешния интерфейс на възела.

                                                                                                                                                     

                                                                                                                                                    Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.

                                                                                                                                                  • маска — Въведете адреса на маска на подмрежата в десетична нотация. например 255.255.255.0 .
                                                                                                                                                  • Портал — Въведете IP адрес на шлюза. Шлюзът е мрежов възел, който служи като точка на достъп до друга мрежа.
                                                                                                                                                  • DNS сървъри — Въведете разделен със запетая списък с DNS сървъри, които обработват преобразуването на имена на домейни в цифрови IP адреси. (Разрешени са до 4 DNS записа.)
                                                                                                                                                  • NTP сървъри — Въведете NTP сървър на вашата организация или друг външен NTP сървър , който може да се използва във вашата организация. NTP сървърите по подразбиране може да не работят за всички предприятия. Можете също да използвате разделен със запетая списък, за да въведете множество NTP сървъри.
                                                                                                                                                  • Разположете всички възли в една и съща подмрежа или VLAN, така че всички възли в клъстер да са достъпни от клиенти във вашата мрежа за административни цели.

                                                                                                                                                  Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройте хибридната VM машина за защита на данните за да конфигурирате настройките от конзолата на възела.


                                                                                                                                                   

                                                                                                                                                  Опцията за конфигуриране на мрежови настройки по време на внедряване на OVA е тествана с ESXi 6.5. Възможно е опцията да не е налична в по-ранните версии.

                                                                                                                                                  11

                                                                                                                                                  Щракнете с десния бутон върху възела VM и след това изберете Мощност > Включване .

                                                                                                                                                  Софтуерът Hybrid Data Security се инсталира като гост на VM Host. Вече сте готови да влизам в конзолата и да конфигурирате възела.

                                                                                                                                                  Съвети за отстраняване на неизправности

                                                                                                                                                  Може да изпитате закъснение от няколко минути, преди да излязат контейнерите на възела. Съобщение за мостова защитна стена се появява на конзолата по време на първото стартиране, по време на което не можете да влизам.

                                                                                                                                                  Настройте хибридната VM машина за защита на данните

                                                                                                                                                  Използвайте тази процедура, за да влизам в конзолата за VM на възела на хибридната защита на данните за първи път и да зададете идентификационните данни за вход. Можете също да използвате конзолата, за да конфигурирате мрежови настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.

                                                                                                                                                  1

                                                                                                                                                  В клиента VMware vSphere изберете своя VM възел за хибридна защита на данните и изберете Конзола раздел.

                                                                                                                                                  VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Въведете .
                                                                                                                                                  2

                                                                                                                                                  Използвайте следното потребителско име и парола по подразбиране, за да влизам и промените идентификационните данни:

                                                                                                                                                  1. Вход: admin

                                                                                                                                                  2. Парола: cisco

                                                                                                                                                  Тъй като влизате във вашата VM за първи път, от вас се изисква да промените паролата на администратор.

                                                                                                                                                  3

                                                                                                                                                  Ако вече сте конфигурирали мрежови настройки в Инсталирайте HDS Host OVA , пропуснете останалата част от тази процедура. В противен случай в главно меню изберете Редактиране на конфигурация опция.

                                                                                                                                                  4

                                                                                                                                                  Настройте статична конфигурация с информация за IP адрес, маска, шлюз и DNS . Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.

                                                                                                                                                  5

                                                                                                                                                  (По избор) Променете името на хоста, домейна или NTP сървър(ите), ако е необходимо, за да съответства на вашата мрежова политика.

                                                                                                                                                  Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали за получаване на сертификата X.509.

                                                                                                                                                  6

                                                                                                                                                  Запазете мрежова конфигурация и рестартирайте VM , така че промените да влязат в сила.

                                                                                                                                                  Качете и монтирайте ISO конфигурацията на HDS

                                                                                                                                                  Използвайте тази процедура, за да конфигурирате виртуална машина от ISO файла, който сте създали с инструмента за настройка на HDS.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на базата на „необходимост да се знае“ за достъп от хибридните виртуални машини за защита на данните и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до хранилището на данни.

                                                                                                                                                  1

                                                                                                                                                  Качете ISO файла от вашия компютър:

                                                                                                                                                  1. В левия навигационен панел на клиента VMware vSphere щракнете върху ESXi сървъра.

                                                                                                                                                  2. В списъка Хардуер на раздела Конфигурация щракнете Съхранение .

