Ръководство за внедряване на хибридна защита на данни за множество наематели (HDS) (бета версия)

Нова и променена информация

Тази таблица обхваща нови функции или функционалности, промени в съществуващото съдържание и всички големи грешки, които са поправени в Ръководство за разполагане за хибридна защита на данните с много клиенти.

Дата	Направени промени
13 декември 2024 г.	Първо издание.

Деактивиране на хибридна защита на данни с много клиенти

Поток на задачи за деактивиране на HDS с много клиенти

Изпълнете тези стъпки, за да деактивирате напълно HDS с много клиенти.

Преди да започнете

Тази задача трябва да се изпълнява само от администратор с пълни права на партньор.

1	Премахнете всички клиенти от всичките ви клъстери, както е посочено в Премахване на организации на клиенти.
2	Анулирайте CMK на всички клиенти, както е посочено в Анулиране на CMK на клиенти, премахнати от HDS..
3	Премахнете всички възли от всичките ви клъстери, както е посочено в Премахване на възел.
4	Изтрийте всичките си клъстери от Partner Hub, като използвате един от следните два метода. Щракнете върху клъстера, който искате да изтриете, и изберете Изтриване на този клъстер в горния десен ъгъл на страницата за общ преглед. На страницата „Ресурси“ щракнете върху ... от дясната страна на клъстер и изберете Премахване на клъстер.
5	Щракнете върху раздела Настройки на страницата за общ преглед на хибридната защита на данни и щракнете върху Деактивиране на хибридната защита на данни в картата за статус на HDS.

Първи стъпки с хибридна защита на данните с много клиенти

Общ преглед на хибридна защита на данни с няколко клиента

От първия ден сигурността на данните е основният фокус при проектирането на приложението Webex. Крайъгълният камък на тази защита е цялостното шифроване на съдържание, разрешено от клиентите на приложението Webex, които взаимодействат с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографски ключове, които клиентите използват за динамично криптиране и дешифриране на съобщения и файлове.

По подразбиране всички клиенти на приложението Webex получават цялостно шифроване с динамични ключове, съхранявани в облака KMS, в областта на защитата на Cisco. Хибридната защита на данните премества KMS и други свързани със сигурността функции във вашия корпоративен център за данни, така че никой освен вас не държи ключовете за вашето криптирано съдържание.

Хибридната защита на данните с много клиенти позволява на организациите да използват HDS чрез надежден местен партньор, който може да действа като доставчик на услуги и да управлява локално шифроване и други услуги за защита. Тази настройка позволява на партньорската организация да има пълен контрол върху разполагането и управлението на ключове за шифроване и гарантира, че потребителските данни на клиентските организации са безопасни от външен достъп. Партньорските организации настройват HDS екземпляри и създават HDS клъстери, ако е необходимо. Всеки екземпляр може да поддържа няколко клиентски организации за разлика от нормалното разполагане на HDS, което е ограничено до една организация.

Въпреки че партньорските организации имат контрол върху разполагането и управлението, те нямат достъп до данни и съдържание, генерирани от клиентите. Този достъп е ограничен до клиентски организации и техните потребители.

Това също така позволява по-малките организации да използват HDS, тъй като услугата за управление на ключове и инфраструктурата за сигурност, като центровете за данни, са собственост на доверения местен партньор.

Как хибридната защита на данните с няколко клиента осигурява суверенитет на данните и контрол на данните

Генерираното от потребителите съдържание е защитено от външен достъп, като например доставчици на облачни услуги.
Местните доверени партньори управляват ключовете за шифроване на клиенти, с които вече имат установени отношения.
Опция за местна техническа поддръжка, ако бъде предоставена от партньора.
Поддържа съдържание в Meetings, Messaging и Calling.

Този документ има за цел да помогне на партньорските организации да настройват и управляват клиенти в система за хибридна защита на данните с много клиенти.

Роли в хибридна защита на данните с няколко клиента

Администратор на партньор с пълни права – може да управлява настройките за всички клиенти, които партньорът управлява. Могат също да възлагат администраторски роли на съществуващи потребители в организацията и да задават конкретни клиенти, които да бъдат управлявани от администратори на партньора.
Администратор на партньор – може да управлява настройките за клиенти, които администраторът е предоставил или които са зададени на потребителя.
Пълен администратор – администратор на партньорската организация, който е упълномощен да изпълнява задачи, като промяна на настройките на организацията, управление на лицензи и задаване на роли.

Цялостно настройване и управление на HDS с много клиенти на всички клиентски организации – изискват се пълен администратор на партньор и права на пълен администратор.
Управление на зададените организации на клиенти – изискват се администратор на партньор и права на пълен администратор.

Архитектура на областта на сигурността

Архитектурата на облака на Webex разделя различните типове услуги в отделни области или домейни на доверие, както е описано по-долу.

***Сфери на разделяне (без хибридна защита на данните)***

За да разберем по-подробно хибридната защита на данните, нека първо разгледаме този случай в облака, където Cisco предоставя всички функции в своите облачни области. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логично и физически отделена от областта на защитата в центъра за данни B. И двете от своя страна са отделени от областта, в която в крайна сметка се съхранява шифровано съдържание, в центъра за данни C.

На тази схема клиентът е приложението Webex, което се изпълнява на лаптопа на потребителя, и е удостоверен с услугата за самоличност. Когато потребителят композира съобщение за изпращане до интервал, се извършват следните стъпки:

Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за шифроване на съобщението. Защитената връзка използва ECDH, а KMS шифрова ключа с помощта на главния ключ AES-256.
Съобщението е шифровано преди да напусне клиента. Клиентът го изпраща на услугата за индексиране, която създава шифровани индекси за търсене, за да подпомогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща на услугата за съответствие за проверки за съответствие.
Шифрованото съобщение се съхранява в областта на мястото за съхранение.

Когато разположите хибридна защита на данни, премествате функциите на областта на защитата (KMS, индексиране и съответствие) в своя локален център за данни. Другите услуги в облака, които съставляват Webex (включително съхранение на самоличност и съдържание), остават в областите на Cisco.

Сътрудничество с други организации

Потребителите във вашата организация могат редовно да използват приложението Webex за сътрудничество с външни участници в други организации. Когато един от вашите потребители поиска ключ за място, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашата KMS изпраща ключа на клиента чрез ECDH защитен канал. Когато обаче друга организация притежава ключа за пространството, вашият KMS маршрутизира заявката към облака Webex чрез отделен ECDH канал, за да получи ключа от съответния KMS и след това връща ключа на вашия потребител в оригиналния канал.

Услугата KMS, изпълнявана в организация А, валидира връзките към KMS в други организации, като използва x.509 PKI сертификати. Вижте Подготовка на средата за подробности относно генерирането на сертификат x.509, който да се използва при вашето разполагане на хибридна защита на данни с много клиенти.

Очаквания за внедряване на хибридна защита на данни

Внедряването на хибридна защита на данни изисква значителна ангажираност и осведоменост за рисковете, които идват от притежаването на ключове за шифроване.

За да разположите хибридна защита на данни, трябва да предоставите:

Защитен център за данни в страна, която е поддържано местоположение за плановете на Cisco Webex Teams.
Оборудването, софтуерът и мрежовият достъп, описани в Подготовка на средата.

Пълната загуба или на конфигурационния ISO, който изграждате за хибридна защита на данни, или на базата данни, която предоставяте, ще доведе до загуба на ключове. Загубата на ключове не позволява на потребителите да дешифрират съдържанието в пространството и други шифровани данни в приложението Webex. Ако това се случи, можете да изградите ново разполагане, но ще се вижда само новото съдържание. За да избегнете загуба на достъп до данни, трябва:

Управлявайте архивирането и възстановяването на базата данни и конфигурационния ISO.
Бъдете готови да извършите бързо възстановяване след бедствие, ако възникне катастрофа, като повреда на диска на базата данни или бедствие на центъра за данни.

Няма механизъм за преместване на ключовете обратно в облака след разполагане на HDS.

Процес на настройка на високо ниво

Този документ обхваща настройката и управлението на разполагането на хибридна защита на данни с много клиенти:

Настройване на хибридна защита на данни – това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данни, изграждане на клъстер на HDS, добавяне на организации на клиенти към клъстера и управление на техните главни ключове на клиенти (CMK). Това ще даде възможност на всички потребители на вашите клиентски организации да използват вашия клъстер на хибридна защита на данни за функции за защита.

Етапите на настройка, активиране и управление са разгледани подробно в следващите три глави.
Поддържайте разполагането на хибридна защита на данни – Облакът на Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да предостави поддръжка от първо ниво за това разполагане и да ангажира поддръжката на Cisco, ако е необходимо. В Partner Hub можете да използвате известия на екрана и да настроите имейл предупреждения.
Разбиране на често срещаните предупреждения, стъпките за отстраняване на неизправности и известни проблеми – ако срещнете проблеми при разполагането или използването на хибридна защита на данни, последната глава от това ръководство и приложението „Известни проблеми“ могат да ви помогнат да определите и коригирате проблема.

Модел на разполагане на хибридна защита на данни

В рамките на вашия корпоративен център за данни разполагате с хибридна защита на данни като един клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака на Webex чрез защитени уеб сокети и защитен HTTP.

По време на процеса на инсталиране ви предоставяме файла OVA, за да настроите виртуалния уред на VMs, които предоставяте. Използвайте инструмента за настройка на HDS, за да създадете персонализиран ISO файл за конфигуриране на клъстери, който да монтирате на всеки възел. Клъстерът на хибридна защита на данни използва предоставения ви сървър Syslogd и базата данни на PostgreSQL или Microsoft SQL Server. (Можете да конфигурирате подробностите за връзката на Syslogd и базата данни в инструмента за настройка на HDS.)

Модел на разполагане на хибридна защита на данни

Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне по три на клъстер. Наличието на множество възли гарантира, че услугата не се прекъсва по време на надстройка на софтуера или друга дейност по поддръжка на даден възел. (Облакът на Webex надгражда само един възел в даден момент.)

Всички възли в клъстера имат достъп до един и същ файл с ключове и регистрационната активност към един и същ syslog сървър. Самите възли са без гражданство и обработват ключови заявки в кръгла форма, както е указано от облака.

Възлите стават активни, когато ги регистрирате в Partner Hub. За да излезете от експлоатация отделен възел, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.

Standby Data Center за възстановяване при бедствия

По време на разгръщането настройвате защитен център за данни в режим на готовност. В случай на бедствие на центъра за данни можете ръчно да не успеете при разполагането си в центъра за данни в режим на готовност.

Преди отказ Център за данни А има активни HDS възли и главната база данни PostgreSQL или Microsoft SQL Server, докато B има копие на ISO файла с допълнителни конфигурации, VMs, които са регистрирани в организацията, и база данни в режим на готовност. След отказ Център за данни Б има активни HDS възли и главната база данни, докато А има нерегистрирани VMs и копие на ISO файла, а базата данни е в режим на готовност. — ***Ръчно преместване при отказ в центъра за данни в режим на готовност***

Базите данни на активните центрове за данни и центровете за данни в режим на готовност са синхронизирани помежду си, което ще сведе до минимум времето, необходимо за извършване на превключването при отказ.

Активните възли на хибридна защита на данни трябва винаги да бъдат в същия център за данни като активния сървър с база данни.

Поддръжка на прокси

Hybrid Data Security поддържа изрични, прозрачни проверяващи и неинспектационни проксита. Можете да свържете тези проксита към разполагането си, така че да можете да подсигурите и наблюдавате трафика от предприятието навън към облака. Можете да използвате администраторски интерфейс на платформа на възлите за управление на сертификати и да проверите цялостното състояние на свързване, след като настроите прокси сървъра на възлите.

Хибридните възли за защита на данните поддържат следните опции за прокси:

Няма прокси сървър – Стойността по подразбиране, ако не използвате конфигурацията за настройка на HDS възел на доверено хранилище и прокси сървър за интегриране на прокси сървър. Не се изисква актуализация на сертификата.
Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси сървъра – възлите не са конфигурирани да използват определен адрес на прокси сървъра. На възлите не са необходими промени в конфигурацията на HTTP или HTTPS. Възлите обаче се нуждаят от главен сертификат, така че да се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS).
Изричен прокси сървър – С изричния прокси сървър казвате на HDS кои прокси сървъри и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
1. Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината.
2. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик.
3. Прокси протокол – в зависимост от това, което поддържа прокси сървърът ви, изберете между следните протоколи:
  - HTTP—Преглежда и контролира всички заявки, които клиентът изпраща.
  - HTTPS—Предоставя канал на сървъра. Клиентът получава и валидира сертификата на сървъра.
4. Тип удостоверяване – изберете измежду следните типове удостоверяване:
  - Няма – Не се изисква допълнително удостоверяване.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
  - Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.
  - Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата.
    
    Предлага се само ако изберете HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.

Пример за хибридни данни сигурност възли и прокси

Тази диаграма показва примерна връзка между защитата на хибридните данни, мрежата и прокси. За прозрачния инспектиращ и HTTPS изричен инспектиращ прокси опции, един и същ главен сертификат трябва да бъде инсталиран на прокси и на хибридните възли за защита на данните.

Блокиран режим на външна DNS разделителна способност (изрични прокси конфигурации)

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. В разполагане с изрични прокси конфигурации, които не позволяват външна DNS разделителна способност за вътрешни клиенти, ако възелът не може да заявка DNS сървъри, тя автоматично преминава в режим блокирани външни DNS резолюция. В този режим може да се процедира регистрация на възли и други тестове за свързване на прокси.

Подготовка на средата

Изисквания за хибридна защита на данните с няколко клиента

Изисквания за лицензи за Cisco Webex

За да разположите хибридна защита на данните с много клиенти:

Партньорски организации: Свържете се със своя партньор в Cisco или мениджър на акаунти и се уверете, че функцията за много клиенти е активирана.
Организации на клиента: Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижте https://www.cisco.com/go/pro-pack.)

Изисквания за закачане на работния плот

Преди да инсталирате възлите на HDS, трябва Docker Desktop, за да изпълните инсталационна програма. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker е Актуализиране и разширяване на нашите абонаментиза продукти".

X.509 Изисквания за сертификата

Веригата на сертификатите трябва да отговаря на следните изисквания:

Таблица 1. X.509 Изисквания за сертификата за разполагане на хибридна защита на данни
Изискване	Подробности
Подписан от надежден сертифициращ орган (CA)	По подразбиране се доверяваме на сертифициращите органи в списъка на Mozilla (с изключение на WoSign и StartCom) на https://wiki.mozilla.org/CA:IncludedCAs.
Носи общо име (CN) име на домейн, което идентифицира вашето разполагане на хибридна защита на данни Не е заместващ сертификат	CN не е нужно да е достъпен или хост на живо. Препоръчваме ви да използвате име, което отразява вашата организация, например `hds.company.com`. CN не трябва да съдържа * (заместващ символ). CN се използва за проверка на възлите на хибридна защита на данни за клиентите на приложението Webex. Всички възли на хибридна защита на данни във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на CN домейна, а не с произволен домейн, дефиниран в полетата x.509v3 SAN. След като сте регистрирали възел с този сертификат, не поддържаме промяна на името на CN домейна.
Подпис, който не е SHA1	Софтуерът KMS не поддържа подписи SHA1 за валидиране на връзки с KMS на други организации.
Форматиран като защитен с парола PKCS #12 файл Използвайте приятелското име на `kms-private-key` , за да маркирате сертификата, частния ключ и всички междинни сертификати за качване.	Можете да използвате конвертор, като OpenSSL, за да промените формата на сертификата си. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS.

Софтуерът KMS не налага използване на ключове или не разширява ограниченията за използване на ключове. Някои сертифициращи органи изискват за всеки сертификат да се прилагат разширени ограничения за използване на ключа, като например удостоверяване на сървъра. Добре е да използвате удостоверяване на сървъра или други настройки.

Изисквания за виртуален организатор

Виртуалните хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер, имат следните изисквания:

Поне два отделни хоста (препоръчва се 3), разположени съвместно в един и същ защитен център за данни
VMware ESXi 6.5 (или по-нова версия) е инсталиран и работи.

Трябва да надстроите, ако имате по-стара версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално място на твърдия диск на сървър

Изисквания към сървъра за база данни

Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.

Има две опции за сървъра с база данни. Изискванията за всеки от тях са, както следва:

Таблица 2. Изисквания за сървъра с база данни по тип база данни
PostgreSQL	Microsoft SQL сървър
PostgreSQL 14, 15 или 16, инсталиран и се изпълнява.	Инсталиран е SQL Server 2016, 2017, или 2019 (корпоративен или стандартен). SQL Server 2016 изисква Service Pack 2 и Кумулативна актуализация 2 или по-нова версия.
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)	Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)

HDS софтуерът в момента инсталира следните версии на драйвери за комуникация със сървъра с база данни:

PostgreSQL	Microsoft SQL сървър
Postgres JDBC драйвер 42.2.5	SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстера при отказ и Винаги включен групи за наличност).

PostgreSQL

Microsoft SQL сървър

Postgres JDBC драйвер 42.2.5

SQL Server JDBC драйвер 4.6

Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстера при отказ и Винаги включен групи за наличност).

Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server

Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни на Keystore на Microsoft SQL Server, тогава е необходима следната конфигурация във вашата среда:

Възлите на HDS, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Акаунтът за Windows, който предоставяте на възли на HDS, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възли, трябва да могат да разрешават вашия център за разпределение на ключове (KDC).
Можете да регистрирате екземпляра на базата данни на HDS на Microsoft SQL Server като основно име на услуга (SPN) на Active Directory. Вижте Регистриране на основно име на услуга за Kerberos връзки.

Инструментът за настройка на HDS, HDS стартера и локалния KMS трябва да използват удостоверяване на Windows за достъп до базата данни на Keystore. Те използват подробностите от вашата ISO конфигурация, за да конструират SPN, когато заявяват достъп с удостоверяване на Kerberos.

Изисквания за външна връзка

Конфигурирайте защитната стена, за да разрешите следната свързаност за приложенията на хибридна защита на данни:

Приложение	Протокол	Порт	Посока от приложението	Местоназначение
Възли на хибридна защита на данни	TCP	443	Изходящи HTTPS и ВиК	Сървъри на Webex: .wbx2.com .ciscospark.com Всички организатори на Common Identity Други URL адреси, които са изброени за хибридна защита на данни в таблицата Допълнителни URL адреси за хибридни услуги на Webex на мрежовите изисквания за услугите на Webex
Инструмент за настройка на HDS	TCP	443	Изходящ HTTPS	*.wbx2.com Всички организатори на Common Identity hub.docker.com

Възлите на хибридна защита на данни работят с превод на мрежовия достъп (NAT) или зад защитна стена, при условие че NAT или защитната стена позволяват необходимите изходящи връзки към местоназначенията на домейна в предходната таблица. За връзки, влизащи във входящи възли на хибридна защита на данни, от интернет не трябва да се виждат портове. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите на хибридна защита на данни на TCP портове 443 и 22 за административни цели.

URL адресите за хостовете на Common Identity (CI) са специфични за региона. Това са текущите организатори на CI:

Регион	URL адреси на организатор на Common Identity
Северна и Южна Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейски съюз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com
Сингапур	https://idbroker-sg.webex.com https://identity-sg.webex.com
Обединени арабски емирства	https://idbroker-ae.webex.com https://identity-ae.webex.com

Изисквания към прокси сървъра

Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли hybrid Data Security.
- Прозрачен прокси-Уред за уеб защита cisco (WSA).
- Изрична прокси-Сепия.
  
  Прокси сървърите, които инспектират HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да работите по този проблем, вижте Конфигуриране на прокси сървъри за хибридна защита на данни.
Ние поддържаме следните комбинации от тип удостоверяване за изрични проксита:
- Без удостоверяване с HTTP или HTTPS
- Базово удостоверяване с HTTP или HTTPS
- Смилане на удостоверяване само с HTTPS
За прозрачен проверяващ прокси или HTTPS изрично прокси, трябва да имате копие на главния сертификат на прокси. Инструкциите за разполагане в това ръководство ви казват как да качите копието в магазините за доверие на хибридните възли за защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик на порт 443 да маршрутизира през прокси сървъра.
Прокситата, които инспектират уеб трафика, може да пречат на връзките с уеб гнездото. Ако възникне този проблем, заобикалянето (не инспектирането) на трафика към wbx2.com и ciscospark.com ще реши проблема.

Изпълнете предварителните изисквания за хибридна защита на данни

Използвайте този контролен списък, за да гарантирате, че сте готови да инсталирате и конфигурирате своя клъстер на хибридна защита на данни.