                                                                                                                                                  3. В списъка Datastores щракнете с щраквам с десния бутон върху хранилището на данни за вашите VM и щракнете Преглед на Datastore .

                                                                                                                                                  4. Щракнете върху иконата за качване на файлове и след това щракнете върху Качване на файл .

                                                                                                                                                  5. Отидете до мястото, където сте изтеглили ISO файла на вашия компютър и щракнете Отвори .

                                                                                                                                                  6. Щракнете върху да за да приемете предупреждението за операцията за качване/изтегляне и затворете диалоговия прозорец за съхранение на данни.

                                                                                                                                                  2

                                                                                                                                                  Монтирайте ISO файла:

                                                                                                                                                  1. В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките .

                                                                                                                                                  2. Щракнете върху ОК за да приемете предупреждението за ограничени опции за редактиране.

                                                                                                                                                  3. Щракнете върху CD/DVD Drive 1, изберете опцията за монтиране от ISO файл на хранилище за данни и прегледайте мястото, където сте качили конфигурационния ISO файл.

                                                                                                                                                  4. Проверете Свързани и Свържете при включване .

                                                                                                                                                  5. Запазете промените и рестартирайте виртуална машина.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Ако вашата ИТ политика изисква, можете по избор да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Виж (По избор) Демонтирайте ISO след HDS конфигурация за подробности.

                                                                                                                                                  Конфигурирайте HDS възел за прокси интеграция

                                                                                                                                                  Ако мрежовата среда изисква прокси, използвайте тази процедура, за да посочите типа прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачно прокси за проверка или HTTPS изрично прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главен сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните евентуални проблеми.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  1

                                                                                                                                                  Въведете URL за настройка на HDS възел https://[HDS Node IP or FQDN]/setup в уеб браузър, въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте .

                                                                                                                                                  2

                                                                                                                                                  Отидете на Доверен магазин и прокси и след това изберете опция:

                                                                                                                                                  • Без прокси —Опция по опция по подразбиране, преди да интегрирате прокси. Не се изисква актуализация на сертификата.
                                                                                                                                                  • Прозрачен прокси без проверка — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър и не трябва да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
                                                                                                                                                  • Прозрачен инспектиращ прокси — Възлите не са конфигурирани да използват конкретен адрес на прокси сървър . Не са необходими промени в конфигурацията на HTTPS при внедряването на хибридна защита на данните, но HDS възлите се нуждаят от главен сертификат , така че да имат доверие на прокси сървъра. Проверяващите прокси сървъри обикновено се използват от ИТ за налагане на политики за това кои уебсайтове могат да бъдат посещавани и кои видове съдържание не са разрешени. Този тип прокси декриптира целия ви трафик (дори HTTPS).
                                                                                                                                                  • Изрично прокси —С изричен прокси, вие казвате на клиента (HDS възли) кой прокси сървър да използва и тази опция поддържа няколко типа удостоверяване. След като изберете тази опция, трябва да въведете следната информация:
                                                                                                                                                    1. Прокси IP/ FQDN — Адрес, който може да се използва за достигане до прокси машината.

                                                                                                                                                    2. Прокси порт —Номер на номер на порт , който проксито използва за прослушване на прокси трафик.

                                                                                                                                                    3. Прокси протокол — Изберете http (преглежда и контролира всички заявки, които се получават от клиента) или https (предоставя канал към сървъра, а клиентът получава и валидира сертификата на сървъра). Изберете опция въз основа на това, което поддържа вашият прокси сървър .

                                                                                                                                                    4. Тип на удостоверяването — Изберете измежду следните типове удостоверяване:

                                                                                                                                                      • Няма — не се изисква допълнително удостоверяване.

                                                                                                                                                        Предлага се за HTTP или HTTPS прокси сървъри.

                                                                                                                                                      • Основен —Използва се за HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.

                                                                                                                                                        Предлага се за HTTP или HTTPS прокси сървъри.

                                                                                                                                                        Ако изберете тази опция, трябва също да въведете потребителско име и парола.

                                                                                                                                                      • Дайджест —Използва се за потвърждение на акаунта преди изпращане на чувствителна информация. Прилага хеш функция върху потребителското име и паролата преди изпращане по мрежата.

                                                                                                                                                        Предлага се само за HTTPS прокси сървъри.

                                                                                                                                                        Ако изберете тази опция, трябва също да въведете потребителско име и парола.

                                                                                                                                                  Следвайте следващите стъпки за прозрачно прокси за проверка, HTTP изрично прокси с основно удостоверяване или HTTPS изрично прокси.