1	Уверете се, че вашата партньорска организация има активирана функция за HDS с няколко клиента и получавате идентификационните данни за акаунт с пълен администратор на партньор и права на пълен администратор. Уверете се, че вашата организация на клиенти на Webex е разрешена за Pro Pack за Cisco Webex Control Hub. Свържете се с вашия партньор в Cisco или мениджър на акаунти за помощ с този процес. Организациите на клиентите не трябва да имат съществуващо разполагане на HDS.
2	Изберете име на домейн за разполагането на HDS (например `hds.company.com`) и получете верига от сертификати, съдържаща сертификат X.509, частен ключ и всички междинни сертификати. Веригата на сертификатите трябва да отговаря на изискванията в X.509 Изисквания за сертификат.
3	Подгответе идентични виртуални хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер. Имате нужда от поне два отделни организатора (препоръчва се 3), разположени съвместно в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален организатор.
4	Подгответе сървъра с база данни, който ще действа като хранилище на данни за ключа за клъстера в съответствие с изискванията за сървъра с база данни. Сървърът на базата данни трябва да бъде разположен съвместно в защитения център за данни с виртуалните хостове. Създайте база данни за съхранение на ключове. (Трябва да създадете тази база данни – не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.) Съберете подробностите, които ще използват възлите за комуникация със сървъра с база данни: име на хост или IP адрес (хост) и порт името на базата с данни (dbname) за съхранение на ключа потребителското име и паролата на потребител с всички привилегии в базата данни за съхранение на ключа
5	За бързо възстановяване след бедствие настройте архивна среда в друг център за данни. Резервната среда отразява производствената среда на VMs и резервен сървър с база данни. Например, ако производството има 3 VMs, работещи с HDS възли, резервната среда трябва да има 3 VMs.
6	Настройте хост на syslog, за да събирате регистрационни файлове от възлите в клъстера. Съберете мрежовия му адрес и порта за syslog (по подразбиране е UDP 514).
7	Създайте правила за защитено архивиране за възлите на хибридна защита на данни, сървъра с база данни и хоста на syslog. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите на хибридна защита на данни. Тъй като възлите на хибридна защита на данни съхраняват ключовете, използвани за шифроване и дешифроване на съдържание, неподдържането на оперативно разполагане ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на това съдържание. Клиентите на приложението Webex кешират ключовете си, така че прекъсването може да не се забележи веднага, но ще стане очевидно с течение на времето. Въпреки че е невъзможно да се предотвратят временните прекъсвания, те са възстановими. Обаче пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. От операторите на възлите на хибридна защита на данни се очаква да поддържат чести резервни копия на базата данни и конфигурационния ISO файл и да бъдат готови да възстановят центъра за данни на хибридна защита на данни, ако възникне катастрофална грешка.
8	Уверете се, че конфигурацията на защитната ви стена позволява свързване за вашите възли на хибридна защита на данни, както е описано в Изисквания за външна свързаност.
9	Инсталирайте Docker ( https://www.docker.com) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова или Mac OSX Yosemite 10.10.3 или по-нова версия) с уеб браузър, който може да получи достъп до нея на http://127.0.0.1:8080. Можете да използвате екземпляр на Docker, за да изтеглите и изпълните инструмента за настройка на HDS, който изгражда информацията за локална конфигурация за всички възли на хибридна защита на данни. Може да ви е необходим лиценз за настолен компютър за docker. Вижте Изисквания за закачане на работния плот за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има възможността за свързване, описана в Изисквания за външна свързаност.
10	Ако интегрирате прокси сървър с хибридна защита на данните, уверете се, че той отговаря на изискванията за прокси сървър.

Настройване на клъстер на хибридна защита на данни

Поток на задачи за разполагане на хибридна защита на данни

Преди да започнете

1	Извършване на първоначалната настройка и изтегляне на инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късно използване.
2	Създаване на конфигурационен ISO за хостовете на HDS Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите на хибридна защита на данни.
3	Инсталиране на HDS Host OVA Създайте виртуална машина от OVA файла и изпълнете първоначалната конфигурация, като например мрежови настройки. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 6.5. Опцията може да не е налична в по-ранни версии.
4	Настройване на VM на хибридна защита на данни Влезте в конзолата на VM и задайте данните за вход. Конфигурирайте мрежовите настройки за възела, ако не сте ги конфигурирали към момента на разполагането на OVA.
5	Качване и монтиране на конфигурация ISO на HDS Конфигурирайте VM от ISO конфигурационния файл, който сте създали с инструмента за настройка на HDS.
6	Конфигуриране на HDS възел за интегриране на прокси сървър Ако мрежовата среда изисква конфигурация на прокси сървър, укажете типа прокси сървър, който ще използвате за възела, и добавете прокси сертификата към хранилището на гаранти, ако е необходимо.
7	Регистриране на първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел на хибридна защита на данни.
8	Създаване и регистриране на още възли Завършете настройката на клъстера.
9	Активирайте HDS с много клиенти в Partner Hub. Активирайте HDS и управлявайте организации на клиенти в Partner Hub.

Извършване на първоначалната настройка и изтегляне на инсталационни файлове

В тази задача изтегляте OVA файл на вашата машина (а не на сървърите, които сте настроили като възли на хибридна защита на данни). Ще използвате този файл по-късно в процеса на инсталиране.

1	Влезте в Partner Hub и щракнете върху Услуги.
2	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и след това щракнете върху Настройка.
3	Щракнете върху Добавяне на ресурс и щракнете върху Изтегляне на .OVA файл на картата Инсталиране и конфигуриране на софтуера . По-старите версии на софтуерния пакет (OVA) няма да бъдат съвместими с най-новите надстройки на хибридна защита на данни. Това може да доведе до проблеми при надстройване на приложението. Уверете се, че сте изтеглили най-новата версия на OVA файла. Можете също да изтеглите OVA по всяко време от раздела Помощ . Щракнете върху Настройки > Помощ > Изтегляне на софтуер за хибридна защита на данни. OVA файлът започва автоматично да се изтегля. Запишете файла на местоположение на машината си.
4	Като опция щракнете върху Вижте ръководството за разполагане на хибридна защита на данни , за да проверите дали има налична по-нова версия на това ръководство.

Създаване на конфигурационен ISO за хостовете на HDS

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт в Partner Hub с пълни администраторски права.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5 по-долу. Тази таблица дава някои възможни променливи на средата:

Описание

Променлива

HTTP прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTPS прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTP прокси с удостоверяване

GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS прокси с удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

1

В командния ред на вашата машина въведете подходящата команда за вашата среда:

В нормални среди:

докер rmi ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер rmi ciscocitg/hds-setup-fedramp: стабилен

Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

2

За да влезете в регистъра на изображения на Docker, въведете следното:

докер вход -u hdscustomersro

3

При подканата за парола въведете този хеш:

dckr_pat_aDP6V4KkrvpBwa

4

Изтеглете най-новото стабилно изображение за вашата среда:

В нормални среди:

докер издърпване ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер издърпване ciscocitg/hds-setup-fedramp: стабилен

5

Когато изтеглянето приключи, въведете подходящата команда за вашата среда:

В нормални среди без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В нормални среди с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В редовни среди с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В среди на FedRAMP без прокси:

докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен

В среди на FedRAMP с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В среди на FedRAMP с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.

6

Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost.

Използвайте уеб браузър, за да отидете на localhost, http://127.0.0.1:8080 и въведете администраторското потребителско име за Partner Hub в подканата.

Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.

7

Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.

8

На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.

9

На страницата Импортиране на ISO имате следните опции:

Не– Ако създавате първия си HDS възел, нямате ISO файл за качване.
Да – Ако вече сте създали HDS възли, тогава изберете своя ISO файл в прегледа и го качете.

10

Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат.

Ако никога не сте качили сертификат преди, качете сертификата X.509, въведете паролата и щракнете върху Продължи.
Ако сертификатът ви е ОК, щракнете върху Продължи.
Ако сертификатът ви е изтекъл или искате да го замените, изберете Не за Продължаване на използването на веригата за сертификати на HDS и частния ключ от предишния ISO?. Качете нов сертификат X.509, въведете паролата и щракнете върху Продължи.

11

Въведете адреса на базата данни и акаунта за HDS, за да получите достъп до ключовия си datastore:

Изберете вашия тип база данни (PostgreSQL или Microsoft SQL Server).

Ако изберете Microsoft SQL Server, получавате поле за тип удостоверяване.
(Само за Microsoft SQL Server ) Изберете вашия тип удостоверяване:
- Базово удостоверяване: Необходимо е име на локален акаунт за SQL Server в полето Потребителско име .
- Удостоверяване на Windows: Имате нужда от акаунт за Windows във формат username@DOMAIN в полето Потребителско име .
Въведете адреса на сървъра с база данни във формуляра : или :.

Пример:
dbhost.example.org:1433 или 198.51.100.17:1433

Можете да използвате IP адрес за базово удостоверяване, ако възлите не могат да използват DNS за решаване на името на хоста.

Ако използвате удостоверяване на Windows, трябва да въведете напълно квалифицирано име на домейн във формат dbhost.example.org:1433
Въведете името на базата данни.
Въведете Потребителско име и Парола на потребител с всички привилегии в базата данни за съхранение на ключа.

12

Изберете режим на свързване с база данни TLS:

Режим	Описание
Предпочитане на TLS (опция по подразбиране)	HDS възлите не изискват TLS да се свърже със сървъра на базата данни. Ако разрешите TLS на сървъра с база данни, възлите правят опит за шифрована връзка.
Изисквайте TLS	HDS възли се свързват само ако сървърът на базата данни може да договори TLS.
Изисквайте TLS и проверете подписвача на сертификати	Този режим не е приложим за бази данни на SQL Server. HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.
Изисквайте TLS и проверете подписалия сертификат и хостовото име	HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Възлите също така проверяват дали името на хоста в сертификата на сървъра съвпада с името на хоста в полето Хост и порт в базата данни . Имената трябва да съвпадат точно или възелът пуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.

Когато качите корневи сертификат (ако е необходимо) и щракнете върху Продължи, инструментът за настройка на хибридна защита на данни тества TLS връзката към сървъра с база данни. Инструментът също така проверява подписалите сертификата и hostname, ако е приложимо. Ако даден тест е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързването възлите на HDS може да са в състояние да установят TLS връзката, дори ако машината с инструмента за настройка на HDS не може да я тества успешно.)

13

На страницата „Системни регистрационни файлове“ конфигурирайте сървъра си за Syslogd:

Въведете URL адреса на сървъра syslog.

Ако сървърът не може да се разрешава чрез DNS от възлите за вашия HDS клъстер, използвайте IP адрес в URL.

Пример:
udp://10.92.43.23:514 показва влизане в хоста Syslogd 10.92.43.23 на UDP порт 514.
Ако настроите сървъра си да използва TLS шифроване, отметнете Конфигуриран ли е вашият сървър syslog за SSL шифроване?.

Ако отметнете това квадратче, трябва да въведете URL адрес на TCP, като например tcp://10.92.43.23:514.
От падащия списък Избор на прекратяване на запис в syslog изберете подходящата настройка за вашия ISO файл: Избор или нов ред се използва за Graylog и Rsyslog TCP
- Нулев байт -- \x00
- Нов ред – \n – Изберете този избор за Graylog и Rsyslog TCP.
Щракнете върху Продължаване.

14

(По избор) Можете да промените стойността по подразбиране за някои параметри на връзката с база данни в Разширени настройки. По принцип този параметър е единственият, който може да искате да промените:

app_datasource_connection_pool_maxРазмер: 10

15

Щракнете върху Продължи на екрана Нулиране на паролата за акаунти за услуги .

Паролите за акаунта за услугата имат деветмесечен живот. Използвайте този екран, когато паролите ви наближават изтичане или искате да ги нулирате, за да invalidate previous ISO files.

16

Щракнете върху Изтегляне на ISO файл. Запишете файла на лесно за намиране място.

17

Направете резервно копие на ISO файла в локалната си система.

Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.

18

За да затворите инструмента за настройка, напишете CTRL+C.

Какво да направите след това

Архивиране на конфигурационния ISO файл. Необходимо е, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, ще загубите и главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.

Никога не разполагаме с копие на този ключ и не можем да ви помогнем, ако го изгубите.

Инсталиране на HDS Host OVA

Използвайте тази процедура, за да създадете виртуална машина от OVA файла.

1	Използвайте клиента VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi.
2	Изберете Файл > Разполагане на OVF шаблон.
3	В съветника укажете местоположението на OVA файла, който сте изтеглили по-рано, след което щракнете върху Напред.
4	На страницата Избор на име и папка въведете име на виртуална машина за възела (например "HDS_Node_1"), изберете местоположение, където може да се намира разполагането на възела на виртуалната машина, след което щракнете върху Напред.
5	На страницата Избор на изчислителен ресурс изберете целевия изчислителен ресурс и след това щракнете върху Напред. Извършва се проверка за валидиране. След като завърши, се показват подробностите за шаблона.
6	Проверете подробностите за шаблона и след това щракнете върху Напред.
7	Ако от вас бъде поискано да изберете конфигурацията на ресурсите на страницата Конфигурация , щракнете върху 4 процесора и след това щракнете върху Напред.
8	На страницата Избор на място за съхранение щракнете върху Напред , за да приемете формата на диска по подразбиране и правилата за съхранение на VM.
9	На страницата Избор на мрежи изберете опцията за мрежа от списъка със записи, за да осигурите желаната свързаност към VM.
10	На страницата Персонализиране на шаблон конфигурирайте следните мрежови настройки: Име на хост – въведете FQDN (име на хост и домейн) или една дума име на хост за възела. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509. За да гарантирате успешна регистрация в облака, използвайте само малки знаци във FQDN или името на хоста, които сте задали за възела. Капитализацията не се поддържа в този момент. Общата дължина на FQDN не трябва да надвишава 64 знака. IP адрес – Въведете IP адреса за вътрешния интерфейс на възела. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. Маска – Въведете адреса на маската на подмрежата с точка и запетая. Например 255.255.255.0. Шлюз – въведете IP адреса на шлюза. Шлюза е мрежов възел, който служи като точка за достъп до друга мрежа. DNS сървъри – Въведете списък с DNS сървъри, разделени със запетая, които обработват преобразуването на имената на домейни в цифрови IP адреси. (Разрешени са до 4 DNS записа.) NTP сървъри – Въведете NTP сървъра на вашата организация или друг външен NTP сървър, който може да се използва във вашата организация. NTP сървърите по подразбиране може да не работят за всички предприятия. Можете също да използвате списък, разделен със запетая, за да въведете няколко NTP сървъра. Разположете всички възли в една и съща подмрежа или VLAN, така че всички възли в клъстера да са достъпни от клиентите във вашата мрежа за административни цели. Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройване на VM на хибридна защита на данни , за да конфигурирате настройките от конзолата за възли. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 6.5. Опцията може да не е налична в по-ранни версии.
11	Щракнете с десния бутон върху възела VM и след това изберете Захранване > Включване. Софтуерът за хибридна защита на данни е инсталиран като гост на VM Host. Вече сте готови да влезете в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да усетите забавяне от няколко минути, преди контейнерите с възли да се появят. На конзолата се появява съобщение за защитна стена на мост по време на първото зареждане, по време на което не можете да влезете.

Настройване на VM на хибридна защита на данни

Използвайте тази процедура, за да влезете за първи път в конзолата на възела на хибридна защита на данни и да зададете данните за вход. Можете също да използвате конзолата, за да конфигурирате мрежовите настройки за възела, ако не сте ги конфигурирали по време на разполагането на OVA.

1	В клиента на VMware vSphere изберете своя възел на хибридна защита на данни VM и изберете раздела Конзола . VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Enter.
2	Използвайте следните данни за влизане и парола по подразбиране, за да влезете и да промените идентификационните данни: Влизане: `администратор` Парола: `cisco` Тъй като влизате във вашия VM за първи път, трябва да промените паролата на администратора.
3	Ако вече сте конфигурирали мрежовите настройки в Инсталиране на HDS Host OVA, пропуснете останалата част от тази процедура. В противен случай в главното меню изберете опцията Редактиране на конфигурацията .
4	Настройте статична конфигурация с IP адрес, маска, шлюз и DNS информация. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.
5	(По избор) Променете името на хоста, домейна или NTP сървъра(ите), ако е необходимо, за да съответстват на мрежовите ви правила. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509.
6	Запишете мрежовата конфигурация и рестартирайте VM, за да влязат в сила промените.

Качване и монтиране на конфигурация ISO на HDS

Използвайте тази процедура, за да конфигурирате виртуалната машина от ISO файла, който сте създали с инструмента за настройка на HDS.

Преди да започнете

Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на база „трябва да знаете“, за достъп от VM на хибридна защита на данни и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до datastore.

1

Качете ISO файла от компютъра си:

В левия навигационен екран на клиента VMware vSphere щракнете върху сървъра ESXi.
В списъка с хардуери на раздела за конфигуриране щракнете върху Място за съхранение.
В списъка Datastores щракнете с десния бутон върху datastore за вашите VMs и щракнете върху Преглед на Datastore.
Щракнете върху иконата Качване на файлове и след това щракнете върху Качване на файл.
Намерете местоположението, където сте изтеглили ISO файла на компютъра си, и щракнете върху Отвори.
Щракнете върху Да , за да приемете предупреждението за операцията за качване/изтегляне, и затворете диалоговия прозорец за данни.

2

Монтиране на ISO файла:

В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
Щракнете върху OK , за да приемете предупреждението за ограничени опции за редактиране.
Щракнете върху CD/DVD диск 1, изберете опцията за монтаж от ISO файл datastore и намерете местоположението, където сте качили конфигурационния ISO файл.
Отметнете Свързан и Свързване при включване.
Запишете промените си и рестартирайте виртуалната машина.

Какво да направите след това

Ако правилата за ИТ изискват, можете по избор да демонтирате ISO файла, след като всички ваши възли поемат промените в конфигурацията. Вижте (По избор) Демонтиране на ISO след конфигуриране на HDS за подробности.

Конфигуриране на HDS възел за интегриране на прокси сървър

Ако мрежовата среда изисква прокси, използвайте тази процедура, за да укажете вида на прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачен проверяващ прокси или HTTPS изричен прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главния сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните всички потенциални проблеми.

Преди да започнете

Вижте Поддръжка на прокси за общ преглед на поддържаните опции за прокси.
Изисквания към прокси сървъра

1	Въведете URL адреса за настройка на HDS възел `https://[HDS Възел IP или FQDN]/настройка` в уеб браузър, въведете администраторски идентификационни данни, които сте настроили за възела и след това щракнете върху Вход.
2	Отидете на Хранилище на доверие & Прокси , след което изберетеопция: Няма прокси сървър – опцията по подразбиране, преди да интегрирате прокси сървър. Не се изисква актуализация на сертификата. Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата. Прокси сървър за прозрачна проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра. Не httpS конфигурация промени са необходими в разполагането на защитата на хибридни данни, обаче HDS възли се нуждаят от главен сертификат, така че те се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS). Изричен прокси сървър – С изричния прокси сървър казвате на клиента (HDS възли) кой прокси сървър да използва, и тази опция поддържа няколко типа удостоверяване. След като изберете тази опция, трябва да въведете следната информация: Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик. Прокси протокол – изберете http (преглежда и управлява всички заявки, които се получават от клиента) или https (осигурява канал към сървъра и клиентът получава и валидира сертификата на сървъра). Изберете опция въз основа на това, което поддържа вашият прокси сървър. Тип удостоверяване – изберете измежду следните типове удостоверяване: Няма – Не се изисква допълнително удостоверяване. Налична за HTTP или HTTPS проксита. Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране. Налична за HTTP или HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата. Предлага се само за HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Изпълнете следващите стъпки за прозрачен проверяващ прокси, HTTP изрично прокси с базово удостоверяване или HTTPS изрично прокси.
3	Щракнете върху Качване на главен сертификат или Сертификат за краен обект и след това навигирайте до изберете главния сертификат запрокси. Сертификатът се качва, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката chevron по името на издателя на сертификата, за да получите повече подробности или щракнете върху Изтрий, ако сте направили грешка и искате да качите повторно файла.
4	Щракнете върху Проверка на прокси връзката, за да тествате мрежовата свързаност между възела и прокси. Ако тестът за връзка е неуспешен, ще видите съобщение за грешка, което показва причината и как можете да коригирате проблема. Ако видите съобщение, което казва, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на блокирано външно DNS разрешаване. Ако мислите, че това е грешка, изпълнете тези стъпки и след това вижте Изключване на режима на блокирано външно разрешаване на DNS.
5	След като тестът за връзка премине, за изрично прокси настроен само на https, включете превключването към Маршрут всички порт 443/444 https заявки от този възел през изрично прокси. Тази настройка изисква 15 секунди, за да влязат в сила.
6	Щракнете върху Инсталиране на всички сертификати в хранилището на гаранти (появява се за HTTPS изрично прокси или прозрачен проверяващ прокси) или Рестартиране (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете върху Инсталиране, ако сте готови. Възелът се рестартира в рамките на няколко минути.
7	След рестартирането на възела влезте отново, ако е необходимо, след което отворете страницата Общ преглед, за да проверите проверките за свързване, за да се уверите, че всички те са в зелено състояние. Проверката на прокси връзката тества само поддомейн от webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират в прокси.

Регистриране на първия възел в клъстера

Тази задача взема генеричния възел, който сте създали в Настройване на хибридна защита на данни VM, регистрира възела с облака на Webex и го превръща във възел на хибридна защита на данни.

Когато регистрирате първия си възел, създавате клъстер, към който е разпределен възелът. Клъстерът съдържа един или повече възли, разгърнати за осигуряване на резерв.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Настройка.
4	На страницата, която се отваря, щракнете върху Добавяне на ресурс.
5	В първото поле на картата Добавяне на възел въведете име за клъстера, на който искате да разпределите вашия възел на хибридна защита на данни. Препоръчваме ви да посочите клъстер въз основа на географското местоположение на клъстера. Примери: „Сан Франциско“ или „Ню Йорк“ или „Далас“
6	Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне в долната част на екрана. Този IP адрес или FQDN трябва да съвпада с IP адреса или името на хоста и домейна, които сте използвали в Настройване на VM на хибридна защита на данни. Появява се съобщение, което показва, че можете да регистрирате възела в Webex.
7	Щракнете върху Към възел. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация в Webex за достъп до вашия възел.
8	Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex.
9	Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. На страницата Хибридна защита на данни новият клъстер, съдържащ възела, който сте регистрирали, се показва под раздела Ресурси . Възелът автоматично ще изтегли най-новия софтуер от облака.

Създаване и регистриране на още възли

За да добавите допълнителни възли към вашия клъстер, просто създавате допълнителни VM и монтирате същия конфигурационен ISO файл, след което регистрирайте възела. Препоръчваме ви да имате поне 3 възела.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталиране на HDS Host OVA.
2	Настройте първоначалната конфигурация на новия VM, като повторите стъпките в Настройване на хибридна защита на данни VM.
3	На новия VM повторете стъпките в Качване и монтиране на ISO на конфигурацията на HDS.
4	Ако настройвате прокси сървър за разполагането си, повторете стъпките в Конфигуриране на възела на HDS за интеграция на прокси сървър , както е необходимо за новия възел.
5	Регистрирайте възела. В https://admin.webex.com изберете Услуги от менюто от лявата страна на екрана. В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Преглед на всички. Показва се страницата с ресурси за хибридна защита на данни. Новосъздаденият клъстер ще се появи на страницата Ресурси . Щракнете върху клъстера, за да видите възлите, разпределени към клъстера. Щракнете върху Добавяне на възел от дясната страна на екрана. Въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне. Отваря се страница със съобщение, което показва, че можете да регистрирате възела си в облака Webex. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация за достъп до вашия възел. Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex. Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. Изскачащото съобщение Добавен възел също се появява в долната част на екрана в Partner Hub. Възелът ви е регистриран.

Управление на организации на клиенти в хибридна защита на данни с много клиенти

Активиране на HDS с много клиенти в Partner Hub

Тази задача гарантира, че всички потребители на клиентските организации могат да започнат да използват HDS за локални ключове за шифроване и други услуги за защита.

Преди да започнете

Уверете се, че сте завършили настройването на своя клъстер на HDS с много клиенти с необходимия брой възли.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките.
4	Щракнете върху Активиране на HDS на картата Статус на HDS .

Добавяне на организации на клиенти в Partner Hub

В тази задача задавате клиентски организации към вашия клъстер на хибридна защита на данни.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	Щракнете върху клъстера, към който искате да бъде разпределен клиент.
5	Отидете в раздела Зададени клиенти .
6	Щракнете върху Добавяне на клиенти.
7	Изберете клиента, който искате да добавите, от падащото меню.
8	Щракнете върху Добавяне, клиентът ще бъде добавен към клъстера.
9	Повторете стъпки 6 до 8, за да добавите множество клиенти към вашия клъстер.
10	Щракнете върху Готово в долната част на екрана, след като сте добавили клиентите.

Какво да направите след това

Изпълнете инструмента за настройка на HDS, както е подробно описано в Създаване на главни ключове на клиенти (CMK) с помощта на инструмента за настройка на HDS , за да завършите процеса на настройка.

Създаване на главни ключове (CMK) за клиента с помощта на инструмента за настройка на хибридни съобщения

Преди да започнете

Разпределете клиенти към съответния клъстер, както е подробно описано в Добавяне на организации на клиенти в Partner Hub. Стартирайте инструмента за настройка на HDS, за да завършите процеса на настройка за новодобавените клиентски организации.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете. Осигурете свързване с вашата база данни, за да извършите управление на CMK.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Създаване на CMK за всички организации или Създаване на CMK – щракнете върху този бутон на банера в горната част на екрана, за да създадете CMK за всички новодобавени организации. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Създаване на CMK , за да създадете CMK за всички новодобавени организации. Щракнете върху ... близо до управлението на CMK в очакване на статуса на определена организация в таблицата и щракнете върху Създаване на CMK , за да създадете CMK за тази организация.
12	След като създаването на CMK е успешно, статусът в таблицата ще се промени от управление на CMK в очакване на управление на CMK.
13	Ако създаването на CMK е неуспешно, ще се покаже грешка.

Премахване на организации на клиенти

Преди да започнете

След като бъдат премахнати, потребителите на организации на клиенти няма да могат да използват HDS за своите нужди от шифроване и ще загубят всички съществуващи места. Преди да премахнете клиентски организации, се свържете със своя партньор в Cisco или мениджър на акаунти.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	В раздела Ресурси щракнете върху клъстера, от който искате да премахнете клиентските организации.
5	На страницата, която се отваря, щракнете върху Зададени клиенти.
6	От списъка с клиентски организации, които се показват, щракнете върху ... от дясната страна на клиентската организация, която искате да премахнете, и щракнете върху Премахване от клъстера.

Какво да направите след това

Завършете процеса на премахване, като анулирате CMK на клиентските организации, както е подробно описано в Анулиране на CMK на клиенти, премахнати от HDS.

Анулиране на CMK на клиенти, премахнати от HDS.

Преди да започнете

Премахнете клиенти от съответния клъстер, както е подробно описано в Премахване на организации на клиенти. Стартирайте инструмента за настройка на HDS, за да завършите процеса на премахване за организациите на клиента, които са премахнати.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Анулиране на CMK за всички организации или Анулиране на CMK – щракнете върху този бутон на банера в горната част на екрана, за да анулирате CMK на всички организации, които са премахнати. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Анулиране на CMK , за да анулирате CMK на всички организации, които са премахнати. Щракнете върху … близо до CMK, за да бъде отменено състоянието на определена организация в таблицата и щракнете върху Анулиране на CMK , за да анулирате CMK за тази конкретна организация.
12	След успешното анулиране на CMK организацията на клиента повече няма да се показва в таблицата.
13	Ако отмяната на CMK е неуспешно, ще се покаже грешка.

Тестване на вашето разполагане на хибридна защита на данни

Използвайте тази процедура, за да тествате сценариите за шифроване на хибридна защита на данни с много клиенти.

Преди да започнете

Настройте своето разполагане на хибридна защита на данни с много клиенти.
Уверете се, че имате достъп до syslog, за да потвърдите, че ключовите заявки се подават към вашето разполагане на хибридна защита на данни с много клиенти.

1

Бутоните за дадено място се задават от създателя на мястото. Влезте в приложението Webex като един от потребителите на организацията на клиентите и след това създайте място.

Ако деактивирате разполагането на хибридна защита на данни, съдържанието в местата, които създават потребителите, вече не е достъпно, след като бъдат заменени кешираните от клиента копия на ключовете за шифроване.

2

Изпратете съобщения до новото място.

3

Проверете изхода на syslog, за да потвърдите, че ключовите заявки се прехвърлят към вашето разполагане на хибридна защита на данни.

За да проверите за потребител, който първо създава защитен канал към KMS, филтрирайте на kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

Трябва да намерите запис като следния (идентификатори, съкратени за четливост):

2020-07-21 17:35:34.562 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-1] - [KMS:ЗАЯВКА] получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: //hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

За да проверите за потребител, който иска съществуващ ключ от KMS, филтрирайте на kms.data.method=retrieve и kms.data.type=KEY:

Трябва да намерите запис, като:

2020-07-21 17:44:19.889 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-31] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ключ, филтрирайте на kms.data.method=create и kms.data.type=KEY_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:21.975 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-33] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ресурсен обект (KRO), когато се създава пространство или друг защитен ресурс, филтрирайте на kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:22.808 (+0000) ИНФОРМАЦИЯ KMS [pool-15-thread-1] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Наблюдение на изправността на хибридна защита на данни

Индикатор за статус в Partner Hub ви показва дали всичко е наред с разполагането на хибридна защита на данни с много клиенти. За по-активно предупреждаване се запишете за известия по имейл. Ще бъдете уведомени, когато има аларми, засягащи услугата, или надстройки на софтуера.

1	В Partner Hub изберете Услуги от менюто от лявата страна на екрана.
2	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките. Показва се страницата с настройки за хибридна защита на данни.
3	В раздела \„Имейл известия\“ въведете един или повече имейл адреси, разделени със запетаи, и натиснете Enter.

Управление на вашето разполагане на HDS

Управление на разполагането на HDS

Използвайте описаните тук задачи, за да управлявате своето разполагане на хибридна защита на данни.

Задаване на график за надстройване на клъстери

Надстройките на софтуера за хибридна защита на данни се извършват автоматично на ниво клъстер, което гарантира, че всички възли винаги изпълняват една и съща софтуерна версия. Надстройванията се извършват съгласно графика за надстройване за клъстера. Когато е налична надстройка на софтуера, имате възможност ръчно да надстроите клъстера преди планираното време за надстройване. Можете да зададете конкретен график за надстройване или да използвате графика по подразбиране от 3:00 ч. дневно в Съединените щати: Америка/Лос Анджелис. Можете също да изберете да отложите предстоящото надстройване, ако е необходимо.

За да зададете графика за надстройване:

1	Влезте в Центъра за партньори.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Настройка
4	На страницата с ресурси за хибридна защита на данни изберете клъстера.
5	Щракнете върху раздела Настройки на клъстера .
6	На страницата с настройки на клъстери под „График за надстройване“ изберете часа и часовата зона за графика за надстройване. Забележка: Под часовата зона се показват следващата налична дата и час на надстройване. Можете да отложите надстройването до следващия ден, ако е необходимо, като щракнете върху Отложи с 24 часа.

Промяна на конфигурацията на възела

От време на време може да се наложи да промените конфигурацията на вашия възел за защита на хибридни данни поради причина като:

Промяна на x.509 сертификати поради изтичане или други причини.

Не поддържаме промяна на CN името на домейн на сертификат. Домейнът трябва да съответства на оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.

Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или обратното. За да превключите средата на базата данни, започнете ново внедряване на Hybrid Data Security.
Създаване на нова конфигурация за подготовка на нов център за данни.

Също така, за целите на защитата, Hybrid Data Security използва пароли за сервизен акаунт, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, ги разполагате на всеки от вашите HDS възли във файла ISO config. Когато паролите на вашата организация са към изтичане, получавате известие от екипа на Webex за нулиране на паролата за вашия машинен акаунт. (Имейлът включва текста „Използвайте API на машинния акаунт, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:

Софтуерно нулиране – И двете стари и нови пароли работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране – Старите пароли спират да работят незабавно.

Ако вашите пароли изтекат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно хардуерно нулиране и подмяна на ISO файла на всички възли.

Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни права на администратор на партньор.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в 1.e. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Имате нужда от ISO, когато правите промени в конфигурацията, включително идентификационни данни на база данни, актуализации на сертификати или промени в правилата за оторизация.

1	Използвайки Docker на локална машина, стартирайте HDS Setup Tool. В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате. За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro` При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa` Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен` Уверете се, че сте изтеглили най-новия инструмент за настройка за тази процедура. Версиите на инструмента, създадени преди 22 февруари 2018 г., нямат екрани за нулиране на парола. Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В нормални среди с HTTPSпрокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате "Express сървър слушане на порт 8080." Използвайте браузър, за да се свържете с localhost, `http://127.0.0.1:8080`. Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Когато получите подкана, въведете идентификационните си данни за влизане за клиент на Partner Hub и след това щракнете върху Приемане , за да продължите. Импортирайте текущия конфигурационен ISO файл. Следвайте подканите, за да завършите инструмента и да изтеглите актуализирания файл. За да затворите инструмента за настройка, напишете `CTRL+C`. Създайте резервно копие на актуализирания файл в друг център за данни.
2	Ако имате работещ само един HDS възел, създайте нов VM възел на хибридна защита на данни и го регистрирайте, като използвате новия конфигурационен ISO файл. За по-подробни инструкции вижте Създаване и регистриране на още възли. Инсталирайте HDS хост OVA. Настройте HDS VM. Монтирайте актуализирания конфигурационен файл. Регистрирайте новия възел в Partner Hub.
3	За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: Изключете виртуалната машина. В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките. Щракнете върху `CD / DVD диск 1 , изберете опцията за монтиране от ISO файл и`прегледайте местоположението, където сте изтеглили новия конфигурационен ISO файл. Поставете отметка на Свързване при включване. Запазете промените си и включете виртуалната машина.
4	Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация.

Изключване на режим на блокирана външна DNS разделителна способност

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. Ако DNS сървърът на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на блокирана външна DNS разделителна способност.

Ако вашите възли са в състояние да разреши публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим чрез повторно изпълнение на теста за прокси връзка на всеки възел.

Преди да започнете

Гарантирайте, че вашите вътрешни DNS сървъри могат да разрешават публични DNS имена, както и че вашите възли могат да комуникират с тях.

1	В уеб браузър отворете интерфейса на възела "Защита на хибридните данни" (IP адрес/настройка например въведете идентификационни данни за администриране, които https://192.0.2.0/setup), сте задали за възела, след което щракнете върху Влизане.
2	Отидете на Общ преглед (страницата по подразбиране). Когато е разрешено, блокирани външна DNS разделителна способност е зададена да .
3	Отидете на страницата Хранилище на доверие & Прокси.
4	Щракнете върху Проверка на прокси връзката. Ако видите съобщение, казващо, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра и ще остане в този режим. В противен случай, след като рестартирате възела и да се върнете към страницата общ преглед, Блокиран външен DNS разделителна способност трябва да бъде зададено на не.

Какво да направите след това

Повторете теста за прокси връзка на всеки възел във вашия клъстер за защита на хибридни данни.

Премахване на възел

Използвайте тази процедура, за да премахнете възел на хибридна защита на данни от облака Webex. След като премахнете възела от клъстера, изтрийте виртуалната машина, за да предотвратите по-нататъшен достъп до вашите данни за защита.

1

Използвайте клиента на VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуалната машина.

2

Премахване на възела:

Влезте в Partner Hub и изберете Услуги.
В картата на хибридна защита на данни щракнете върху Преглед на всички , за да покажете страницата с ресурси за хибридна защита на данни.
Изберете своя клъстер, за да се покаже неговият панел \„Общ преглед\“.
Щракнете върху възела, който искате да премахнете.
Щракнете върху Дерегистриране на този възел на панела, който се появява вдясно
Можете също да дерегистрирате възела, като щракнете върху ... от дясната страна на възела и изберете Премахване на този възел.

3

В клиента vSphere изтрийте VM. (В левия навигационен екран щракнете с десния бутон върху VM и щракнете върху Изтрий.)

Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за защита.

Възстановяване след бедствие с използване на центъра за данни в режим на готовност

Най-критичната услуга, която вашият клъстер на хибридна защита на данни предоставя, е създаването и съхранението на ключове, използвани за шифроване на съобщения и друго съдържание, съхранени в облака на Webex. За всеки потребител в рамките на организацията, който е разпределен към хибридна защита на данни, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът също така е отговорен за връщането на създадените ключове на всички потребители, упълномощени да ги извлекат, например членове на място за разговори.

Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат подходящи резервни копия. Загубата на базата данни за хибридна защита на данни или на конфигурационния ISO, използван за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентското съдържание. За предотвратяване на такава загуба са задължителни следните практики:

Ако при бедствие разполагането на HDS в основния център за данни стане недостъпно, следвайте тази процедура, за да се върнете ръчно към центъра за данни в режим на готовност.

Преди да започнете

Премахнете регистрацията на всички възли от Partner Hub, както е посочено в Премахване на възел. Използвайте най-новия ISO файл, конфигуриран спрямо възлите на клъстера, който преди това е бил активен, за да извършите посочената по-долу процедура за преместване при отказ.

1	Стартирайте инструмента за настройка на HDS и следвайте стъпките, споменати в Създаване на конфигурационен ISO за хостовете на HDS.
2	Завършете процеса на конфигуриране и запишете ISO файла на лесно за намиране място.
3	Направете резервно копие на ISO файла в локалната си система. Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.
4	В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
5	Щракнете върху Редактиране на настройките >CD/DVD диск 1 и изберете Datastore ISO файл. Уверете се, че са отметнати Свързани и Свързване при включване , за да могат актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.
6	Включете възела на HDS и се уверете, че няма аларми поне 15 минути.
7	Регистрирайте възела в Partner Hub. Вижте Регистриране на първия възел в клъстера.
8	Повторете процеса за всеки възел в центъра за данни в режим на готовност.

Какво да направите след това

След отказ, ако основният център за данни се активира отново, премахнете регистрацията на възлите на центъра за данни в режим на готовност и повторете процеса на конфигуриране на ISO и регистриране на възлите на основния център за данни, както е посочено по-горе.

(По избор) Демонтиране на ISO след конфигуриране на HDS

Стандартната конфигурация на HDS работи с монтирания ISO. Но някои клиенти предпочитат да не оставят ISO файловете постоянно монтирани. Можете да разглобите ISO файла, след като всички възли на HDS поемат новата конфигурация.

Все още използвате ISO файловете, за да направите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всички ваши HDS възли. След като всички ваши възли са приели промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.

Преди да започнете

Надстройте всички ваши HDS възли до версия 2021.01.22.4720 или по-нова.

1	Затворете един от възлите си за HDS.
2	В уреда vCenter Server изберете възела на HDS.
3	Изберете Редактиране на настройките > CD/DVD диск и премахнете отметката от Datastore ISO файл.
4	Включете възела на HDS и се уверете, че няма аларми поне 20 минути.
5	Повторете за всеки HDS възел на смяна.

Отстраняване на неизправности в хибридна защита на данни

Преглед на предупрежденията и отстраняване на неизправности

Разполагането на хибридна защита на данни се счита за налично, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че отнема време. Ако потребителите не могат да се свържат с вашия клъстер на хибридна защита на данни, те изпитват следните симптоми:

Не могат да се създават нови места (не могат да се създадат нови ключове)
Неуспешно дешифриране на съобщенията и заглавията на пространството за:
- Нови потребители, добавени към място (не могат да се извлекат ключове)
- Съществуващи потребители в място с помощта на нов клиент (не могат да се извлекат ключовете)
Съществуващите потребители в дадено място ще продължат да се изпълняват успешно, стига клиентите им да имат кеш с ключовете за шифроване

Важно е да наблюдавате правилно своя клъстер на хибридна защита на данни и да обръщате бързо към всички предупреждения, за да избегнете прекъсване на услугата.

Предупреждения

Ако има проблем с настройката на хибридна защита на данни, Partner Hub показва предупреждения до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Предупрежденията обхващат много общи сценарии.

Таблица 1. Общи проблеми и стъпки за тяхното разрешаване
Предупреждение	Действие
Отказ на достъп до локална база данни.	Проверете за грешки в базата данни или проблеми с локалната мрежа.
Неуспешна връзка с локалната база данни.	Проверете дали сървърът с база данни е достъпен и дали са използвани правилните идентификационни данни за акаунта за услуга в конфигурацията на възела.
Неуспешен достъп до услугата в облака.	Проверете дали възлите имат достъп до сървърите на Webex, както е посочено в Изисквания за външна свързаност.
Подновяване на регистрацията за услуги в облака.	Регистрацията в услугите в облака беше прекъсната. Протича подновяване на регистрацията.
Регистрацията на услуги в облака е прекъсната.	Регистрирането в облачни услуги е прекратено. Услугата се затваря.
Услугата все още не е активирана.	Активирайте HDS в Partner Hub.
Конфигурираният домейн не съответства на сертификата на сървъра.	Уверете се, че сертификатът на сървъра ви съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата наскоро е променен и сега е различен от CN, който е бил използван по време на първоначалната настройка.
Неуспешно удостоверяване в услугите в облака.	Проверете за точност и възможно изтичане на идентификационните данни за акаунта за услугата.
Неуспешно отваряне на локалния файл на клавиатурата.	Проверете за целостта и точността на паролата във файла с локалния клавиатура.
Сертификатът за локален сървър е невалиден.	Проверете датата на изтичане на сертификата на сървъра и потвърдете, че той е издаден от надежден сертифициращ орган.
Неуспешно публикуване на метриките.	Проверете достъпа до локалната мрежа до външни облачни услуги.
Директорията /media/configdrive/hds не съществува.	Проверете конфигурацията за монтаж на ISO на виртуалния хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и дали се монтира успешно.
Настройката на организация на клиент не е завършена за добавените организации	Завършете настройката, като създадете CMK за новодобавени организации на клиенти с помощта на инструмента за настройка на хибридни съобщения.
Настройката на организация на клиента не е завършена за премахнатите организации	Завършете настройката чрез анулиране на CMK на организациите на клиенти, които са премахнати с помощта на инструмента за настройка на хибридни телефони (HDS).