                                                                                                                                                  3

                                                                                                                                                  Щракнете върху Качете главен сертификат или сертификат за краен обект и след това отидете до a изберете главен сертификат за прокси сървъра.

                                                                                                                                                  Сертификатът е качен, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката на шеврон до името на издателя на сертификата, за да получите повече подробности, или щракнете Изтрийте ако сте направили грешка и искате да качите отново файла.

                                                                                                                                                  4

                                                                                                                                                  Щракнете върху Проверете прокси връзката за да тествате връзка с мрежата между възела и проксито.

                                                                                                                                                  Ако тестът на връзката е неуспешен, ще видите съобщение за грешка , което показва причината и как можете да коригирате проблема.

                                                                                                                                                  Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на Blocked External DNS Resolution. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключете Blocked External DNS Resolution Mode .

                                                                                                                                                  5

                                                                                                                                                  След като тестът на връзката премине, за изрично прокси, настроено само на https, включете превключвателя на Насочете всички заявки към порт 443/444 https от този възел през изричния прокси сървър . Тази настройка изисква 15 секунди, за да влезе в сила.

                                                                                                                                                  6

                                                                                                                                                  Щракнете върху Инсталирайте всички сертификати в Trust Store (появява се за HTTPS изричен прокси или прозрачен проверяващ прокси) или Рестартирайте (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете Инсталирайте ако си готов.

                                                                                                                                                  Възелът се рестартира в рамките на няколко минути.

                                                                                                                                                  7

                                                                                                                                                  След като възелът се рестартира, влизам отново, ако е необходимо, и след това отворете Общ преглед страница, за да проверите проверките за свързаност, за да се уверите, че всички са в зелено състояние.

                                                                                                                                                  Проверката на прокси връзката тества само поддомейн на webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират на прокси сървъра.

                                                                                                                                                  Регистрирайте първия възел в клъстера

                                                                                                                                                  Тази задача приема общия възел, който сте създали в Настройте хибридната VM машина за защита на данните , регистрира възела в облака Webex и го превръща в възел за хибридна защита на данните.

                                                                                                                                                  Когато регистрирате първия си възел, вие създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на излишък.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.

                                                                                                                                                  • Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Влезте в https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  От менюто в лявата част на екрана изберете Услуги .

                                                                                                                                                  3

                                                                                                                                                  В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройте .

                                                                                                                                                  Появява се страницата Register Hybrid Data Security Node.
                                                                                                                                                  4

                                                                                                                                                  Изберете да за да посочите, че сте настройвам възела и сте готови да го регистрирате, и след това щракнете Следваща .

                                                                                                                                                  5

                                                                                                                                                  В първото поле въведете име за клъстера, към който искате да присвоите своя възел за хибридна защита на данните.

                                                                                                                                                  Препоръчваме ви да назовете клъстер въз основа на това къде се намират възлите на клъстера географски. Примери: "Сан Франциско" или "Ню Йорк" или "Далас"

                                                                                                                                                  6

                                                                                                                                                  Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща .

                                                                                                                                                  Този IP адрес или FQDN трябва да съвпада с IP адрес или името на хоста и домейна, в който сте използвали Настройте хибридната VM машина за защита на данните .

                                                                                                                                                  Появява се съобщение, което показва, че можете да регистрирате своя възел в Webex.
                                                                                                                                                  7

                                                                                                                                                  Щракнете върху Отидете на Node .

                                                                                                                                                  8

                                                                                                                                                  Щракнете върху Продължете в предупредително съобщение.

                                                                                                                                                  След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата Webex организация за достъп до вашия възел.
                                                                                                                                                  9

                                                                                                                                                  Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете .

                                                                                                                                                  Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
                                                                                                                                                  10

                                                                                                                                                  Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub.

                                                                                                                                                  На Хибридна сигурност на данните страница, се показва новият клъстер, съдържащ възела, който сте регистрирали. Възелът автоматично ще изтегли най-новия софтуер от облака.

                                                                                                                                                  Създайте и регистрирайте още възли

                                                                                                                                                  За да добавите допълнителни възли към вашия клъстер, просто създавате допълнителни VM и монтирате същия конфигурационен ISO файл, след което регистрирате възела. Препоръчваме ви да имате поне 3 възела.

                                                                                                                                                   

                                                                                                                                                  По това време резервните виртуални машини, в които сте създали Изпълнете предпоставките за хибридна защита на данните са резервни хостове, които се използват само в случай на възстановяване след срив; дотогава те не са регистрирани в системата. За подробности вж Възстановяване при бедствия с помощта на Център за данни в режим на готовност .