Отстраняване на неизправности в хибридна защита на данни

Използвайте следните общи насоки, когато отстранявате проблеми с хибридна защита на данни.

1	Прегледайте Partner Hub за предупреждения и коригирайте всички елементи, които намерите там. Вижте изображението по-долу за справка.
2	Прегледайте изхода на сървъра syslog за активност от разполагането на хибридна защита на данни. Филтрирайте за думи като „Предупреждение“ и „Грешка“, за да помогнете при отстраняване на неизправности.
3	Свържете се с поддръжката на Cisco.

Други бележки

Известни проблеми с хибридната защита на данните

Ако затворите своя клъстер на хибридна защита на данни (като го изтриете в Partner Hub или като затворите всички възли), загубите своя ISO файл за конфигуриране или загубите достъп до базата данни на клавиатурата, потребителите на приложението Webex на клиентските организации вече няма да могат да използват пространства в своя списък "Хора", създадени с ключове от вашия KMS. В момента нямаме заобиколно решение или корекция за този проблем и ви призовавам да не затваряте услугите си за HDS, след като обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за период от време (вероятно един час).

Използване на OpenSSL за генериране на PKCS12 файл

Преди да започнете

OpenSSL е един инструмент, който може да се използва за създаване на PKCS12 файл в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини за това и ние не подкрепяме и не насърчаваме един път над друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като ръководство, за да ви помогнем да създадете файл, който отговаря на изискванията за сертификат X.509 в Изисквания за сертификат X.509. Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижте https://www.openssl.org софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификата на сървъра от вашия сертифициращ орган (CA).

1	Когато получите сертификата на сървъра от вашия CA, запишете го като `hdsnode.pem`.
2	Показване на сертификата като текст и проверете подробностите. `openssl x509 -текст -noout -в hdsnode.pem`
3	Използвайте текстов редактор, за да създадете файл пакет сертификат, наречен `hdsnode-bundle.pem`. Пакетният файл трябва да включва сертификата на сървъра, всички междинни CA сертификати и корневи CA сертификати в следния формат: `-----начало на сертификат----- ### сертификат на сървър. ### -----край на сертификат--------------- начало на сертификат------ ### Междинен CA сертификат. ### -----край на сертификат--------------- начало на сертификат------ ### Корневи CA сертификат. ### -----край на сертификат-----`
4	Създайте .p12 файла с приятелското име `kms-частен-ключ`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверете подробностите за сертификата на сървъра. `openssl pkcs12 -в hdsnode.p12` Въведете парола при подкана да шифровате частния ключ, така че да се показва в изхода. След това се уверете, че частният ключ и първият сертификат включват линиите `friendlyName: kms-частен-ключ`. Пример: bash$ openssl pkcs12 -in hdsnode.p12 Въведете паролата за импортиране: MAC потвърди атрибути OK Bag friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключови атрибути: Въведете фраза за преминаване на PEM: Потвърждаване – Въведете фраза за достъп до PEM: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Какво да направите след това

Върнете се, за да изпълните изискванията за хибридна защита на данни. Ще използвате файла hdsnode.p12 и паролата, която сте задали за него, в Създаване на конфигурационен ISO за организаторите на HDS.

Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато първоначалният сертификат изтече.

Трафик между възлите на HDS и облака

Изходящ трафик за събиране на метрики

Възлите на хибридна защита на данни изпращат определени показатели към облака на Webex. Те включват системни метрики за heap max, използван heap, натоварване на процесора и брой нишки; метрики за синхронните и асинхронните нишки; метрики за предупрежденията, включващи праг на шифроване връзки, латентност или дължина на опашката за заявки; метрики за datastore; и метрики за връзката за шифроване. Възлите изпращат материали за шифрован ключ през нечестотен (отделен от заявката) канал.

Входящ трафик

Възлите на хибридна защита на данни получават следните типове входящ трафик от облака на Webex:

Заявки за шифроване от клиенти, които се маршрутизират от услугата за шифроване
Надстройки до софтуера за възли

Конфигуриране на прокси сървъри за хибридна защита на данните

Websocket не може да се свърже чрез сепия прокси

Прокси сървърите, които инспектират HTTPS трафика, могат да повлияят на създаването на websocket (в к:) връзки, които изискват хибридната защита на данните. Тези раздели дават насоки как да конфигурирате различни версии на Калмар, за да игнорирате wss: трафик за правилното функциониране на услугите.

Калмята 4 и 5

Добавете on_unsupported_protocol директивата към squid.conf:

on_unsupported_protocol тунел

Сепия 3.5.27

Успешно тествахме Hybrid Data Security със следните правила, добавени към squid.conf. Тези правила подлежат на промяна, тъй като разработваме функции и актуализираме webex облака.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump надничане step1 всички ssl_bump stare step2 всички ssl_bump bump step3 всички

Нова и променена информация

Тази таблица обхваща нови функции или функционалности, промени в съществуващото съдържание и всички големи грешки, които са поправени в Ръководство за разполагане за хибридна защита на данните с много клиенти.

Дата	Направени промени
30 януари 2025 г.	Добавена е версия на SQL сървър 2022 към списъка с поддържани SQL сървъри в изискванията за сървър на базата данни.
15 януари 2025 г.	Добавени ограничения на хибридната защита на данните с много клиенти.
08 януари 2025 г.	Добавена е бележка в Извършване на първоначална настройка и изтегляне на инсталационни файлове , в която се посочва, че щракването върху Настройка на HDS картата в Partner Hub е важна стъпка от процеса на инсталиране.
07 януари 2025 г.	Актуализирани изисквания за виртуален хост, Поток от задачи за разполагане на хибридна защита на данни, и Инсталиране на HDS Host OVA , за да се покаже ново изискване на ESXi 7.0.
13 декември 2024 г.	Публикувана за първи път.

Деактивиране на хибридна защита на данни с много клиенти

Поток на задачи за деактивиране на HDS с много клиенти

Изпълнете тези стъпки, за да деактивирате напълно HDS с много клиенти.

Преди да започнете

Тази задача трябва да се изпълнява само от администратор с пълни права на партньор.

1	Премахнете всички клиенти от всичките ви клъстери, както е посочено в Премахване на организации на клиенти.
2	Анулирайте CMK на всички клиенти, както е посочено в Анулиране на CMK на клиенти, премахнати от HDS..
3	Премахнете всички възли от всичките ви клъстери, както е посочено в Премахване на възел.
4	Изтрийте всичките си клъстери от Partner Hub, като използвате един от следните два метода. Щракнете върху клъстера, който искате да изтриете, и изберете Изтриване на този клъстер в горния десен ъгъл на страницата за общ преглед. На страницата „Ресурси“ щракнете върху ... от дясната страна на клъстер и изберете Премахване на клъстер.
5	Щракнете върху раздела Настройки на страницата за общ преглед на хибридната защита на данни и щракнете върху Деактивиране на хибридната защита на данни в картата за статус на HDS.

Първи стъпки с хибридна защита на данните с много клиенти

Общ преглед на хибридна защита на данни с няколко клиента

От първия ден сигурността на данните е основният фокус при проектирането на приложението Webex. Крайъгълният камък на тази защита е цялостното шифроване на съдържание, разрешено от клиентите на приложението Webex, които взаимодействат с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографски ключове, които клиентите използват за динамично криптиране и дешифриране на съобщения и файлове.

По подразбиране всички клиенти на приложението Webex получават цялостно шифроване с динамични ключове, съхранявани в облака KMS, в областта на защитата на Cisco. Хибридната защита на данните премества KMS и други свързани със сигурността функции във вашия корпоративен център за данни, така че никой освен вас не държи ключовете за вашето криптирано съдържание.

Хибридната защита на данните с много клиенти позволява на организациите да използват HDS чрез надежден местен партньор, който може да действа като доставчик на услуги и да управлява локално шифроване и други услуги за защита. Тази настройка позволява на партньорската организация да има пълен контрол върху разполагането и управлението на ключове за шифроване и гарантира, че потребителските данни на клиентските организации са безопасни от външен достъп. Партньорските организации настройват HDS екземпляри и създават HDS клъстери, ако е необходимо. Всеки екземпляр може да поддържа няколко клиентски организации за разлика от нормалното разполагане на HDS, което е ограничено до една организация.

Въпреки че партньорските организации имат контрол върху разполагането и управлението, те нямат достъп до данни и съдържание, генерирани от клиентите. Този достъп е ограничен до клиентски организации и техните потребители.

Това също така позволява по-малките организации да използват HDS, тъй като услугата за управление на ключове и инфраструктурата за сигурност, като центровете за данни, са собственост на доверения местен партньор.

Как хибридната защита на данните с няколко клиента осигурява суверенитет на данните и контрол на данните

Генерираното от потребителите съдържание е защитено от външен достъп, като например доставчици на облачни услуги.
Местните доверени партньори управляват ключовете за шифроване на клиенти, с които вече имат установени отношения.
Опция за местна техническа поддръжка, ако бъде предоставена от партньора.
Поддържа съдържание в Meetings, Messaging и Calling.

Този документ има за цел да помогне на партньорските организации да настройват и управляват клиенти в система за хибридна защита на данните с много клиенти.

Ограничения на хибридната защита на данните с много клиенти

Партньорските организации не трябва да имат съществуващо активно разполагане на HDS в Control Hub.
Организациите на клиенти или клиенти, които желаят да бъдат управлявани от партньор, не трябва да имат съществуващо разполагане на HDS в Control Hub.
След като HDS за множество клиенти бъде разгърнат от партньора, всички потребители на клиентски организации, както и потребители на партньорската организация, започват да използват HDS за множество клиенти за своите услуги за шифроване.

Партньорската организация и клиентските организации, които управляват, ще бъдат на едно и също разполагане на HDS с много клиенти.

Партньорската организация вече няма да използва KMS в облака след разгръщането на HDS с много клиенти.
Няма механизъм за преместване на ключовете обратно към Cloud KMS след разполагане на HDS.
В момента всяко разполагане на HDS с много клиенти може да има само един клъстер, с множество възли под него.
Ролите на администратор имат определени ограничения; вижте раздела по-долу за подробности.

Роли в хибридна защита на данните с няколко клиента

Администратор на партньор с пълни права – може да управлява настройките за всички клиенти, които партньорът управлява. Могат също да възлагат администраторски роли на съществуващи потребители в организацията и да задават конкретни клиенти, които да бъдат управлявани от администратори на партньора.
Администратор на партньор – може да управлява настройките за клиенти, които администраторът е предоставил или които са зададени на потребителя.
Пълен администратор – администратор на партньорската организация, който е упълномощен да изпълнява задачи, като промяна на настройките на организацията, управление на лицензи и задаване на роли.

Цялостно настройване и управление на HDS с много клиенти на всички клиентски организации – изискват се пълен администратор на партньор и права на пълен администратор.
Управление на зададените организации на клиенти – изискват се администратор на партньор и права на пълен администратор.

Архитектура на областта на сигурността

Архитектурата на облака на Webex разделя различните типове услуги в отделни области или домейни на доверие, както е описано по-долу.

За да разберем по-подробно хибридната защита на данните, нека първо разгледаме този случай в облака, където Cisco предоставя всички функции в своите облачни области. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логично и физически отделена от областта на защитата в центъра за данни B. И двете от своя страна са отделени от областта, в която в крайна сметка се съхранява шифровано съдържание, в центъра за данни C.

На тази схема клиентът е приложението Webex, което се изпълнява на лаптопа на потребителя, и е удостоверен с услугата за самоличност. Когато потребителят композира съобщение за изпращане до интервал, се извършват следните стъпки:

Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за шифроване на съобщението. Защитената връзка използва ECDH, а KMS шифрова ключа с помощта на главния ключ AES-256.
Съобщението е шифровано преди да напусне клиента. Клиентът го изпраща на услугата за индексиране, която създава шифровани индекси за търсене, за да подпомогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща на услугата за съответствие за проверки за съответствие.
Шифрованото съобщение се съхранява в областта на мястото за съхранение.

Когато разположите хибридна защита на данни, премествате функциите на областта на защитата (KMS, индексиране и съответствие) в своя локален център за данни. Другите услуги в облака, които съставляват Webex (включително съхранение на самоличност и съдържание), остават в областите на Cisco.

Сътрудничество с други организации

Потребителите във вашата организация могат редовно да използват приложението Webex за сътрудничество с външни участници в други организации. Когато един от вашите потребители поиска ключ за място, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашата KMS изпраща ключа на клиента чрез ECDH защитен канал. Когато обаче друга организация притежава ключа за пространството, вашият KMS маршрутизира заявката към облака Webex чрез отделен ECDH канал, за да получи ключа от съответния KMS и след това връща ключа на вашия потребител в оригиналния канал.

Услугата KMS, изпълнявана в организация А, валидира връзките към KMS в други организации, като използва x.509 PKI сертификати. Вижте Подготовка на средата за подробности относно генерирането на сертификат x.509, който да се използва при вашето разполагане на хибридна защита на данни с много клиенти.

Очаквания за внедряване на хибридна защита на данни

Внедряването на хибридна защита на данни изисква значителна ангажираност и осведоменост за рисковете, които идват от притежаването на ключове за шифроване.

За да разположите хибридна защита на данни, трябва да предоставите:

Защитен център за данни в страна, която е поддържано местоположение за плановете на Cisco Webex Teams.
Оборудването, софтуерът и мрежовият достъп, описани в Подготовка на средата.

Пълната загуба или на конфигурационния ISO, който изграждате за хибридна защита на данни, или на базата данни, която предоставяте, ще доведе до загуба на ключове. Загубата на ключове не позволява на потребителите да дешифрират съдържанието в пространството и други шифровани данни в приложението Webex. Ако това се случи, можете да изградите ново разполагане, но ще се вижда само новото съдържание. За да избегнете загуба на достъп до данни, трябва:

Управлявайте архивирането и възстановяването на базата данни и конфигурационния ISO.
Бъдете готови да извършите бързо възстановяване след бедствие, ако възникне катастрофа, като повреда на диска на базата данни или бедствие на центъра за данни.

Няма механизъм за преместване на ключовете обратно в облака след разполагане на HDS.

Процес на настройка на високо ниво

Този документ обхваща настройката и управлението на разполагането на хибридна защита на данни с много клиенти:

Настройване на хибридна защита на данни – това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данни, изграждане на клъстер на HDS, добавяне на организации на клиенти към клъстера и управление на техните главни ключове на клиенти (CMK). Това ще даде възможност на всички потребители на вашите клиентски организации да използват вашия клъстер на хибридна защита на данни за функции за защита.

Етапите на настройка, активиране и управление са разгледани подробно в следващите три глави.
Поддържайте разполагането на хибридна защита на данни – Облакът на Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да предостави поддръжка от първо ниво за това разполагане и да ангажира поддръжката на Cisco, ако е необходимо. В Partner Hub можете да използвате известия на екрана и да настроите имейл предупреждения.
Разбиране на често срещаните предупреждения, стъпките за отстраняване на неизправности и известни проблеми – ако срещнете проблеми при разполагането или използването на хибридна защита на данни, последната глава от това ръководство и приложението „Известни проблеми“ могат да ви помогнат да определите и коригирате проблема.

Модел на разполагане на хибридна защита на данни

В рамките на вашия корпоративен център за данни разполагате с хибридна защита на данни като един клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака на Webex чрез защитени уеб сокети и защитен HTTP.

По време на процеса на инсталиране ви предоставяме файла OVA, за да настроите виртуалния уред на VMs, които предоставяте. Използвайте инструмента за настройка на HDS, за да създадете персонализиран ISO файл за конфигуриране на клъстери, който да монтирате на всеки възел. Клъстерът на хибридна защита на данни използва предоставения ви сървър Syslogd и базата данни на PostgreSQL или Microsoft SQL Server. (Можете да конфигурирате подробностите за връзката на Syslogd и базата данни в инструмента за настройка на HDS.)

Модел на разполагане на хибридна защита на данни

Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне по три на клъстер. Наличието на множество възли гарантира, че услугата не се прекъсва по време на надстройка на софтуера или друга дейност по поддръжка на даден възел. (Облакът на Webex надгражда само един възел в даден момент.)

Всички възли в клъстера имат достъп до един и същ файл с ключове и регистрационната активност към един и същ syslog сървър. Самите възли са без гражданство и обработват ключови заявки в кръгла форма, както е указано от облака.

Възлите стават активни, когато ги регистрирате в Partner Hub. За да излезете от експлоатация отделен възел, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.

Standby Data Center за възстановяване при бедствия

По време на разгръщането настройвате защитен център за данни в режим на готовност. В случай на бедствие на центъра за данни можете ръчно да не успеете при разполагането си в центъра за данни в режим на готовност.

Базите данни на активните центрове за данни и центровете за данни в режим на готовност са синхронизирани помежду си, което ще сведе до минимум времето, необходимо за извършване на превключването при отказ.

Активните възли на хибридна защита на данни трябва винаги да бъдат в същия център за данни като активния сървър с база данни.

Поддръжка на прокси

Hybrid Data Security поддържа изрични, прозрачни проверяващи и неинспектационни проксита. Можете да свържете тези проксита към разполагането си, така че да можете да подсигурите и наблюдавате трафика от предприятието навън към облака. Можете да използвате администраторски интерфейс на платформа на възлите за управление на сертификати и да проверите цялостното състояние на свързване, след като настроите прокси сървъра на възлите.

Хибридните възли за защита на данните поддържат следните опции за прокси:

Няма прокси сървър – Стойността по подразбиране, ако не използвате конфигурацията за настройка на HDS възел на доверено хранилище и прокси сървър за интегриране на прокси сървър. Не се изисква актуализация на сертификата.
Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси сървъра – възлите не са конфигурирани да използват определен адрес на прокси сървъра. На възлите не са необходими промени в конфигурацията на HTTP или HTTPS. Възлите обаче се нуждаят от главен сертификат, така че да се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS).
Изричен прокси сървър – С изричния прокси сървър казвате на HDS кои прокси сървъри и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
1. Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината.
2. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик.
3. Прокси протокол – в зависимост от това, което поддържа прокси сървърът ви, изберете между следните протоколи:
  - HTTP—Преглежда и контролира всички заявки, които клиентът изпраща.
  - HTTPS—Предоставя канал на сървъра. Клиентът получава и валидира сертификата на сървъра.
4. Тип удостоверяване – изберете измежду следните типове удостоверяване:
  - Няма – Не се изисква допълнително удостоверяване.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
  - Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.
  - Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата.
    
    Предлага се само ако изберете HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.

Пример за хибридни данни сигурност възли и прокси

Тази диаграма показва примерна връзка между защитата на хибридните данни, мрежата и прокси. За прозрачния инспектиращ и HTTPS изричен инспектиращ прокси опции, един и същ главен сертификат трябва да бъде инсталиран на прокси и на хибридните възли за защита на данните.

Блокиран режим на външна DNS разделителна способност (изрични прокси конфигурации)

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. В разполагане с изрични прокси конфигурации, които не позволяват външна DNS разделителна способност за вътрешни клиенти, ако възелът не може да заявка DNS сървъри, тя автоматично преминава в режим блокирани външни DNS резолюция. В този режим може да се процедира регистрация на възли и други тестове за свързване на прокси.

Подготовка на средата

Изисквания за хибридна защита на данните с няколко клиента

Изисквания за лицензи за Cisco Webex

За да разположите хибридна защита на данните с много клиенти:

Партньорски организации: Свържете се със своя партньор в Cisco или мениджър на акаунти и се уверете, че функцията за много клиенти е активирана.
Организации на клиента: Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижте https://www.cisco.com/go/pro-pack.)

Изисквания за закачане на работния плот

Преди да инсталирате възлите на HDS, трябва Docker Desktop, за да изпълните инсталационна програма. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker е Актуализиране и разширяване на нашите абонаментиза продукти".

X.509 Изисквания за сертификата

Веригата на сертификатите трябва да отговаря на следните изисквания:

Таблица 1. X.509 Изисквания за сертификата за разполагане на хибридна защита на данни
Изискване	Подробности
Подписан от надежден сертифициращ орган (CA)	По подразбиране се доверяваме на сертифициращите органи в списъка на Mozilla (с изключение на WoSign и StartCom) на https://wiki.mozilla.org/CA:IncludedCAs.
Носи общо име (CN) име на домейн, което идентифицира вашето разполагане на хибридна защита на данни Не е заместващ сертификат	CN не е нужно да е достъпен или хост на живо. Препоръчваме ви да използвате име, което отразява вашата организация, например `hds.company.com`. CN не трябва да съдържа * (заместващ символ). CN се използва за проверка на възлите на хибридна защита на данни за клиентите на приложението Webex. Всички възли на хибридна защита на данни във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на CN домейна, а не с произволен домейн, дефиниран в полетата x.509v3 SAN. След като сте регистрирали възел с този сертификат, не поддържаме промяна на името на CN домейна.
Подпис, който не е SHA1	Софтуерът KMS не поддържа подписи SHA1 за валидиране на връзки с KMS на други организации.
Форматиран като защитен с парола PKCS #12 файл Използвайте приятелското име на `kms-private-key` , за да маркирате сертификата, частния ключ и всички междинни сертификати за качване.	Можете да използвате конвертор, като OpenSSL, за да промените формата на сертификата си. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS.