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • След като започнете регистрацията на възел, трябва да го завършите в рамките на 60 минути или трябва да започнете отначало.

                                                                                                                                                  • Уверете се, че всички блокиращи изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталирайте HDS Host OVA .

                                                                                                                                                  2

                                                                                                                                                  Настройте първоначалната конфигурация на новата VM, като повторите стъпките в Настройте хибридната VM машина за защита на данните .

                                                                                                                                                  3

                                                                                                                                                  На новата VM повторете стъпките в Качете и монтирайте ISO конфигурацията на HDS .

                                                                                                                                                  4

                                                                                                                                                  Ако настройвате прокси за внедряването си, повторете стъпките в Конфигурирайте HDS възел за прокси интеграция както е необходимо за новия възел.

                                                                                                                                                  5

                                                                                                                                                  Регистрирайте възела.

                                                                                                                                                  1. Вhttps://admin.webex.com , изберете Услуги от менюто в лявата част на екрана.

                                                                                                                                                  2. В секцията Хибридни услуги намерете картата за защита на хибридни данни и щракнете Ресурси .

                                                                                                                                                    Появява се страницата Ресурси за защита на хибридните данни.
                                                                                                                                                  3. Щракнете върху Добавяне на ресурс .

                                                                                                                                                  4. В първото поле изберете името на съществуващия си клъстер.

                                                                                                                                                  5. Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете Следваща .

                                                                                                                                                    Появява се съобщение, което показва, че можете да регистрирате своя възел в облака на Webex .
                                                                                                                                                  6. Щракнете върху Отидете на Node .

                                                                                                                                                    След няколко минути ще бъдете пренасочени към тестовете за свързване на възел за услугите на Webex . Ако всички тестове са успешни, се появява страницата Разрешаване на достъп до възел за защита на хибридни данни. Там потвърждавате, че искате да дадете разрешения на вашата организация за достъп до вашия възел.
                                                                                                                                                  7. Проверете Разрешете достъп до вашия възел за защита на хибридни данни квадратче за отметка и след това щракнете Продължете .

                                                                                                                                                    Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака на Webex .
                                                                                                                                                  8. Щракнете върху връзката или затворете раздела, за да се върнете към страницата за защита на хибридните данни на Control Hub.

                                                                                                                                                  Вашият възел е регистриран. Имайте предвид, че докато не започнете пробна версия, вашите възли генерират аларма, показваща, че вашата услуга все още не е активирана.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Изпълнете пробна версия и преминете към производство (следваща глава)
                                                                                                                                                  Изпълнете пробна версия и преминете към производство

                                                                                                                                                  Поток на задачата от пробна и производствена

                                                                                                                                                  След като настройвам клъстер за хибридна защита на данни, можете да стартирате пилотен, да добавите потребители към него и да започнете да го използвате за тестване и проверка на внедряването си в подготовка за преминаване към производство.

                                                                                                                                                  1

                                                                                                                                                  Ако е приложимо, синхронизирайте HdsTrialGroup групов обект.

                                                                                                                                                  Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Активирайте пробна версия

                                                                                                                                                  Започнете изпитание. Докато не изпълните тази задача, вашите възли генерират аларма, показваща, че услугата все още не е активирана.

                                                                                                                                                  3

                                                                                                                                                  Тествайте внедряването на вашата хибридна защита на данните

                                                                                                                                                  Проверете дали ключовите заявки преминават към внедряването на вашата хибридна защита на данните.

                                                                                                                                                  4

                                                                                                                                                  Наблюдавайте здравето на хибридната защита на данните

                                                                                                                                                  Проверете състоянието и настройвам известия по имейл за аларми.

                                                                                                                                                  5

                                                                                                                                                  Добавяне или премахване на потребители от вашия пробен период

                                                                                                                                                  6

                                                                                                                                                  Завършете пробната фаза с едно от следните действия:

                                                                                                                                                  Активирайте пробна версия

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Ако вашата организация използва синхронизиране на директории за потребители, трябва да изберете HdsTrialGroup групов обект за синхронизиране с облака, преди да можете да започнете пробна версия за вашата организация. За инструкции вижте Ръководство за разгръщане на Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Влезте вhttps://admin.webex.com и след това изберете Услуги .

                                                                                                                                                  2

                                                                                                                                                  Под Hybrid Data Security щракнете върху Настройки .