Софтуерът KMS не налага използване на ключове или не разширява ограниченията за използване на ключове. Някои сертифициращи органи изискват за всеки сертификат да се прилагат разширени ограничения за използване на ключа, като например удостоверяване на сървъра. Добре е да използвате удостоверяване на сървъра или други настройки.

Изисквания за виртуален организатор

Виртуалните хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер, имат следните изисквания:

Поне два отделни хоста (препоръчва се 3), разположени съвместно в един и същ защитен център за данни
VMware ESXi 7.0 (или по-нова версия) е инсталиран и работи.

Трябва да надстроите, ако имате по-стара версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално място на твърдия диск на сървър

Изисквания към сървъра за база данни

Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.

Има две опции за сървъра с база данни. Изискванията за всеки от тях са, както следва:

Таблица 2. Изисквания за сървъра с база данни по тип база данни
PostgreSQL	Microsoft SQL сървър
PostgreSQL 14, 15 или 16, инсталиран и се изпълнява.	Инсталиран е SQL Server 2016, 2017, 2019 или 2022 (корпоративен или стандартен). SQL Server 2016 изисква Service Pack 2 и Кумулативна актуализация 2 или по-нова версия.
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)	Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)

HDS софтуерът в момента инсталира следните версии на драйвери за комуникация със сървъра с база данни:

PostgreSQL	Microsoft SQL сървър
Postgres JDBC драйвер 42.2.5	SQL Server JDBC драйвер 4.6 Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстера при отказ и Винаги включен групи за наличност).

PostgreSQL

Microsoft SQL сървър

Postgres JDBC драйвер 42.2.5

SQL Server JDBC драйвер 4.6

Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстера при отказ и Винаги включен групи за наличност).

Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server

Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни на Keystore на Microsoft SQL Server, тогава е необходима следната конфигурация във вашата среда:

Възлите на HDS, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Акаунтът за Windows, който предоставяте на възли на HDS, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възли, трябва да могат да разрешават вашия център за разпределение на ключове (KDC).
Можете да регистрирате екземпляра на базата данни на HDS на Microsoft SQL Server като основно име на услуга (SPN) на Active Directory. Вижте Регистриране на основно име на услуга за Kerberos връзки.

Инструментът за настройка на HDS, HDS стартера и локалния KMS трябва да използват удостоверяване на Windows за достъп до базата данни на Keystore. Те използват подробностите от вашата ISO конфигурация, за да конструират SPN, когато заявяват достъп с удостоверяване на Kerberos.

Изисквания за външна връзка

Конфигурирайте защитната стена, за да разрешите следната свързаност за приложенията на хибридна защита на данни:

Приложение	Протокол	Порт	Посока от приложението	Местоназначение
Възли на хибридна защита на данни	TCP	443	Изходящи HTTPS и ВиК	Сървъри на Webex: .wbx2.com .ciscospark.com Всички организатори на Common Identity Други URL адреси, които са изброени за хибридна защита на данни в таблицата Допълнителни URL адреси за хибридни услуги на Webex на мрежовите изисквания за услугите на Webex
Инструмент за настройка на HDS	TCP	443	Изходящ HTTPS	*.wbx2.com Всички организатори на Common Identity hub.docker.com

Възлите на хибридна защита на данни работят с превод на мрежовия достъп (NAT) или зад защитна стена, при условие че NAT или защитната стена позволяват необходимите изходящи връзки към местоназначенията на домейна в предходната таблица. За връзки, влизащи във входящи възли на хибридна защита на данни, от интернет не трябва да се виждат портове. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите на хибридна защита на данни на TCP портове 443 и 22 за административни цели.

URL адресите за хостовете на Common Identity (CI) са специфични за региона. Това са текущите организатори на CI:

Регион	URL адреси на организатор на Common Identity
Северна и Южна Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейски съюз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com
Сингапур	https://idbroker-sg.webex.com https://identity-sg.webex.com
Обединени арабски емирства	https://idbroker-ae.webex.com https://identity-ae.webex.com

Изисквания към прокси сървъра

Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли hybrid Data Security.
- Прозрачен прокси-Уред за уеб защита cisco (WSA).
- Изрична прокси-Сепия.
  
  Прокси сървърите, които инспектират HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да работите по този проблем, вижте Конфигуриране на прокси сървъри за хибридна защита на данни.
Ние поддържаме следните комбинации от тип удостоверяване за изрични проксита:
- Без удостоверяване с HTTP или HTTPS
- Базово удостоверяване с HTTP или HTTPS
- Смилане на удостоверяване само с HTTPS
За прозрачен проверяващ прокси или HTTPS изрично прокси, трябва да имате копие на главния сертификат на прокси. Инструкциите за разполагане в това ръководство ви казват как да качите копието в магазините за доверие на хибридните възли за защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик на порт 443 да маршрутизира през прокси сървъра.
Прокситата, които инспектират уеб трафика, може да пречат на връзките с уеб гнездото. Ако възникне този проблем, заобикалянето (не инспектирането) на трафика към wbx2.com и ciscospark.com ще реши проблема.

Изпълнете предварителните изисквания за хибридна защита на данни

Използвайте този контролен списък, за да гарантирате, че сте готови да инсталирате и конфигурирате своя клъстер на хибридна защита на данни.

1	Уверете се, че вашата партньорска организация има активирана функция за HDS с няколко клиента и получавате идентификационните данни за акаунт с пълен администратор на партньор и права на пълен администратор. Уверете се, че вашата организация на клиенти на Webex е разрешена за Pro Pack за Cisco Webex Control Hub. Свържете се с вашия партньор в Cisco или мениджър на акаунти за помощ с този процес. Организациите на клиентите не трябва да имат съществуващо разполагане на HDS.
2	Изберете име на домейн за разполагането на HDS (например `hds.company.com`) и получете верига от сертификати, съдържаща сертификат X.509, частен ключ и всички междинни сертификати. Веригата на сертификатите трябва да отговаря на изискванията в X.509 Изисквания за сертификат.
3	Подгответе идентични виртуални хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер. Имате нужда от поне два отделни организатора (препоръчва се 3), разположени съвместно в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален организатор.
4	Подгответе сървъра с база данни, който ще действа като хранилище на данни за ключа за клъстера в съответствие с изискванията за сървъра с база данни. Сървърът на базата данни трябва да бъде разположен съвместно в защитения център за данни с виртуалните хостове. Създайте база данни за съхранение на ключове. (Трябва да създадете тази база данни – не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.) Съберете подробностите, които ще използват възлите за комуникация със сървъра с база данни: име на хост или IP адрес (хост) и порт името на базата с данни (dbname) за съхранение на ключа потребителското име и паролата на потребител с всички привилегии в базата данни за съхранение на ключа
5	За бързо възстановяване след бедствие настройте архивна среда в друг център за данни. Резервната среда отразява производствената среда на VMs и резервен сървър с база данни. Например, ако производството има 3 VMs, работещи с HDS възли, резервната среда трябва да има 3 VMs.
6	Настройте хост на syslog, за да събирате регистрационни файлове от възлите в клъстера. Съберете мрежовия му адрес и порта за syslog (по подразбиране е UDP 514).
7	Създайте правила за защитено архивиране за възлите на хибридна защита на данни, сървъра с база данни и хоста на syslog. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите на хибридна защита на данни. Тъй като възлите на хибридна защита на данни съхраняват ключовете, използвани за шифроване и дешифроване на съдържание, неподдържането на оперативно разполагане ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на това съдържание. Клиентите на приложението Webex кешират ключовете си, така че прекъсването може да не се забележи веднага, но ще стане очевидно с течение на времето. Въпреки че е невъзможно да се предотвратят временните прекъсвания, те са възстановими. Обаче пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. От операторите на възлите на хибридна защита на данни се очаква да поддържат чести резервни копия на базата данни и конфигурационния ISO файл и да бъдат готови да възстановят центъра за данни на хибридна защита на данни, ако възникне катастрофална грешка.
8	Уверете се, че конфигурацията на защитната ви стена позволява свързване за вашите възли на хибридна защита на данни, както е описано в Изисквания за външна свързаност.
9	Инсталирайте Docker ( https://www.docker.com) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова или Mac OSX Yosemite 10.10.3 или по-нова версия) с уеб браузър, който може да получи достъп до нея на http://127.0.0.1:8080. Можете да използвате екземпляр на Docker, за да изтеглите и изпълните инструмента за настройка на HDS, който изгражда информацията за локална конфигурация за всички възли на хибридна защита на данни. Може да ви е необходим лиценз за настолен компютър за docker. Вижте Изисквания за закачане на работния плот за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има възможността за свързване, описана в Изисквания за външна свързаност.
10	Ако интегрирате прокси сървър с хибридна защита на данните, уверете се, че той отговаря на изискванията за прокси сървър.

Настройване на клъстер на хибридна защита на данни

Поток на задачи за разполагане на хибридна защита на данни

Преди да започнете

1	Извършване на първоначална настройка и изтегляне на инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късно използване.
2	Създаване на конфигурационен ISO за хостовете на HDS Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите на хибридна защита на данни.
3	Инсталиране на HDS Host OVA Създайте виртуална машина от OVA файла и изпълнете първоначалната конфигурация, като например мрежови настройки. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
4	Настройване на VM на хибридна защита на данни Влезте в конзолата на VM и задайте данните за вход. Конфигурирайте мрежовите настройки за възела, ако не сте ги конфигурирали към момента на разполагането на OVA.
5	Качване и монтиране на конфигурация ISO на HDS Конфигурирайте VM от ISO конфигурационния файл, който сте създали с инструмента за настройка на HDS.
6	Конфигуриране на HDS възел за интегриране на прокси сървър Ако мрежовата среда изисква конфигурация на прокси сървър, укажете типа прокси сървър, който ще използвате за възела, и добавете прокси сертификата към хранилището на гаранти, ако е необходимо.
7	Регистриране на първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел на хибридна защита на данни.
8	Създаване и регистриране на още възли Завършете настройката на клъстера.
9	Активирайте HDS с много клиенти в Partner Hub. Активирайте HDS и управлявайте организации на клиенти в Partner Hub.

Извършване на първоначална настройка и изтегляне на инсталационни файлове

В тази задача изтегляте OVA файл на вашата машина (а не на сървърите, които сте настроили като възли на хибридна защита на данни). Ще използвате този файл по-късно в процеса на инсталиране.

1	Влезте в Partner Hub и щракнете върху Услуги.
2	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и след това щракнете върху Настройка. Щракването върху Настройка в Partner Hub е критично за процеса на разполагане. Не продължете с инсталирането, без да завършите тази стъпка.
3	Щракнете върху Добавяне на ресурс и щракнете върху Изтегляне на .OVA файл на картата Инсталиране и конфигуриране на софтуера . По-старите версии на софтуерния пакет (OVA) няма да бъдат съвместими с най-новите надстройки на хибридна защита на данни. Това може да доведе до проблеми при надстройване на приложението. Уверете се, че сте изтеглили най-новата версия на OVA файла. Можете също да изтеглите OVA по всяко време от раздела Помощ . Щракнете върху Настройки > Помощ > Изтегляне на софтуер за хибридна защита на данни. OVA файлът започва автоматично да се изтегля. Запишете файла на местоположение на машината си.
4	Като опция щракнете върху Вижте ръководството за разполагане на хибридна защита на данни , за да проверите дали има налична по-нова версия на това ръководство.

Създаване на конфигурационен ISO за хостовете на HDS

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт в Partner Hub с пълни администраторски права.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5 по-долу. Тази таблица дава някои възможни променливи на средата:

Описание

Променлива

HTTP прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTPS прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTP прокси с удостоверяване

GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS прокси с удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

1

В командния ред на вашата машина въведете подходящата команда за вашата среда:

В нормални среди:

докер rmi ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер rmi ciscocitg/hds-setup-fedramp: стабилен

Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

2

За да влезете в регистъра на изображения на Docker, въведете следното:

докер вход -u hdscustomersro

3

При подканата за парола въведете този хеш:

dckr_pat_aDP6V4KkrvpBwa

4

Изтеглете най-новото стабилно изображение за вашата среда:

В нормални среди:

докер издърпване ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер издърпване ciscocitg/hds-setup-fedramp: стабилен

5

Когато изтеглянето приключи, въведете подходящата команда за вашата среда:

В нормални среди без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В нормални среди с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В редовни среди с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В среди на FedRAMP без прокси:

докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен

В среди на FedRAMP с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В среди на FedRAMP с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.

6

Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost.

Използвайте уеб браузър, за да отидете на localhost, http://127.0.0.1:8080 и въведете администраторското потребителско име за Partner Hub в подканата.

Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.

7

Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.

8

На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.

9

На страницата Импортиране на ISO имате следните опции:

Не– Ако създавате първия си HDS възел, нямате ISO файл за качване.
Да – Ако вече сте създали HDS възли, тогава изберете своя ISO файл в прегледа и го качете.

10

Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат.

Ако никога не сте качили сертификат преди, качете сертификата X.509, въведете паролата и щракнете върху Продължи.
Ако сертификатът ви е ОК, щракнете върху Продължи.
Ако сертификатът ви е изтекъл или искате да го замените, изберете Не за Продължаване на използването на веригата за сертификати на HDS и частния ключ от предишния ISO?. Качете нов сертификат X.509, въведете паролата и щракнете върху Продължи.

11

Въведете адреса на базата данни и акаунта за HDS, за да получите достъп до ключовия си datastore:

Изберете вашия тип база данни (PostgreSQL или Microsoft SQL Server).

Ако изберете Microsoft SQL Server, получавате поле за тип удостоверяване.
(Само за Microsoft SQL Server ) Изберете вашия тип удостоверяване:
- Базово удостоверяване: Необходимо е име на локален акаунт за SQL Server в полето Потребителско име .
- Удостоверяване на Windows: Имате нужда от акаунт за Windows във формат username@DOMAIN в полето Потребителско име .
Въведете адреса на сървъра с база данни във формуляра : или :.

Пример:
dbhost.example.org:1433 или 198.51.100.17:1433

Можете да използвате IP адрес за базово удостоверяване, ако възлите не могат да използват DNS за решаване на името на хоста.

Ако използвате удостоверяване на Windows, трябва да въведете напълно квалифицирано име на домейн във формат dbhost.example.org:1433
Въведете името на базата данни.
Въведете Потребителско име и Парола на потребител с всички привилегии в базата данни за съхранение на ключа.

12

Изберете режим на свързване с база данни TLS:

Режим	Описание
Предпочитане на TLS (опция по подразбиране)	HDS възлите не изискват TLS да се свърже със сървъра на базата данни. Ако разрешите TLS на сървъра с база данни, възлите правят опит за шифрована връзка.
Изисквайте TLS	HDS възли се свързват само ако сървърът на базата данни може да договори TLS.
Изисквайте TLS и проверете подписвача на сертификати	Този режим не е приложим за бази данни на SQL Server. HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.
Изисквайте TLS и проверете подписалия сертификат и хостовото име	HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Възлите също така проверяват дали името на хоста в сертификата на сървъра съвпада с името на хоста в полето Хост и порт в базата данни . Имената трябва да съвпадат точно или възелът пуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.

Когато качите корневи сертификат (ако е необходимо) и щракнете върху Продължи, инструментът за настройка на хибридна защита на данни тества TLS връзката към сървъра с база данни. Инструментът също така проверява подписалите сертификата и hostname, ако е приложимо. Ако даден тест е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързването възлите на HDS може да са в състояние да установят TLS връзката, дори ако машината с инструмента за настройка на HDS не може да я тества успешно.)

13

На страницата „Системни регистрационни файлове“ конфигурирайте сървъра си за Syslogd:

Въведете URL адреса на сървъра syslog.

Ако сървърът не може да се разрешава чрез DNS от възлите за вашия HDS клъстер, използвайте IP адрес в URL.

Пример:
udp://10.92.43.23:514 показва влизане в хоста Syslogd 10.92.43.23 на UDP порт 514.
Ако настроите сървъра си да използва TLS шифроване, отметнете Конфигуриран ли е вашият сървър syslog за SSL шифроване?.

Ако отметнете това квадратче, трябва да въведете URL адрес на TCP, като например tcp://10.92.43.23:514.
От падащия списък Избор на прекратяване на запис в syslog изберете подходящата настройка за вашия ISO файл: Избор или нов ред се използва за Graylog и Rsyslog TCP
- Нулев байт -- \x00
- Нов ред – \n – Изберете този избор за Graylog и Rsyslog TCP.
Щракнете върху Продължаване.

14

(По избор) Можете да промените стойността по подразбиране за някои параметри на връзката с база данни в Разширени настройки. По принцип този параметър е единственият, който може да искате да промените:

app_datasource_connection_pool_maxРазмер: 10

15

Щракнете върху Продължи на екрана Нулиране на паролата за акаунти за услуги .

Паролите за акаунта за услугата имат деветмесечен живот. Използвайте този екран, когато паролите ви наближават изтичане или искате да ги нулирате, за да invalidate previous ISO files.

16

Щракнете върху Изтегляне на ISO файл. Запишете файла на лесно за намиране място.

17

Направете резервно копие на ISO файла в локалната си система.

Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.

18

За да затворите инструмента за настройка, напишете CTRL+C.

Какво да направите след това

Архивиране на конфигурационния ISO файл. Необходимо е, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, ще загубите и главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.

Никога не разполагаме с копие на този ключ и не можем да ви помогнем, ако го изгубите.

Инсталиране на HDS Host OVA

Използвайте тази процедура, за да създадете виртуална машина от OVA файла.

1	Използвайте клиента VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi.
2	Изберете Файл > Разполагане на OVF шаблон.
3	В съветника укажете местоположението на OVA файла, който сте изтеглили по-рано, след което щракнете върху Напред.
4	На страницата Избор на име и папка въведете име на виртуална машина за възела (например "HDS_Node_1"), изберете местоположение, където може да се намира разполагането на възела на виртуалната машина, след което щракнете върху Напред.
5	На страницата Избор на изчислителен ресурс изберете целевия изчислителен ресурс и след това щракнете върху Напред. Извършва се проверка за валидиране. След като завърши, се показват подробностите за шаблона.
6	Проверете подробностите за шаблона и след това щракнете върху Напред.
7	Ако от вас бъде поискано да изберете конфигурацията на ресурсите на страницата Конфигурация , щракнете върху 4 процесора и след това щракнете върху Напред.
8	На страницата Избор на място за съхранение щракнете върху Напред , за да приемете формата на диска по подразбиране и правилата за съхранение на VM.
9	На страницата Избор на мрежи изберете опцията за мрежа от списъка със записи, за да осигурите желаната свързаност към VM.
10	На страницата Персонализиране на шаблон конфигурирайте следните мрежови настройки: Име на хост – въведете FQDN (име на хост и домейн) или една дума име на хост за възела. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509. За да гарантирате успешна регистрация в облака, използвайте само малки знаци във FQDN или името на хоста, които сте задали за възела. Капитализацията не се поддържа в този момент. Общата дължина на FQDN не трябва да надвишава 64 знака. IP адрес – Въведете IP адреса за вътрешния интерфейс на възела. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. Маска – Въведете адреса на маската на подмрежата с точка и запетая. Например 255.255.255.0. Шлюз – въведете IP адреса на шлюза. Шлюза е мрежов възел, който служи като точка за достъп до друга мрежа. DNS сървъри – Въведете списък с DNS сървъри, разделени със запетая, които обработват преобразуването на имената на домейни в цифрови IP адреси. (Разрешени са до 4 DNS записа.) NTP сървъри – Въведете NTP сървъра на вашата организация или друг външен NTP сървър, който може да се използва във вашата организация. NTP сървърите по подразбиране може да не работят за всички предприятия. Можете също да използвате списък, разделен със запетая, за да въведете няколко NTP сървъра. Разположете всички възли в една и съща подмрежа или VLAN, така че всички възли в клъстера да са достъпни от клиентите във вашата мрежа за административни цели. Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройване на VM на хибридна защита на данни , за да конфигурирате настройките от конзолата за възли. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
11	Щракнете с десния бутон върху възела VM и след това изберете Захранване > Включване. Софтуерът за хибридна защита на данни е инсталиран като гост на VM Host. Вече сте готови да влезете в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да усетите забавяне от няколко минути, преди контейнерите с възли да се появят. На конзолата се появява съобщение за защитна стена на мост по време на първото зареждане, по време на което не можете да влезете.

Настройване на VM на хибридна защита на данни

Използвайте тази процедура, за да влезете за първи път в конзолата на възела на хибридна защита на данни и да зададете данните за вход. Можете също да използвате конзолата, за да конфигурирате мрежовите настройки за възела, ако не сте ги конфигурирали по време на разполагането на OVA.