                                                                                                                                                  3

                                                                                                                                                  В секцията Състояние на услугата щракнете Започнете пробна версия .

                                                                                                                                                  Състоянието на услугата се променя на пробен режим.
                                                                                                                                                  4

                                                                                                                                                  Щракнете върху Добавяне на потребители и въведете имейл адрес на един или повече потребители за пилотно използване на вашите възли за хибридна защита на данните за услуги за криптиране и индексиране.

                                                                                                                                                  (Ако вашата организация използва синхронизиране на директории, използвайте Active Directory , за да управлявате пробната група, HdsTrialGroup.)

                                                                                                                                                  Тествайте внедряването на вашата хибридна защита на данните

                                                                                                                                                  Използвайте тази процедура, за да тествате сценарии за криптиране на хибридна защита на данните.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • Настройте внедряването на хибридната защита на данните.

                                                                                                                                                  • Активирайте пробната версия и добавете няколко пробни потребители.

                                                                                                                                                  • Уверете се, че имате достъп до системния журнал, за да проверите дали ключовите заявки се предават към внедряването на хибридната защита на данните.

                                                                                                                                                  1

                                                                                                                                                  Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от пилотните потребители и след това създайте пространство и поканете поне един пилотен потребител и един непилотен потребител.


                                                                                                                                                   

                                                                                                                                                  Ако деактивирате внедряването на хибридна защита на данните, съдържанието в пространствата, които пилотните потребители създават, вече няма да бъде достъпно, след като кешираните от клиента копия на ключовете за криптиране бъдат заменени.

                                                                                                                                                  2

                                                                                                                                                  Изпращайте съобщения до новото пространство.

                                                                                                                                                  3

                                                                                                                                                  Проверете изхода на системния журнал, за да се уверите, че ключовите заявки преминават към вашето внедряване на хибридна защита на данните.

                                                                                                                                                  1. За да проверите дали потребител първо установява защитен канал към KMS, филтрирайте kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Трябва да намерите запис като следния (идентификаторите, съкратени за четливост):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. За да проверите за потребител, който иска съществуващ ключ от KMS, филтрирайте kms.data.method=retrieve и kms.data.type=KEY:

                                                                                                                                                    Трябва да намерите запис като:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. За да проверите за потребител, който иска създаване на нов KMS ключ, филтрирайте kms.data.method=create и kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Трябва да намерите запис като:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. За да проверите за потребител, който иска създаването на нов KMS Resource Object (KRO), когато се създаде пространство или друг защитен ресурс, филтрирайте върху kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Трябва да намерите запис като:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Наблюдавайте здравето на хибридната защита на данните

                                                                                                                                                  индикатор на състоянието в Control Hub ви показва дали всичко е наред с внедряването на хибридната защита на данните. За по-проактивни сигнали, записвам се за известия по имейл. Ще бъдете уведомени, когато има аларми, засягащи услугата, или надстройки на софтуера.
                                                                                                                                                  1

                                                                                                                                                  В Контролен център , изберете Услуги от менюто в лявата част на екрана.

                                                                                                                                                  2

                                                                                                                                                  В секцията Хибридни услуги намерете Hybrid Data Security и щракнете Настройки .

                                                                                                                                                  Появява се страницата Настройки за защита на хибридните данни.
                                                                                                                                                  3

                                                                                                                                                  В секцията Известия по Имейл въведете един или повече имейл адреси, разделени със запетаи, и натиснете Въведете .

                                                                                                                                                  Добавяне или премахване на потребители от вашия пробен период

                                                                                                                                                  След като активирате пробен период и сте добавили първоначалния набор от потребители на пробния период, можете да добавяте или премахвате членове на пробния период по всяко време, докато пробният период е активен.

                                                                                                                                                  Ако премахнете потребител от пробната версия, клиентът на потребителя ще поиска ключове и създаване на ключ от облачния KMS вместо от вашия KMS. Ако клиентът се нуждае от ключ, който се съхранява във вашия KMS, облачният KMS ще го извлече от името на потребителя.

                                                                                                                                                  Ако вашата организация използва синхронизиране на директории, използвайте Active Directory (вместо тази процедура), за да управлявате пробната група, HdsTrialGroup; можете да видите членовете на групата в Control Hub, но не можете да ги добавяте или премахвате.

                                                                                                                                                  1

                                                                                                                                                  Влезте в Control Hub и след това изберете Услуги .

                                                                                                                                                  2

                                                                                                                                                  Под Hybrid Data Security щракнете върху Настройки .

                                                                                                                                                  3

                                                                                                                                                  В секцията Пробен режим на зоната Състояние на услугата щракнете Добавяне на потребители , или щракнете преглед и редактиране за да премахнете потребителите от пробния период.

                                                                                                                                                  4

                                                                                                                                                  Въведете имейл адрес на един или повече потребители, които да добавите, или щракнете върху X чрез ИД на потребител , за да премахнете потребителя от пробната версия. След това щракнете Запазете .

                                                                                                                                                  Преминете от пробна версия към производствена

                                                                                                                                                  Когато сте доволни, че внедряването ви работи добре за пробните потребители, можете да преминете към производство. Когато преминете към производство, всички потребители в организацията ще използват вашия в помещението домейн за хибридна защита на данните за ключове за криптиране и други услуги от сферата на сигурността. Не можете да се върнете обратно към пробен режим от производство, освен ако не деактивирате услугата като част от възстановяване след срив. Повторното активиране на услугата изисква да настройвам нов пробен период.
                                                                                                                                                  1

                                                                                                                                                  Влезте в Control Hub и след това изберете Услуги .

                                                                                                                                                  2

                                                                                                                                                  Под Hybrid Data Security щракнете върху Настройки .

                                                                                                                                                  3

                                                                                                                                                  В секцията Състояние на услугата щракнете Преминете към Производство .

                                                                                                                                                  4

                                                                                                                                                  Потвърдете, че искате да преместите всичките си потребители в производствения режим.

                                                                                                                                                  Прекратете пробния си период, без да преминете към производство

                                                                                                                                                  Ако по време на пробния период решите да не продължите с внедряването на хибридната защита на данните, можете да деактивирате хибридната защита на данните, което приключва пробния период и премества пробните потребители обратно към услугите за сигурност на облачните данни. Потребителите на пробния период ще загубят достъп до данните, които са били криптирани по време на пробния период.
                                                                                                                                                  1

                                                                                                                                                  Влезте в Control Hub и след това изберете Услуги .

                                                                                                                                                  2

                                                                                                                                                  Под Hybrid Data Security щракнете върху Настройки .

                                                                                                                                                  3

                                                                                                                                                  В секцията Деактивиране щракнете Деактивирайте .

                                                                                                                                                  4

                                                                                                                                                  Потвърдете, че искате да деактивирате услугата и да прекратите пробния период.

                                                                                                                                                  Управлявайте внедряването на HDS

                                                                                                                                                  Управление на внедряването на HDS

                                                                                                                                                  Използвайте описаните тук задачи, за да управлявате внедряването на вашата хибридна защита на данните.

                                                                                                                                                  Задайте график за надграждане на клъстер

                                                                                                                                                  Софтуерните надстройки за хибридна защита на данните се извършват автоматично на ниво клъстер, което гарантира, че всички възли винаги работят с една и съща версия на софтуер. Надстройките се извършват според графика за надграждане на клъстера. Когато надстройката на софтуера стане налична, имате възможност да надстроите ръчно клъстера преди планираното време за надстройка. Можете да зададете конкретен график за надграждане или да използвате графика по подразбиране от 3:00 часа AM всеки ден Съединени щати: Америка/Лос Анджелис. Можете също да изберете да отложите предстояща надстройка, ако е необходимо.

                                                                                                                                                  За да зададете графика за надстройка:

                                                                                                                                                  1

                                                                                                                                                  Влезте в Контролен център .

                                                                                                                                                  2

                                                                                                                                                  На страницата Общ преглед под Хибридни услуги изберете Хибридна сигурност на данните .

                                                                                                                                                  3

                                                                                                                                                  На страницата Ресурси за защита на хибридни данни изберете клъстера.

                                                                                                                                                  4

                                                                                                                                                  В панела Преглед вдясно под Настройки на клъстера изберете името на клъстера.

                                                                                                                                                  5

                                                                                                                                                  На страницата Настройки, под Надстройка, изберете часа и часова зона за графика за надстройка.

                                                                                                                                                  Забележка: Под часова зона се показва следващата налична дата и час за надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като щракнете Отложете .

                                                                                                                                                  Променете конфигурацията на възела

                                                                                                                                                  Понякога може да се наложи да промените конфигурацията на вашия възел за хибридна защита на данните поради причина като:
                                                                                                                                                  • Промяна на сертификати x.509 поради изтичане или други причини.