1	В клиента на VMware vSphere изберете своя възел на хибридна защита на данни VM и изберете раздела Конзола . VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Enter.
2	Използвайте следните данни за влизане и парола по подразбиране, за да влезете и да промените идентификационните данни: Влизане: `администратор` Парола: `cisco` Тъй като влизате във вашия VM за първи път, трябва да промените паролата на администратора.
3	Ако вече сте конфигурирали мрежовите настройки в Инсталиране на HDS Host OVA, пропуснете останалата част от тази процедура. В противен случай в главното меню изберете опцията Редактиране на конфигурацията .
4	Настройте статична конфигурация с IP адрес, маска, шлюз и DNS информация. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.
5	(По избор) Променете името на хоста, домейна или NTP сървъра(ите), ако е необходимо, за да съответстват на мрежовите ви правила. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509.
6	Запишете мрежовата конфигурация и рестартирайте VM, за да влязат в сила промените.

Качване и монтиране на конфигурация ISO на HDS

Използвайте тази процедура, за да конфигурирате виртуалната машина от ISO файла, който сте създали с инструмента за настройка на HDS.

Преди да започнете

Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на база „трябва да знаете“, за достъп от VM на хибридна защита на данни и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до datastore.

1

Качете ISO файла от компютъра си:

В левия навигационен екран на клиента VMware vSphere щракнете върху сървъра ESXi.
В списъка с хардуери на раздела за конфигуриране щракнете върху Място за съхранение.
В списъка Datastores щракнете с десния бутон върху datastore за вашите VMs и щракнете върху Преглед на Datastore.
Щракнете върху иконата Качване на файлове и след това щракнете върху Качване на файл.
Намерете местоположението, където сте изтеглили ISO файла на компютъра си, и щракнете върху Отвори.
Щракнете върху Да , за да приемете предупреждението за операцията за качване/изтегляне, и затворете диалоговия прозорец за данни.

2

Монтиране на ISO файла:

В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
Щракнете върху OK , за да приемете предупреждението за ограничени опции за редактиране.
Щракнете върху CD/DVD диск 1, изберете опцията за монтаж от ISO файл datastore и намерете местоположението, където сте качили конфигурационния ISO файл.
Отметнете Свързан и Свързване при включване.
Запишете промените си и рестартирайте виртуалната машина.

Какво да направите след това

Ако правилата за ИТ изискват, можете по избор да демонтирате ISO файла, след като всички ваши възли поемат промените в конфигурацията. Вижте (По избор) Демонтиране на ISO след конфигуриране на HDS за подробности.

Конфигуриране на HDS възел за интегриране на прокси сървър

Ако мрежовата среда изисква прокси, използвайте тази процедура, за да укажете вида на прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачен проверяващ прокси или HTTPS изричен прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главния сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните всички потенциални проблеми.

Преди да започнете

Вижте Поддръжка на прокси за общ преглед на поддържаните опции за прокси.
Изисквания към прокси сървъра

1	Въведете URL адреса за настройка на HDS възел `https://[HDS Възел IP или FQDN]/настройка` в уеб браузър, въведете администраторски идентификационни данни, които сте настроили за възела и след това щракнете върху Вход.
2	Отидете на Хранилище на доверие & Прокси , след което изберетеопция: Няма прокси сървър – опцията по подразбиране, преди да интегрирате прокси сървър. Не се изисква актуализация на сертификата. Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата. Прокси сървър за прозрачна проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра. Не httpS конфигурация промени са необходими в разполагането на защитата на хибридни данни, обаче HDS възли се нуждаят от главен сертификат, така че те се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS). Изричен прокси сървър – С изричния прокси сървър казвате на клиента (HDS възли) кой прокси сървър да използва, и тази опция поддържа няколко типа удостоверяване. След като изберете тази опция, трябва да въведете следната информация: Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик. Прокси протокол – изберете http (преглежда и управлява всички заявки, които се получават от клиента) или https (осигурява канал към сървъра и клиентът получава и валидира сертификата на сървъра). Изберете опция въз основа на това, което поддържа вашият прокси сървър. Тип удостоверяване – изберете измежду следните типове удостоверяване: Няма – Не се изисква допълнително удостоверяване. Налична за HTTP или HTTPS проксита. Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране. Налична за HTTP или HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата. Предлага се само за HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Изпълнете следващите стъпки за прозрачен проверяващ прокси, HTTP изрично прокси с базово удостоверяване или HTTPS изрично прокси.
3	Щракнете върху Качване на главен сертификат или Сертификат за краен обект и след това навигирайте до изберете главния сертификат запрокси. Сертификатът се качва, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката chevron по името на издателя на сертификата, за да получите повече подробности или щракнете върху Изтрий, ако сте направили грешка и искате да качите повторно файла.
4	Щракнете върху Проверка на прокси връзката, за да тествате мрежовата свързаност между възела и прокси. Ако тестът за връзка е неуспешен, ще видите съобщение за грешка, което показва причината и как можете да коригирате проблема. Ако видите съобщение, което казва, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на блокирано външно DNS разрешаване. Ако мислите, че това е грешка, изпълнете тези стъпки и след това вижте Изключване на режима на блокирано външно разрешаване на DNS.
5	След като тестът за връзка премине, за изрично прокси настроен само на https, включете превключването към Маршрут всички порт 443/444 https заявки от този възел през изрично прокси. Тази настройка изисква 15 секунди, за да влязат в сила.
6	Щракнете върху Инсталиране на всички сертификати в хранилището на гаранти (появява се за HTTPS изрично прокси или прозрачен проверяващ прокси) или Рестартиране (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете върху Инсталиране, ако сте готови. Възелът се рестартира в рамките на няколко минути.
7	След рестартирането на възела влезте отново, ако е необходимо, след което отворете страницата Общ преглед, за да проверите проверките за свързване, за да се уверите, че всички те са в зелено състояние. Проверката на прокси връзката тества само поддомейн от webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират в прокси.

Регистриране на първия възел в клъстера

Тази задача взема генеричния възел, който сте създали в Настройване на хибридна защита на данни VM, регистрира възела с облака на Webex и го превръща във възел на хибридна защита на данни.

Когато регистрирате първия си възел, създавате клъстер, към който е разпределен възелът. Клъстерът съдържа един или повече възли, разгърнати за осигуряване на резерв.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Настройка.
4	На страницата, която се отваря, щракнете върху Добавяне на ресурс.
5	В първото поле на картата Добавяне на възел въведете име за клъстера, на който искате да разпределите вашия възел на хибридна защита на данни. Препоръчваме ви да посочите клъстер въз основа на географското местоположение на клъстера. Примери: „Сан Франциско“ или „Ню Йорк“ или „Далас“
6	Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне в долната част на екрана. Този IP адрес или FQDN трябва да съвпада с IP адреса или името на хоста и домейна, които сте използвали в Настройване на VM на хибридна защита на данни. Появява се съобщение, което показва, че можете да регистрирате възела в Webex.
7	Щракнете върху Към възел. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация в Webex за достъп до вашия възел.
8	Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex.
9	Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. На страницата Хибридна защита на данни новият клъстер, съдържащ възела, който сте регистрирали, се показва под раздела Ресурси . Възелът автоматично ще изтегли най-новия софтуер от облака.

Създаване и регистриране на още възли

За да добавите допълнителни възли към вашия клъстер, просто създавате допълнителни VM и монтирате същия конфигурационен ISO файл, след което регистрирайте възела. Препоръчваме ви да имате поне 3 възела.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталиране на HDS Host OVA.
2	Настройте първоначалната конфигурация на новия VM, като повторите стъпките в Настройване на хибридна защита на данни VM.
3	На новия VM повторете стъпките в Качване и монтиране на ISO на конфигурацията на HDS.
4	Ако настройвате прокси сървър за разполагането си, повторете стъпките в Конфигуриране на възела на HDS за интеграция на прокси сървър , както е необходимо за новия възел.
5	Регистрирайте възела. В https://admin.webex.com изберете Услуги от менюто от лявата страна на екрана. В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Преглед на всички. Показва се страницата с ресурси за хибридна защита на данни. Новосъздаденият клъстер ще се появи на страницата Ресурси . Щракнете върху клъстера, за да видите възлите, разпределени към клъстера. Щракнете върху Добавяне на възел от дясната страна на екрана. Въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне. Отваря се страница със съобщение, което показва, че можете да регистрирате възела си в облака Webex. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация за достъп до вашия възел. Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex. Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. Изскачащото съобщение Добавен възел също се появява в долната част на екрана в Partner Hub. Възелът ви е регистриран.

Управление на организации на клиенти в хибридна защита на данни с много клиенти

Активиране на HDS с много клиенти в Partner Hub

Тази задача гарантира, че всички потребители на клиентските организации могат да започнат да използват HDS за локални ключове за шифроване и други услуги за защита.

Преди да започнете

Уверете се, че сте завършили настройването на своя клъстер на HDS с много клиенти с необходимия брой възли.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките.
4	Щракнете върху Активиране на HDS на картата Статус на HDS .

Добавяне на организации на клиенти в Partner Hub

В тази задача задавате клиентски организации към вашия клъстер на хибридна защита на данни.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	Щракнете върху клъстера, към който искате да бъде разпределен клиент.
5	Отидете в раздела Зададени клиенти .
6	Щракнете върху Добавяне на клиенти.
7	Изберете клиента, който искате да добавите, от падащото меню.
8	Щракнете върху Добавяне, клиентът ще бъде добавен към клъстера.
9	Повторете стъпки 6 до 8, за да добавите множество клиенти към вашия клъстер.
10	Щракнете върху Готово в долната част на екрана, след като сте добавили клиентите.

Какво да направите след това

Изпълнете инструмента за настройка на HDS, както е подробно описано в Създаване на главни ключове на клиенти (CMK) с помощта на инструмента за настройка на HDS , за да завършите процеса на настройка.

Създаване на главни ключове (CMK) за клиента с помощта на инструмента за настройка на хибридни съобщения

Преди да започнете

Разпределете клиенти към съответния клъстер, както е подробно описано в Добавяне на организации на клиенти в Partner Hub. Стартирайте инструмента за настройка на HDS, за да завършите процеса на настройка за новодобавените клиентски организации.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете. Осигурете свързване с вашата база данни, за да извършите управление на CMK.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Създаване на CMK за всички организации или Създаване на CMK – щракнете върху този бутон на банера в горната част на екрана, за да създадете CMK за всички новодобавени организации. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Създаване на CMK , за да създадете CMK за всички новодобавени организации. Щракнете върху ... близо до управлението на CMK в очакване на статуса на определена организация в таблицата и щракнете върху Създаване на CMK , за да създадете CMK за тази организация.
12	След като създаването на CMK е успешно, статусът в таблицата ще се промени от управление на CMK в очакване на управление на CMK.
13	Ако създаването на CMK е неуспешно, ще се покаже грешка.

Премахване на организации на клиенти

Преди да започнете

След като бъдат премахнати, потребителите на организации на клиенти няма да могат да използват HDS за своите нужди от шифроване и ще загубят всички съществуващи места. Преди да премахнете клиентски организации, се свържете със своя партньор в Cisco или мениджър на акаунти.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	В раздела Ресурси щракнете върху клъстера, от който искате да премахнете клиентските организации.
5	На страницата, която се отваря, щракнете върху Зададени клиенти.
6	От списъка с клиентски организации, които се показват, щракнете върху ... от дясната страна на клиентската организация, която искате да премахнете, и щракнете върху Премахване от клъстера.

Какво да направите след това

Завършете процеса на премахване, като анулирате CMK на клиентските организации, както е подробно описано в Анулиране на CMK на клиенти, премахнати от HDS.

Анулиране на CMK на клиенти, премахнати от HDS.

Преди да започнете

Премахнете клиенти от съответния клъстер, както е подробно описано в Премахване на организации на клиенти. Стартирайте инструмента за настройка на HDS, за да завършите процеса на премахване за организациите на клиента, които са премахнати.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Анулиране на CMK за всички организации или Анулиране на CMK – щракнете върху този бутон на банера в горната част на екрана, за да анулирате CMK на всички организации, които са премахнати. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Анулиране на CMK , за да анулирате CMK на всички организации, които са премахнати. Щракнете върху … близо до CMK, за да бъде отменено състоянието на определена организация в таблицата и щракнете върху Анулиране на CMK , за да анулирате CMK за тази конкретна организация.
12	След успешното анулиране на CMK организацията на клиента повече няма да се показва в таблицата.
13	Ако отмяната на CMK е неуспешно, ще се покаже грешка.

Тестване на вашето разполагане на хибридна защита на данни

Използвайте тази процедура, за да тествате сценариите за шифроване на хибридна защита на данни с много клиенти.

Преди да започнете

Настройте своето разполагане на хибридна защита на данни с много клиенти.
Уверете се, че имате достъп до syslog, за да потвърдите, че ключовите заявки се подават към вашето разполагане на хибридна защита на данни с много клиенти.

1

Бутоните за дадено място се задават от създателя на мястото. Влезте в приложението Webex като един от потребителите на организацията на клиентите и след това създайте място.

Ако деактивирате разполагането на хибридна защита на данни, съдържанието в местата, които създават потребителите, вече не е достъпно, след като бъдат заменени кешираните от клиента копия на ключовете за шифроване.

2

Изпратете съобщения до новото място.

3

Проверете изхода на syslog, за да потвърдите, че ключовите заявки се прехвърлят към вашето разполагане на хибридна защита на данни.

За да проверите за потребител, който първо създава защитен канал към KMS, филтрирайте на kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

Трябва да намерите запис като следния (идентификатори, съкратени за четливост):

2020-07-21 17:35:34.562 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-1] - [KMS:ЗАЯВКА] получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: //hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

За да проверите за потребител, който иска съществуващ ключ от KMS, филтрирайте на kms.data.method=retrieve и kms.data.type=KEY:

Трябва да намерите запис, като:

2020-07-21 17:44:19.889 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-31] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ключ, филтрирайте на kms.data.method=create и kms.data.type=KEY_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:21.975 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-33] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ресурсен обект (KRO), когато се създава пространство или друг защитен ресурс, филтрирайте на kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:22.808 (+0000) ИНФОРМАЦИЯ KMS [pool-15-thread-1] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Наблюдение на изправността на хибридна защита на данни

Индикатор за статус в Partner Hub ви показва дали всичко е наред с разполагането на хибридна защита на данни с много клиенти. За по-активно предупреждаване се запишете за известия по имейл. Ще бъдете уведомени, когато има аларми, засягащи услугата, или надстройки на софтуера.

1	В Partner Hub изберете Услуги от менюто от лявата страна на екрана.
2	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките. Показва се страницата с настройки за хибридна защита на данни.
3	В раздела \„Имейл известия\“ въведете един или повече имейл адреси, разделени със запетаи, и натиснете Enter.

Управление на вашето разполагане на HDS

Управление на разполагането на HDS

Използвайте описаните тук задачи, за да управлявате своето разполагане на хибридна защита на данни.

Задаване на график за надстройване на клъстери

Надстройките на софтуера за хибридна защита на данни се извършват автоматично на ниво клъстер, което гарантира, че всички възли винаги изпълняват една и съща софтуерна версия. Надстройванията се извършват съгласно графика за надстройване за клъстера. Когато е налична надстройка на софтуера, имате възможност ръчно да надстроите клъстера преди планираното време за надстройване. Можете да зададете конкретен график за надстройване или да използвате графика по подразбиране от 3:00 ч. дневно в Съединените щати: Америка/Лос Анджелис. Можете също да изберете да отложите предстоящото надстройване, ако е необходимо.

За да зададете графика за надстройване:

1	Влезте в Центъра за партньори.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Настройка
4	На страницата с ресурси за хибридна защита на данни изберете клъстера.
5	Щракнете върху раздела Настройки на клъстера .
6	На страницата с настройки на клъстери под „График за надстройване“ изберете часа и часовата зона за графика за надстройване. Забележка: Под часовата зона се показват следващата налична дата и час на надстройване. Можете да отложите надстройването до следващия ден, ако е необходимо, като щракнете върху Отложи с 24 часа.

Промяна на конфигурацията на възела

От време на време може да се наложи да промените конфигурацията на вашия възел за защита на хибридни данни поради причина като:

Промяна на x.509 сертификати поради изтичане или други причини.

Не поддържаме промяна на CN името на домейн на сертификат. Домейнът трябва да съответства на оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.

Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или обратното. За да превключите средата на базата данни, започнете ново внедряване на Hybrid Data Security.
Създаване на нова конфигурация за подготовка на нов център за данни.

Също така, за целите на защитата, Hybrid Data Security използва пароли за сервизен акаунт, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, ги разполагате на всеки от вашите HDS възли във файла ISO config. Когато паролите на вашата организация са към изтичане, получавате известие от екипа на Webex за нулиране на паролата за вашия машинен акаунт. (Имейлът включва текста „Използвайте API на машинния акаунт, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:

Софтуерно нулиране – И двете стари и нови пароли работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране – Старите пароли спират да работят незабавно.

Ако вашите пароли изтекат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно хардуерно нулиране и подмяна на ISO файла на всички възли.

Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни права на администратор на партньор.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в 1.e. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Имате нужда от ISO, когато правите промени в конфигурацията, включително идентификационни данни на база данни, актуализации на сертификати или промени в правилата за оторизация.

1	Използвайки Docker на локална машина, стартирайте HDS Setup Tool. В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате. За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro` При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa` Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен` Уверете се, че сте изтеглили най-новия инструмент за настройка за тази процедура. Версиите на инструмента, създадени преди 22 февруари 2018 г., нямат екрани за нулиране на парола. Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В нормални среди с HTTPSпрокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате "Express сървър слушане на порт 8080." Използвайте браузър, за да се свържете с localhost, `http://127.0.0.1:8080`. Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Когато получите подкана, въведете идентификационните си данни за влизане за клиент на Partner Hub и след това щракнете върху Приемане , за да продължите. Импортирайте текущия конфигурационен ISO файл. Следвайте подканите, за да завършите инструмента и да изтеглите актуализирания файл. За да затворите инструмента за настройка, напишете `CTRL+C`. Създайте резервно копие на актуализирания файл в друг център за данни.
2	Ако имате работещ само един HDS възел, създайте нов VM възел на хибридна защита на данни и го регистрирайте, като използвате новия конфигурационен ISO файл. За по-подробни инструкции вижте Създаване и регистриране на още възли. Инсталирайте HDS хост OVA. Настройте HDS VM. Монтирайте актуализирания конфигурационен файл. Регистрирайте новия възел в Partner Hub.
3	За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: Изключете виртуалната машина. В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките. Щракнете върху `CD / DVD диск 1 , изберете опцията за монтиране от ISO файл и`прегледайте местоположението, където сте изтеглили новия конфигурационен ISO файл. Поставете отметка на Свързване при включване. Запазете промените си и включете виртуалната машина.
4	Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация.

Изключване на режим на блокирана външна DNS разделителна способност

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. Ако DNS сървърът на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на блокирана външна DNS разделителна способност.

Ако вашите възли са в състояние да разреши публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим чрез повторно изпълнение на теста за прокси връзка на всеки възел.

Преди да започнете

Гарантирайте, че вашите вътрешни DNS сървъри могат да разрешават публични DNS имена, както и че вашите възли могат да комуникират с тях.

1	В уеб браузър отворете интерфейса на възела "Защита на хибридните данни" (IP адрес/настройка например въведете идентификационни данни за администриране, които https://192.0.2.0/setup), сте задали за възела, след което щракнете върху Влизане.
2	Отидете на Общ преглед (страницата по подразбиране). Когато е разрешено, блокирани външна DNS разделителна способност е зададена да .
3	Отидете на страницата Хранилище на доверие & Прокси.
4	Щракнете върху Проверка на прокси връзката. Ако видите съобщение, казващо, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра и ще остане в този режим. В противен случай, след като рестартирате възела и да се върнете към страницата общ преглед, Блокиран външен DNS разделителна способност трябва да бъде зададено на не.

Какво да направите след това

Повторете теста за прокси връзка на всеки възел във вашия клъстер за защита на хибридни данни.

Премахване на възел

Използвайте тази процедура, за да премахнете възел на хибридна защита на данни от облака Webex. След като премахнете възела от клъстера, изтрийте виртуалната машина, за да предотвратите по-нататъшен достъп до вашите данни за защита.

1

Използвайте клиента на VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуалната машина.

2

Премахване на възела:

Влезте в Partner Hub и изберете Услуги.
В картата на хибридна защита на данни щракнете върху Преглед на всички , за да покажете страницата с ресурси за хибридна защита на данни.
Изберете своя клъстер, за да се покаже неговият панел \„Общ преглед\“.
Щракнете върху възела, който искате да премахнете.
Щракнете върху Дерегистриране на този възел на панела, който се появява вдясно
Можете също да дерегистрирате възела, като щракнете върху ... от дясната страна на възела и изберете Премахване на този възел.

3

В клиента vSphere изтрийте VM. (В левия навигационен екран щракнете с десния бутон върху VM и щракнете върху Изтрий.)

Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за защита.

Възстановяване след бедствие с използване на центъра за данни в режим на готовност

Най-критичната услуга, която вашият клъстер на хибридна защита на данни предоставя, е създаването и съхранението на ключове, използвани за шифроване на съобщения и друго съдържание, съхранени в облака на Webex. За всеки потребител в рамките на организацията, който е разпределен към хибридна защита на данни, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът също така е отговорен за връщането на създадените ключове на всички потребители, упълномощени да ги извлекат, например членове на място за разговори.

Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат подходящи резервни копия. Загубата на базата данни за хибридна защита на данни или на конфигурационния ISO, използван за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентското съдържание. За предотвратяване на такава загуба са задължителни следните практики:

Ако при бедствие разполагането на HDS в основния център за данни стане недостъпно, следвайте тази процедура, за да се върнете ръчно към центъра за данни в режим на готовност.

Преди да започнете

Премахнете регистрацията на всички възли от Partner Hub, както е посочено в Премахване на възел. Използвайте най-новия ISO файл, конфигуриран спрямо възлите на клъстера, който преди това е бил активен, за да извършите посочената по-долу процедура за преместване при отказ.

1	Стартирайте инструмента за настройка на HDS и следвайте стъпките, споменати в Създаване на конфигурационен ISO за хостовете на HDS.
2	Завършете процеса на конфигуриране и запишете ISO файла на лесно за намиране място.
3	Направете резервно копие на ISO файла в локалната си система. Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.
4	В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
5	Щракнете върху Редактиране на настройките >CD/DVD диск 1 и изберете Datastore ISO файл. Уверете се, че са отметнати Свързани и Свързване при включване , за да могат актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.
6	Включете възела на HDS и се уверете, че няма аларми поне 15 минути.
7	Регистрирайте възела в Partner Hub. Вижте Регистриране на първия възел в клъстера.
8	Повторете процеса за всеки възел в центъра за данни в режим на готовност.

Какво да направите след това

След отказ, ако основният център за данни се активира отново, премахнете регистрацията на възлите на центъра за данни в режим на готовност и повторете процеса на конфигуриране на ISO и регистриране на възлите на основния център за данни, както е посочено по-горе.

(По избор) Демонтиране на ISO след конфигуриране на HDS

Стандартната конфигурация на HDS работи с монтирания ISO. Но някои клиенти предпочитат да не оставят ISO файловете постоянно монтирани. Можете да разглобите ISO файла, след като всички възли на HDS поемат новата конфигурация.

Все още използвате ISO файловете, за да направите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всички ваши HDS възли. След като всички ваши възли са приели промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.

Преди да започнете

Надстройте всички ваши HDS възли до версия 2021.01.22.4720 или по-нова.

1	Затворете един от възлите си за HDS.
2	В уреда vCenter Server изберете възела на HDS.
3	Изберете Редактиране на настройките > CD/DVD диск и премахнете отметката от Datastore ISO файл.
4	Включете възела на HDS и се уверете, че няма аларми поне 20 минути.
5	Повторете за всеки HDS възел на смяна.

Отстраняване на неизправности в хибридна защита на данни

Преглед на предупрежденията и отстраняване на неизправности

Разполагането на хибридна защита на данни се счита за налично, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че отнема време. Ако потребителите не могат да се свържат с вашия клъстер на хибридна защита на данни, те изпитват следните симптоми:

Не могат да се създават нови места (не могат да се създадат нови ключове)
Неуспешно дешифриране на съобщенията и заглавията на пространството за:
- Нови потребители, добавени към място (не могат да се извлекат ключове)
- Съществуващи потребители в място с помощта на нов клиент (не могат да се извлекат ключовете)
Съществуващите потребители в дадено място ще продължат да се изпълняват успешно, стига клиентите им да имат кеш с ключовете за шифроване

Важно е да наблюдавате правилно своя клъстер на хибридна защита на данни и да обръщате бързо към всички предупреждения, за да избегнете прекъсване на услугата.

Предупреждения

Ако има проблем с настройката на хибридна защита на данни, Partner Hub показва предупреждения до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Предупрежденията обхващат много общи сценарии.

Таблица 1. Общи проблеми и стъпки за тяхното разрешаване
Предупреждение	Действие
Отказ на достъп до локална база данни.	Проверете за грешки в базата данни или проблеми с локалната мрежа.
Неуспешна връзка с локалната база данни.	Проверете дали сървърът с база данни е достъпен и дали са използвани правилните идентификационни данни за акаунта за услуга в конфигурацията на възела.
Неуспешен достъп до услугата в облака.	Проверете дали възлите имат достъп до сървърите на Webex, както е посочено в Изисквания за външна свързаност.
Подновяване на регистрацията за услуги в облака.	Регистрацията в услугите в облака беше прекъсната. Протича подновяване на регистрацията.
Регистрацията на услуги в облака е прекъсната.	Регистрирането в облачни услуги е прекратено. Услугата се затваря.
Услугата все още не е активирана.	Активирайте HDS в Partner Hub.
Конфигурираният домейн не съответства на сертификата на сървъра.	Уверете се, че сертификатът на сървъра ви съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата наскоро е променен и сега е различен от CN, който е бил използван по време на първоначалната настройка.
Неуспешно удостоверяване в услугите в облака.	Проверете за точност и възможно изтичане на идентификационните данни за акаунта за услугата.
Неуспешно отваряне на локалния файл на клавиатурата.	Проверете за целостта и точността на паролата във файла с локалния клавиатура.
Сертификатът за локален сървър е невалиден.	Проверете датата на изтичане на сертификата на сървъра и потвърдете, че той е издаден от надежден сертифициращ орган.
Неуспешно публикуване на метриките.	Проверете достъпа до локалната мрежа до външни облачни услуги.
Директорията /media/configdrive/hds не съществува.	Проверете конфигурацията за монтаж на ISO на виртуалния хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и дали се монтира успешно.
Настройката на организация на клиент не е завършена за добавените организации	Завършете настройката, като създадете CMK за новодобавени организации на клиенти с помощта на инструмента за настройка на хибридни съобщения.
Настройката на организация на клиента не е завършена за премахнатите организации	Завършете настройката чрез анулиране на CMK на организациите на клиенти, които са премахнати с помощта на инструмента за настройка на хибридни телефони (HDS).

Отстраняване на неизправности в хибридна защита на данни

Използвайте следните общи насоки, когато отстранявате проблеми с хибридна защита на данни.

1	Прегледайте Partner Hub за предупреждения и коригирайте всички елементи, които намерите там. Вижте изображението по-долу за справка.
2	Прегледайте изхода на сървъра syslog за активност от разполагането на хибридна защита на данни. Филтрирайте за думи като „Предупреждение“ и „Грешка“, за да помогнете при отстраняване на неизправности.
3	Свържете се с поддръжката на Cisco.

Други бележки

Известни проблеми с хибридната защита на данните

Ако затворите своя клъстер на хибридна защита на данни (като го изтриете в Partner Hub или като затворите всички възли), загубите своя ISO файл за конфигуриране или загубите достъп до базата данни на клавиатурата, потребителите на приложението Webex на клиентските организации вече няма да могат да използват пространства в своя списък "Хора", създадени с ключове от вашия KMS. В момента нямаме заобиколно решение или корекция за този проблем и ви призовавам да не затваряте услугите си за HDS, след като обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за период от време (вероятно един час).

Използване на OpenSSL за генериране на PKCS12 файл

Преди да започнете

OpenSSL е един инструмент, който може да се използва за създаване на PKCS12 файл в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини за това и ние не подкрепяме и не насърчаваме един път над друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като ръководство, за да ви помогнем да създадете файл, който отговаря на изискванията за сертификат X.509 в Изисквания за сертификат X.509. Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижте https://www.openssl.org софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификата на сървъра от вашия сертифициращ орган (CA).

1	Когато получите сертификата на сървъра от вашия CA, запишете го като `hdsnode.pem`.
2	Показване на сертификата като текст и проверете подробностите. `openssl x509 -текст -noout -в hdsnode.pem`
3	Използвайте текстов редактор, за да създадете файл пакет сертификат, наречен `hdsnode-bundle.pem`. Пакетният файл трябва да включва сертификата на сървъра, всички междинни CA сертификати и корневи CA сертификати в следния формат: `-----начало на сертификат----- ### сертификат на сървър. ### -----край на сертификат--------------- начало на сертификат------ ### Междинен CA сертификат. ### -----край на сертификат--------------- начало на сертификат------ ### Корневи CA сертификат. ### -----край на сертификат-----`
4	Създайте .p12 файла с приятелското име `kms-частен-ключ`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверете подробностите за сертификата на сървъра. `openssl pkcs12 -в hdsnode.p12` Въведете парола при подкана да шифровате частния ключ, така че да се показва в изхода. След това се уверете, че частният ключ и първият сертификат включват линиите `friendlyName: kms-частен-ключ`. Пример: bash$ openssl pkcs12 -in hdsnode.p12 Въведете паролата за импортиране: MAC потвърди атрибути OK Bag friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключови атрибути: Въведете фраза за преминаване на PEM: Потвърждаване – Въведете фраза за достъп до PEM: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Какво да направите след това

Върнете се, за да изпълните изискванията за хибридна защита на данни. Ще използвате файла hdsnode.p12 и паролата, която сте задали за него, в Създаване на конфигурационен ISO за организаторите на HDS.

Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато първоначалният сертификат изтече.

Трафик между възлите на HDS и облака

Изходящ трафик за събиране на метрики

Възлите на хибридна защита на данни изпращат определени показатели към облака на Webex. Те включват системни метрики за heap max, използван heap, натоварване на процесора и брой нишки; метрики за синхронните и асинхронните нишки; метрики за предупрежденията, включващи праг на шифроване връзки, латентност или дължина на опашката за заявки; метрики за datastore; и метрики за връзката за шифроване. Възлите изпращат материали за шифрован ключ през нечестотен (отделен от заявката) канал.

Входящ трафик

Възлите на хибридна защита на данни получават следните типове входящ трафик от облака на Webex:

Заявки за шифроване от клиенти, които се маршрутизират от услугата за шифроване
Надстройки до софтуера за възли

Конфигуриране на прокси сървъри за хибридна защита на данните

Websocket не може да се свърже чрез сепия прокси

Прокси сървърите, които инспектират HTTPS трафика, могат да повлияят на създаването на websocket (в к:) връзки, които изискват хибридната защита на данните. Тези раздели дават насоки как да конфигурирате различни версии на Калмар, за да игнорирате wss: трафик за правилното функциониране на услугите.

Калмята 4 и 5

Добавете on_unsupported_protocol директивата към squid.conf:

on_unsupported_protocol тунел

Сепия 3.5.27

Успешно тествахме Hybrid Data Security със следните правила, добавени към squid.conf. Тези правила подлежат на промяна, тъй като разработваме функции и актуализираме webex облака.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump надничане step1 всички ssl_bump stare step2 всички ssl_bump bump step3 всички

Нова и променена информация

Тази таблица обхваща нови функции или функционалности, промени в съществуващото съдържание и всички големи грешки, които са поправени в Ръководство за разполагане за хибридна защита на данните с много клиенти.

Дата	Направени промени
08 януари 2025 г.	Добавена е бележка в Извършване на първоначална настройка и изтегляне на инсталационни файлове , в която се посочва, че щракването върху Настройка на HDS картата в Partner Hub е важна стъпка от процеса на инсталиране.
07 януари 2025 г.	Актуализирани изисквания за виртуален хост, Поток от задачи за разполагане на хибридна защита на данни, и Инсталиране на HDS Host OVA , за да се покаже ново изискване на ESXi 7.0.
13 декември 2024 г.	Публикувана за първи път.

Деактивиране на хибридна защита на данни с много клиенти

Поток на задачи за деактивиране на HDS с много клиенти

Изпълнете тези стъпки, за да деактивирате напълно HDS с много клиенти.

Преди да започнете

Тази задача трябва да се изпълнява само от администратор с пълни права на партньор.

1	Премахнете всички клиенти от всичките ви клъстери, както е посочено в Премахване на организации на клиенти.
2	Анулирайте CMK на всички клиенти, както е посочено в Анулиране на CMK на клиенти, премахнати от HDS..
3	Премахнете всички възли от всичките ви клъстери, както е посочено в Премахване на възел.
4	Изтрийте всичките си клъстери от Partner Hub, като използвате един от следните два метода. Щракнете върху клъстера, който искате да изтриете, и изберете Изтриване на този клъстер в горния десен ъгъл на страницата за общ преглед. На страницата „Ресурси“ щракнете върху ... от дясната страна на клъстер и изберете Премахване на клъстер.
5	Щракнете върху раздела Настройки на страницата за общ преглед на хибридната защита на данни и щракнете върху Деактивиране на хибридната защита на данни в картата за статус на HDS.

Първи стъпки с хибридна защита на данните с много клиенти

Общ преглед на хибридна защита на данни с няколко клиента

От първия ден сигурността на данните е основният фокус при проектирането на приложението Webex. Крайъгълният камък на тази защита е цялостното шифроване на съдържание, разрешено от клиентите на приложението Webex, които взаимодействат с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографски ключове, които клиентите използват за динамично криптиране и дешифриране на съобщения и файлове.

По подразбиране всички клиенти на приложението Webex получават цялостно шифроване с динамични ключове, съхранявани в облака KMS, в областта на защитата на Cisco. Хибридната защита на данните премества KMS и други свързани със сигурността функции във вашия корпоративен център за данни, така че никой освен вас не държи ключовете за вашето криптирано съдържание.

Хибридната защита на данните с много клиенти позволява на организациите да използват HDS чрез надежден местен партньор, който може да действа като доставчик на услуги и да управлява локално шифроване и други услуги за защита. Тази настройка позволява на партньорската организация да има пълен контрол върху разполагането и управлението на ключове за шифроване и гарантира, че потребителските данни на клиентските организации са безопасни от външен достъп. Партньорските организации настройват HDS екземпляри и създават HDS клъстери, ако е необходимо. Всеки екземпляр може да поддържа няколко клиентски организации за разлика от нормалното разполагане на HDS, което е ограничено до една организация.

Въпреки че партньорските организации имат контрол върху разполагането и управлението, те нямат достъп до данни и съдържание, генерирани от клиентите. Този достъп е ограничен до клиентски организации и техните потребители.

Това също така позволява по-малките организации да използват HDS, тъй като услугата за управление на ключове и инфраструктурата за сигурност, като центровете за данни, са собственост на доверения местен партньор.

Как хибридната защита на данните с няколко клиента осигурява суверенитет на данните и контрол на данните

Генерираното от потребителите съдържание е защитено от външен достъп, като например доставчици на облачни услуги.
Местните доверени партньори управляват ключовете за шифроване на клиенти, с които вече имат установени отношения.
Опция за местна техническа поддръжка, ако бъде предоставена от партньора.
Поддържа съдържание в Meetings, Messaging и Calling.

Този документ има за цел да помогне на партньорските организации да настройват и управляват клиенти в система за хибридна защита на данните с много клиенти.

Роли в хибридна защита на данните с няколко клиента

Администратор на партньор с пълни права – може да управлява настройките за всички клиенти, които партньорът управлява. Могат също да възлагат администраторски роли на съществуващи потребители в организацията и да задават конкретни клиенти, които да бъдат управлявани от администратори на партньора.
Администратор на партньор – може да управлява настройките за клиенти, които администраторът е предоставил или които са зададени на потребителя.
Пълен администратор – администратор на партньорската организация, който е упълномощен да изпълнява задачи, като промяна на настройките на организацията, управление на лицензи и задаване на роли.

Цялостно настройване и управление на HDS с много клиенти на всички клиентски организации – изискват се пълен администратор на партньор и права на пълен администратор.
Управление на зададените организации на клиенти – изискват се администратор на партньор и права на пълен администратор.

Архитектура на областта на сигурността

Архитектурата на облака на Webex разделя различните типове услуги в отделни области или домейни на доверие, както е описано по-долу.

За да разберем по-подробно хибридната защита на данните, нека първо разгледаме този случай в облака, където Cisco предоставя всички функции в своите облачни области. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логично и физически отделена от областта на защитата в центъра за данни B. И двете от своя страна са отделени от областта, в която в крайна сметка се съхранява шифровано съдържание, в центъра за данни C.

На тази схема клиентът е приложението Webex, което се изпълнява на лаптопа на потребителя, и е удостоверен с услугата за самоличност. Когато потребителят композира съобщение за изпращане до интервал, се извършват следните стъпки:

Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за шифроване на съобщението. Защитената връзка използва ECDH, а KMS шифрова ключа с помощта на главния ключ AES-256.
Съобщението е шифровано преди да напусне клиента. Клиентът го изпраща на услугата за индексиране, която създава шифровани индекси за търсене, за да подпомогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща на услугата за съответствие за проверки за съответствие.
Шифрованото съобщение се съхранява в областта на мястото за съхранение.

Когато разположите хибридна защита на данни, премествате функциите на областта на защитата (KMS, индексиране и съответствие) в своя локален център за данни. Другите услуги в облака, които съставляват Webex (включително съхранение на самоличност и съдържание), остават в областите на Cisco.

Сътрудничество с други организации

Потребителите във вашата организация могат редовно да използват приложението Webex за сътрудничество с външни участници в други организации. Когато един от вашите потребители поиска ключ за място, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашата KMS изпраща ключа на клиента чрез ECDH защитен канал. Когато обаче друга организация притежава ключа за пространството, вашият KMS маршрутизира заявката към облака Webex чрез отделен ECDH канал, за да получи ключа от съответния KMS и след това връща ключа на вашия потребител в оригиналния канал.

Услугата KMS, изпълнявана в организация А, валидира връзките към KMS в други организации, като използва x.509 PKI сертификати. Вижте Подготовка на средата за подробности относно генерирането на сертификат x.509, който да се използва при вашето разполагане на хибридна защита на данни с много клиенти.

Очаквания за внедряване на хибридна защита на данни

Внедряването на хибридна защита на данни изисква значителна ангажираност и осведоменост за рисковете, които идват от притежаването на ключове за шифроване.

За да разположите хибридна защита на данни, трябва да предоставите:

Защитен център за данни в страна, която е поддържано местоположение за плановете на Cisco Webex Teams.
Оборудването, софтуерът и мрежовият достъп, описани в Подготовка на средата.

Пълната загуба или на конфигурационния ISO, който изграждате за хибридна защита на данни, или на базата данни, която предоставяте, ще доведе до загуба на ключове. Загубата на ключове не позволява на потребителите да дешифрират съдържанието в пространството и други шифровани данни в приложението Webex. Ако това се случи, можете да изградите ново разполагане, но ще се вижда само новото съдържание. За да избегнете загуба на достъп до данни, трябва:

Управлявайте архивирането и възстановяването на базата данни и конфигурационния ISO.
Бъдете готови да извършите бързо възстановяване след бедствие, ако възникне катастрофа, като повреда на диска на базата данни или бедствие на центъра за данни.

Няма механизъм за преместване на ключовете обратно в облака след разполагане на HDS.

Процес на настройка на високо ниво

Този документ обхваща настройката и управлението на разполагането на хибридна защита на данни с много клиенти:

Настройване на хибридна защита на данни – това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данни, изграждане на клъстер на HDS, добавяне на организации на клиенти към клъстера и управление на техните главни ключове на клиенти (CMK). Това ще даде възможност на всички потребители на вашите клиентски организации да използват вашия клъстер на хибридна защита на данни за функции за защита.

Етапите на настройка, активиране и управление са разгледани подробно в следващите три глави.
Поддържайте разполагането на хибридна защита на данни – Облакът на Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да предостави поддръжка от първо ниво за това разполагане и да ангажира поддръжката на Cisco, ако е необходимо. В Partner Hub можете да използвате известия на екрана и да настроите имейл предупреждения.
Разбиране на често срещаните предупреждения, стъпките за отстраняване на неизправности и известни проблеми – ако срещнете проблеми при разполагането или използването на хибридна защита на данни, последната глава от това ръководство и приложението „Известни проблеми“ могат да ви помогнат да определите и коригирате проблема.

Модел на разполагане на хибридна защита на данни

В рамките на вашия корпоративен център за данни разполагате с хибридна защита на данни като един клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака на Webex чрез защитени уеб сокети и защитен HTTP.

По време на процеса на инсталиране ви предоставяме файла OVA, за да настроите виртуалния уред на VMs, които предоставяте. Използвайте инструмента за настройка на HDS, за да създадете персонализиран ISO файл за конфигуриране на клъстери, който да монтирате на всеки възел. Клъстерът на хибридна защита на данни използва предоставения ви сървър Syslogd и базата данни на PostgreSQL или Microsoft SQL Server. (Можете да конфигурирате подробностите за връзката на Syslogd и базата данни в инструмента за настройка на HDS.)

Модел на разполагане на хибридна защита на данни

Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне по три на клъстер. Наличието на множество възли гарантира, че услугата не се прекъсва по време на надстройка на софтуера или друга дейност по поддръжка на даден възел. (Облакът на Webex надгражда само един възел в даден момент.)

Всички възли в клъстера имат достъп до един и същ файл с ключове и регистрационната активност към един и същ syslog сървър. Самите възли са без гражданство и обработват ключови заявки в кръгла форма, както е указано от облака.

Възлите стават активни, когато ги регистрирате в Partner Hub. За да излезете от експлоатация отделен възел, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.

Standby Data Center за възстановяване при бедствия

По време на разгръщането настройвате защитен център за данни в режим на готовност. В случай на бедствие на центъра за данни можете ръчно да не успеете при разполагането си в центъра за данни в режим на готовност.