                                                                                                                                                     

                                                                                                                                                    Не поддържаме промяна на име на домейн на сертификат. Домейнът трябва да съвпада с оригиналния домейн, използван за регистриране на клъстера.

                                                                                                                                                  • Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или по обратния начин. За да превключите средата на базата данни, започнете ново внедряване на хибридна защита на данните.

                                                                                                                                                  • Създаване на нова конфигурация за подготовка на нов център за данни.

                                                                                                                                                  Също така, за целите на сигурността, Hybrid Data Security използва пароли за акаунт на услуга, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, вие ги разгръщате във всеки от вашите HDS възли в ISO конфигурационния файл. Когато паролите на вашата организация изтичат, получавате известие от екипа на Webex да нулирате паролата за вашия акаунт на машината. (Имейлът включва текста „Използвайте API на акаунта на машината, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:

                                                                                                                                                  • Меко нулиране — И старата, и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.

                                                                                                                                                  • Твърдо нулиране —Старите пароли спират да работят незабавно.

                                                                                                                                                  Ако вашите пароли изтичат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно твърдо нулиране и подмяна на ISO файла на всички възли.

                                                                                                                                                  Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  • Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни на акаунт в Control Hub с пълни администраторски права за вашата организация.

                                                                                                                                                    Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато извеждате контейнера на Docker в 1.д . Тази таблица дава някои възможни променливи на средата:

                                                                                                                                                    Описание

                                                                                                                                                    Променлива

                                                                                                                                                    HTTP прокси без удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS прокси без удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP прокси с удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS прокси с удостоверяване

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ PostgreSQL или базата данни на Microsoft SQL Server. Имате нужда от ISO , когато правите промени в конфигурацията, включително идентификационни данни на базата данни, актуализации на сертификати или промени в политиката за оторизация.

                                                                                                                                                  1

                                                                                                                                                  Като използвате Docker на локална машина, стартирайте инструмента за настройка на HDS.

                                                                                                                                                  1. В командния ред на вашата машина въведете подходящата команда за вашата среда:

                                                                                                                                                    В редовна среда:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    В FedRAMP среди:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Тази стъпка почиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

                                                                                                                                                  2. За да влизам в регистъра на изображенията на Docker, въведете следното:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. При подкана за парола въведете този хеш:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Изтеглете най-новото стабилно изображение за вашата среда:

                                                                                                                                                    В редовна среда:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    В FedRAMP среди:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Уверете се, че сте изтеглили най-новия инструмент за настройка за тази процедура. Версиите на инструмента, създадени преди 22 февруари 2018 г., нямат екрани за нулиране на паролата.

                                                                                                                                                  5. Когато изтеглянето завърши, въведете подходящата команда за вашата среда:

                                                                                                                                                    • В обикновени среди без прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • В обикновени среди с HTTP прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • В обикновени среди с HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • В FedRAMP среди без прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • В FedRAMP среди с HTTP прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • В FedRAMP среди с HTTPS прокси:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Когато контейнерът работи, виждате „Експресно слушане на сървър на порт 8080“.

                                                                                                                                                  6. Използвайте браузър, за да се свържете с локалния хост, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Инструментът за настройка не поддържа свързване към localhost чрез http://localhost:8080 . Използвайтеhttp://127.0.0.1:8080 за да се свържете с локален хост.

                                                                                                                                                  7. Когато бъдете подканени, въведете вашите идентификационни данни за влизане в Control Hub и след това щракнете Приемам да продължи.

                                                                                                                                                  8. Импортирайте текущия конфигурационен ISO файл.

                                                                                                                                                  9. Следвайте подканите, за да завършите инструмента и да изтеглите актуализирания файл.

                                                                                                                                                    За да изключите инструмента за настройка, въведете CTRL+C.

                                                                                                                                                  10. Създайте резервно копие на актуализирания файл в друг център за данни.

                                                                                                                                                  2

                                                                                                                                                  Ако имате работещ само един HDS възел , създайте нов VM на възел за хибридна защита на данните и го регистрирайте с помощта на новия конфигурационен ISO файл. За по-подробни инструкции вж Създайте и регистрирайте още възли .

                                                                                                                                                  1. Инсталирайте HDS хост OVA.

                                                                                                                                                  2. Настройте HDS VM.

                                                                                                                                                  3. Монтирайте актуализирания конфигурационен файл.

                                                                                                                                                  4. Регистрирайте новия възел в Control Hub.

                                                                                                                                                  3

                                                                                                                                                  За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел:

                                                                                                                                                  1. Изключете виртуална машина.

                                                                                                                                                  2. В левия навигационен панел на клиента VMware vSphere щракнете с щраквам с десния бутон върху VM и щракнете Редактиране на настройките .

                                                                                                                                                  3. Щракнете върху CD/DVD Drive 1, изберете опцията за монтиране от ISO файл и прегледайте мястото, където сте изтеглили новия конфигурационен ISO файл.

                                                                                                                                                  4. Проверете Свържете при включване .

                                                                                                                                                  5. Запазете промените си и включете виртуална машина.

                                                                                                                                                  4

                                                                                                                                                  Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация.

                                                                                                                                                  Изключете Blocked External DNS Resolution Mode

                                                                                                                                                  Когато регистрирате възел или проверявате прокси конфигурацията на възела, процесът тества търсенето на DNS и свързаността с облака на Cisco Webex . Ако DNS сървър на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на Blocked External DNS Resolution.

                                                                                                                                                  Ако вашите възли са в състояние да разрешават публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим, като стартирате повторно теста за прокси връзка на всеки възел.

                                                                                                                                                  Преди да започнете

                                                                                                                                                  Уверете се, че вашите вътрешни DNS сървъри могат да разрешават публични DNS имена и че вашите възли могат да комуникират с тях.
                                                                                                                                                  1

                                                                                                                                                  В уеб браузър отворете интерфейса на възела на хибридната защита на данните (IP адрес/настройка, например,https://192.0.2.0/setup), въведете администраторските идентификационни данни, които сте настройвам за възела, и след това щракнете Влезте .

                                                                                                                                                  2

                                                                                                                                                  Отидете на Общ преглед (страницата по подразбиране).

                                                                                                                                                  Когато е активирано, Блокирана външна DNS разделителна способност е настроен на да .

                                                                                                                                                  3

                                                                                                                                                  Отидете до Доверен магазин и прокси страница.

                                                                                                                                                  4

                                                                                                                                                  Щракнете върху Проверете прокси връзката .

                                                                                                                                                  Ако видите съобщение, че външната DNS резолюция не е била успешна, възелът не е успял да достигне до DNS сървър и ще остане в този режим. В противен случай, след като рестартирате възела и се върнете към Общ преглед страница, Разделителната способност за блокиран външен DNS трябва да бъде зададена на не.

                                                                                                                                                  Какво да направите след това

                                                                                                                                                  Повторете теста на прокси връзката на всеки възел във вашия клъстер за хибридна защита на данните.

                                                                                                                                                  Премахване на възел

                                                                                                                                                  Използвайте тази процедура, за да премахнете възел за защита на хибридни данни от облака на Webex . След като премахнете възела от клъстера, изтрийте виртуална машина, за да предотвратите по-нататъшен достъп до вашите данни за сигурност.
                                                                                                                                                  1

                                                                                                                                                  Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуална машина.

                                                                                                                                                  2

                                                                                                                                                  Премахнете възела:

                                                                                                                                                  1. Влезте в Control Hub и след това изберете Услуги .

                                                                                                                                                  2. На картата за защита на хибридни данни щракнете Вижте всички за да се покаже страницата Ресурси за защита на хибридните данни.

                                                                                                                                                  3. Изберете своя клъстер, за да покажете неговия панел за преглед.

                                                                                                                                                  4. Щракнете върху Отворете списъка с възли .

                                                                                                                                                  5. В раздела Възли изберете възела, който искате да премахнете.

                                                                                                                                                  6. Щракнете върху Действия > Дерегистриране на възел .

                                                                                                                                                  3

                                                                                                                                                  В vSphere клиента изтрийте VM. (В левия навигационен панел щракнете с щраквам с десния бутон върху VM и щракнете Изтрийте .)

                                                                                                                                                  Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за сигурност.

                                                                                                                                                  Възстановяване при бедствия с помощта на Център за данни в режим на готовност

                                                                                                                                                  Най-критичната услуга, която предоставя вашият клъстер за хибридна защита на данни, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака на Webex . За всеки потребител в организацията, който е назначен към хибридна защита на данните, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговор.

                                                                                                                                                  Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна защита на данните или на конфигурацията ISO , използвана за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на такава загуба:

                                                                                                                                                  Ако бедствие причини внедряването на HDS в основния център за данни да стане недостъпно, следвайте тази процедура, за да преминете ръчно към резервния център за данни.

                                                                                                                                                  1

                                                                                                                                                  Стартирайте инструмента за настройка н