Базите данни на активните центрове за данни и центровете за данни в режим на готовност са синхронизирани помежду си, което ще сведе до минимум времето, необходимо за извършване на превключването при отказ.

Активните възли на хибридна защита на данни трябва винаги да бъдат в същия център за данни като активния сървър с база данни.

Поддръжка на прокси

Hybrid Data Security поддържа изрични, прозрачни проверяващи и неинспектационни проксита. Можете да свържете тези проксита към разполагането си, така че да можете да подсигурите и наблюдавате трафика от предприятието навън към облака. Можете да използвате администраторски интерфейс на платформа на възлите за управление на сертификати и да проверите цялостното състояние на свързване, след като настроите прокси сървъра на възлите.

Хибридните възли за защита на данните поддържат следните опции за прокси:

Няма прокси сървър – Стойността по подразбиране, ако не използвате конфигурацията за настройка на HDS възел на доверено хранилище и прокси сървър за интегриране на прокси сървър. Не се изисква актуализация на сертификата.
Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси сървъра – възлите не са конфигурирани да използват определен адрес на прокси сървъра. На възлите не са необходими промени в конфигурацията на HTTP или HTTPS. Възлите обаче се нуждаят от главен сертификат, така че да се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS).
Изричен прокси сървър – С изричния прокси сървър казвате на HDS кои прокси сървъри и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
1. Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината.
2. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик.
3. Прокси протокол – в зависимост от това, което поддържа прокси сървърът ви, изберете между следните протоколи:
  - HTTP—Преглежда и контролира всички заявки, които клиентът изпраща.
  - HTTPS—Предоставя канал на сървъра. Клиентът получава и валидира сертификата на сървъра.
4. Тип удостоверяване – изберете измежду следните типове удостоверяване:
  - Няма – Не се изисква допълнително удостоверяване.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
  - Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.
  - Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата.
    
    Предлага се само ако изберете HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.

Пример за хибридни данни сигурност възли и прокси

Тази диаграма показва примерна връзка между защитата на хибридните данни, мрежата и прокси. За прозрачния инспектиращ и HTTPS изричен инспектиращ прокси опции, един и същ главен сертификат трябва да бъде инсталиран на прокси и на хибридните възли за защита на данните.

Блокиран режим на външна DNS разделителна способност (изрични прокси конфигурации)

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. В разполагане с изрични прокси конфигурации, които не позволяват външна DNS разделителна способност за вътрешни клиенти, ако възелът не може да заявка DNS сървъри, тя автоматично преминава в режим блокирани външни DNS резолюция. В този режим може да се процедира регистрация на възли и други тестове за свързване на прокси.

Подготовка на средата

Изисквания за хибридна защита на данните с няколко клиента

Изисквания за лицензи за Cisco Webex

За да разположите хибридна защита на данните с много клиенти:

Партньорски организации: Свържете се със своя партньор в Cisco или мениджър на акаунти и се уверете, че функцията за много клиенти е активирана.
Организации на клиента: Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижте https://www.cisco.com/go/pro-pack.)

Изисквания за закачане на работния плот

Преди да инсталирате възлите на HDS, трябва Docker Desktop, за да изпълните инсталационна програма. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker е Актуализиране и разширяване на нашите абонаментиза продукти".

X.509 Изисквания за сертификата

Веригата на сертификатите трябва да отговаря на следните изисквания:

Таблица 1. X.509 Изисквания за сертификата за разполагане на хибридна защита на данни
Изискване	Подробности
Подписан от надежден сертифициращ орган (CA)	По подразбиране се доверяваме на сертифициращите органи в списъка на Mozilla (с изключение на WoSign и StartCom) на https://wiki.mozilla.org/CA:IncludedCAs.
Носи общо име (CN) име на домейн, което идентифицира вашето разполагане на хибридна защита на данни Не е заместващ сертификат	CN не е нужно да е достъпен или хост на живо. Препоръчваме ви да използвате име, което отразява вашата организация, например `hds.company.com`. CN не трябва да съдържа * (заместващ символ). CN се използва за проверка на възлите на хибридна защита на данни за клиентите на приложението Webex. Всички възли на хибридна защита на данни във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на CN домейна, а не с произволен домейн, дефиниран в полетата x.509v3 SAN. След като сте регистрирали възел с този сертификат, не поддържаме промяна на името на CN домейна.
Подпис, който не е SHA1	Софтуерът KMS не поддържа подписи SHA1 за валидиране на връзки с KMS на други организации.
Форматиран като защитен с парола PKCS #12 файл Използвайте приятелското име на `kms-private-key` , за да маркирате сертификата, частния ключ и всички междинни сертификати за качване.	Можете да използвате конвертор, като OpenSSL, за да промените формата на сертификата си. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS.

Софтуерът KMS не налага използване на ключове или не разширява ограниченията за използване на ключове. Някои сертифициращи органи изискват за всеки сертификат да се прилагат разширени ограничения за използване на ключа, като например удостоверяване на сървъра. Добре е да използвате удостоверяване на сървъра или други настройки.

Изисквания за виртуален организатор

Виртуалните хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер, имат следните изисквания:

Поне два отделни хоста (препоръчва се 3), разположени съвместно в един и същ защитен център за данни
VMware ESXi 7.0 (или по-нова версия) е инсталиран и работи.

Трябва да надстроите, ако имате по-стара версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално място на твърдия диск на сървър

Изисквания към сървъра за база данни

Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.

Има две опции за сървъра с база данни. Изискванията за всеки от тях са, както следва:

Таблица 2. Изисквания за сървъра с база данни по тип база данни
PostgreSQL	Microsoft SQL сървър
PostgreSQL 14, 15 или 16, инсталиран и се изпълнява.	Инсталиран е SQL Server 2016, 2017, или 2019 (корпоративен или стандартен). SQL Server 2016 изисква Service Pack 2 и Кумулативна актуализация 2 или по-нова версия.
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)	Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)

HDS софтуерът в момента инсталира следните версии на драйвери за комуникация със сървъра с база данни:

PostgreSQL

Microsoft SQL сървър

Postgres JDBC драйвер 42.2.5

SQL Server JDBC драйвер 4.6

Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстера при отказ и Винаги включен групи за наличност).

Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server

Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни на Keystore на Microsoft SQL Server, тогава е необходима следната конфигурация във вашата среда:

Възлите на HDS, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Акаунтът за Windows, който предоставяте на възли на HDS, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възли, трябва да могат да разрешават вашия център за разпределение на ключове (KDC).
Можете да регистрирате екземпляра на базата данни на HDS на Microsoft SQL Server като основно име на услуга (SPN) на Active Directory. Вижте Регистриране на основно име на услуга за Kerberos връзки.

Инструментът за настройка на HDS, HDS стартера и локалния KMS трябва да използват удостоверяване на Windows за достъп до базата данни на Keystore. Те използват подробностите от вашата ISO конфигурация, за да конструират SPN, когато заявяват достъп с удостоверяване на Kerberos.

Изисквания за външна връзка

Конфигурирайте защитната стена, за да разрешите следната свързаност за приложенията на хибридна защита на данни:

Приложение	Протокол	Порт	Посока от приложението	Местоназначение
Възли на хибридна защита на данни	TCP	443	Изходящи HTTPS и ВиК	Сървъри на Webex: .wbx2.com .ciscospark.com Всички организатори на Common Identity Други URL адреси, които са изброени за хибридна защита на данни в таблицата Допълнителни URL адреси за хибридни услуги на Webex на мрежовите изисквания за услугите на Webex
Инструмент за настройка на HDS	TCP	443	Изходящ HTTPS	*.wbx2.com Всички организатори на Common Identity hub.docker.com

Възлите на хибридна защита на данни работят с превод на мрежовия достъп (NAT) или зад защитна стена, при условие че NAT или защитната стена позволяват необходимите изходящи връзки към местоназначенията на домейна в предходната таблица. За връзки, влизащи във входящи възли на хибридна защита на данни, от интернет не трябва да се виждат портове. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите на хибридна защита на данни на TCP портове 443 и 22 за административни цели.

URL адресите за хостовете на Common Identity (CI) са специфични за региона. Това са текущите организатори на CI:

Регион	URL адреси на организатор на Common Identity
Северна и Южна Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейски съюз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com
Сингапур	https://idbroker-sg.webex.com https://identity-sg.webex.com
Обединени арабски емирства	https://idbroker-ae.webex.com https://identity-ae.webex.com

Изисквания към прокси сървъра

Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли hybrid Data Security.
- Прозрачен прокси-Уред за уеб защита cisco (WSA).
- Изрична прокси-Сепия.
  
  Прокси сървърите, които инспектират HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да работите по този проблем, вижте Конфигуриране на прокси сървъри за хибридна защита на данни.
Ние поддържаме следните комбинации от тип удостоверяване за изрични проксита:
- Без удостоверяване с HTTP или HTTPS
- Базово удостоверяване с HTTP или HTTPS
- Смилане на удостоверяване само с HTTPS
За прозрачен проверяващ прокси или HTTPS изрично прокси, трябва да имате копие на главния сертификат на прокси. Инструкциите за разполагане в това ръководство ви казват как да качите копието в магазините за доверие на хибридните възли за защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик на порт 443 да маршрутизира през прокси сървъра.
Прокситата, които инспектират уеб трафика, може да пречат на връзките с уеб гнездото. Ако възникне този проблем, заобикалянето (не инспектирането) на трафика към wbx2.com и ciscospark.com ще реши проблема.

Изпълнете предварителните изисквания за хибридна защита на данни

Използвайте този контролен списък, за да гарантирате, че сте готови да инсталирате и конфигурирате своя клъстер на хибридна защита на данни.

1	Уверете се, че вашата партньорска организация има активирана функция за HDS с няколко клиента и получавате идентификационните данни за акаунт с пълен администратор на партньор и права на пълен администратор. Уверете се, че вашата организация на клиенти на Webex е разрешена за Pro Pack за Cisco Webex Control Hub. Свържете се с вашия партньор в Cisco или мениджър на акаунти за помощ с този процес. Организациите на клиентите не трябва да имат съществуващо разполагане на HDS.
2	Изберете име на домейн за разполагането на HDS (например `hds.company.com`) и получете верига от сертификати, съдържаща сертификат X.509, частен ключ и всички междинни сертификати. Веригата на сертификатите трябва да отговаря на изискванията в X.509 Изисквания за сертификат.
3	Подгответе идентични виртуални хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер. Имате нужда от поне два отделни организатора (препоръчва се 3), разположени съвместно в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален организатор.
4	Подгответе сървъра с база данни, който ще действа като хранилище на данни за ключа за клъстера в съответствие с изискванията за сървъра с база данни. Сървърът на базата данни трябва да бъде разположен съвместно в защитения център за данни с виртуалните хостове. Създайте база данни за съхранение на ключове. (Трябва да създадете тази база данни – не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.) Съберете подробностите, които ще използват възлите за комуникация със сървъра с база данни: име на хост или IP адрес (хост) и порт името на базата с данни (dbname) за съхранение на ключа потребителското име и паролата на потребител с всички привилегии в базата данни за съхранение на ключа
5	За бързо възстановяване след бедствие настройте архивна среда в друг център за данни. Резервната среда отразява производствената среда на VMs и резервен сървър с база данни. Например, ако производството има 3 VMs, работещи с HDS възли, резервната среда трябва да има 3 VMs.
6	Настройте хост на syslog, за да събирате регистрационни файлове от възлите в клъстера. Съберете мрежовия му адрес и порта за syslog (по подразбиране е UDP 514).
7	Създайте правила за защитено архивиране за възлите на хибридна защита на данни, сървъра с база данни и хоста на syslog. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите на хибридна защита на данни. Тъй като възлите на хибридна защита на данни съхраняват ключовете, използвани за шифроване и дешифроване на съдържание, неподдържането на оперативно разполагане ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на това съдържание. Клиентите на приложението Webex кешират ключовете си, така че прекъсването може да не се забележи веднага, но ще стане очевидно с течение на времето. Въпреки че е невъзможно да се предотвратят временните прекъсвания, те са възстановими. Обаче пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. От операторите на възлите на хибридна защита на данни се очаква да поддържат чести резервни копия на базата данни и конфигурационния ISO файл и да бъдат готови да възстановят центъра за данни на хибридна защита на данни, ако възникне катастрофална грешка.
8	Уверете се, че конфигурацията на защитната ви стена позволява свързване за вашите възли на хибридна защита на данни, както е описано в Изисквания за външна свързаност.
9	Инсталирайте Docker ( https://www.docker.com) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова или Mac OSX Yosemite 10.10.3 или по-нова версия) с уеб браузър, който може да получи достъп до нея на http://127.0.0.1:8080. Можете да използвате екземпляр на Docker, за да изтеглите и изпълните инструмента за настройка на HDS, който изгражда информацията за локална конфигурация за всички възли на хибридна защита на данни. Може да ви е необходим лиценз за настолен компютър за docker. Вижте Изисквания за закачане на работния плот за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има възможността за свързване, описана в Изисквания за външна свързаност.
10	Ако интегрирате прокси сървър с хибридна защита на данните, уверете се, че той отговаря на изискванията за прокси сървър.

Настройване на клъстер на хибридна защита на данни

Поток на задачи за разполагане на хибридна защита на данни

Преди да започнете

1	Извършване на първоначална настройка и изтегляне на инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късно използване.
2	Създаване на конфигурационен ISO за хостовете на HDS Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите на хибридна защита на данни.
3	Инсталиране на HDS Host OVA Създайте виртуална машина от OVA файла и изпълнете първоначалната конфигурация, като например мрежови настройки. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
4	Настройване на VM на хибридна защита на данни Влезте в конзолата на VM и задайте данните за вход. Конфигурирайте мрежовите настройки за възела, ако не сте ги конфигурирали към момента на разполагането на OVA.
5	Качване и монтиране на конфигурация ISO на HDS Конфигурирайте VM от ISO конфигурационния файл, който сте създали с инструмента за настройка на HDS.
6	Конфигуриране на HDS възел за интегриране на прокси сървър Ако мрежовата среда изисква конфигурация на прокси сървър, укажете типа прокси сървър, който ще използвате за възела, и добавете прокси сертификата към хранилището на гаранти, ако е необходимо.
7	Регистриране на първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел на хибридна защита на данни.
8	Създаване и регистриране на още възли Завършете настройката на клъстера.
9	Активирайте HDS с много клиенти в Partner Hub. Активирайте HDS и управлявайте организации на клиенти в Partner Hub.

Извършване на първоначална настройка и изтегляне на инсталационни файлове

В тази задача изтегляте OVA файл на вашата машина (а не на сървърите, които сте настроили като възли на хибридна защита на данни). Ще използвате този файл по-късно в процеса на инсталиране.

1	Влезте в Partner Hub и щракнете върху Услуги.
2	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и след това щракнете върху Настройка. Щракването върху Настройка в Partner Hub е критично за процеса на разполагане. Не продължете с инсталирането, без да завършите тази стъпка.
3	Щракнете върху Добавяне на ресурс и щракнете върху Изтегляне на .OVA файл на картата Инсталиране и конфигуриране на софтуера . По-старите версии на софтуерния пакет (OVA) няма да бъдат съвместими с най-новите надстройки на хибридна защита на данни. Това може да доведе до проблеми при надстройване на приложението. Уверете се, че сте изтеглили най-новата версия на OVA файла. Можете също да изтеглите OVA по всяко време от раздела Помощ . Щракнете върху Настройки > Помощ > Изтегляне на софтуер за хибридна защита на данни. OVA файлът започва автоматично да се изтегля. Запишете файла на местоположение на машината си.
4	Като опция щракнете върху Вижте ръководството за разполагане на хибридна защита на данни , за да проверите дали има налична по-нова версия на това ръководство.

Създаване на конфигурационен ISO за хостовете на HDS

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт в Partner Hub с пълни администраторски права.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5 по-долу. Тази таблица дава някои възможни променливи на средата:

Описание

Променлива

HTTP прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTPS прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTP прокси с удостоверяване

GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS прокси с удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

1

В командния ред на вашата машина въведете подходящата команда за вашата среда:

В нормални среди:

докер rmi ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер rmi ciscocitg/hds-setup-fedramp: стабилен

Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

2

За да влезете в регистъра на изображения на Docker, въведете следното:

докер вход -u hdscustomersro

3

При подканата за парола въведете този хеш:

dckr_pat_aDP6V4KkrvpBwa

4

Изтеглете най-новото стабилно изображение за вашата среда:

В нормални среди:

докер издърпване ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер издърпване ciscocitg/hds-setup-fedramp: стабилен

5

Когато изтеглянето приключи, въведете подходящата команда за вашата среда:

В нормални среди без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В нормални среди с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В редовни среди с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В среди на FedRAMP без прокси:

докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен

В среди на FedRAMP с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В среди на FedRAMP с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.

6

Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost.

Използвайте уеб браузър, за да отидете на localhost, http://127.0.0.1:8080 и въведете администраторското потребителско име за Partner Hub в подканата.

Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.

7

Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.

8

На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.

9

На страницата Импортиране на ISO имате следните опции:

Не– Ако създавате първия си HDS възел, нямате ISO файл за качване.
Да – Ако вече сте създали HDS възли, тогава изберете своя ISO файл в прегледа и го качете.

10

Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат.

Ако никога не сте качили сертификат преди, качете сертификата X.509, въведете паролата и щракнете върху Продължи.
Ако сертификатът ви е ОК, щракнете върху Продължи.
Ако сертификатът ви е изтекъл или искате да го замените, изберете Не за Продължаване на използването на веригата за сертификати на HDS и частния ключ от предишния ISO?. Качете нов сертификат X.509, въведете паролата и щракнете върху Продължи.

11

Въведете адреса на базата данни и акаунта за HDS, за да получите достъп до ключовия си datastore:

Изберете вашия тип база данни (PostgreSQL или Microsoft SQL Server).

Ако изберете Microsoft SQL Server, получавате поле за тип удостоверяване.
(Само за Microsoft SQL Server ) Изберете вашия тип удостоверяване:
- Базово удостоверяване: Необходимо е име на локален акаунт за SQL Server в полето Потребителско име .
- Удостоверяване на Windows: Имате нужда от акаунт за Windows във формат username@DOMAIN в полето Потребителско име .
Въведете адреса на сървъра с база данни във формуляра : или :.

Пример:
dbhost.example.org:1433 или 198.51.100.17:1433

Можете да използвате IP адрес за базово удостоверяване, ако възлите не могат да използват DNS за решаване на името на хоста.

Ако използвате удостоверяване на Windows, трябва да въведете напълно квалифицирано име на домейн във формат dbhost.example.org:1433
Въведете името на базата данни.
Въведете Потребителско име и Парола на потребител с всички привилегии в базата данни за съхранение на ключа.

12

Изберете режим на свързване с база данни TLS:

Режим	Описание
Предпочитане на TLS (опция по подразбиране)	HDS възлите не изискват TLS да се свърже със сървъра на базата данни. Ако разрешите TLS на сървъра с база данни, възлите правят опит за шифрована връзка.
Изисквайте TLS	HDS възли се свързват само ако сървърът на базата данни може да договори TLS.
Изисквайте TLS и проверете подписвача на сертификати	Този режим не е приложим за бази данни на SQL Server. HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.
Изисквайте TLS и проверете подписалия сертификат и хостовото име	HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Възлите също така проверяват дали името на хоста в сертификата на сървъра съвпада с името на хоста в полето Хост и порт в базата данни . Имената трябва да съвпадат точно или възелът пуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.

Когато качите корневи сертификат (ако е необходимо) и щракнете върху Продължи, инструментът за настройка на хибридна защита на данни тества TLS връзката към сървъра с база данни. Инструментът също така проверява подписалите сертификата и hostname, ако е приложимо. Ако даден тест е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързването възлите на HDS може да са в състояние да установят TLS връзката, дори ако машината с инструмента за настройка на HDS не може да я тества успешно.)

13

На страницата „Системни регистрационни файлове“ конфигурирайте сървъра си за Syslogd:

Въведете URL адреса на сървъра syslog.

Ако сървърът не може да се разрешава чрез DNS от възлите за вашия HDS клъстер, използвайте IP адрес в URL.

Пример:
udp://10.92.43.23:514 показва влизане в хоста Syslogd 10.92.43.23 на UDP порт 514.
Ако настроите сървъра си да използва TLS шифроване, отметнете Конфигуриран ли е вашият сървър syslog за SSL шифроване?.

Ако отметнете това квадратче, трябва да въведете URL адрес на TCP, като например tcp://10.92.43.23:514.
От падащия списък Избор на прекратяване на запис в syslog изберете подходящата настройка за вашия ISO файл: Избор или нов ред се използва за Graylog и Rsyslog TCP
- Нулев байт -- \x00
- Нов ред – \n – Изберете този избор за Graylog и Rsyslog TCP.
Щракнете върху Продължаване.

14

(По избор) Можете да промените стойността по подразбиране за някои параметри на връзката с база данни в Разширени настройки. По принцип този параметър е единственият, който може да искате да промените:

app_datasource_connection_pool_maxРазмер: 10

15

Щракнете върху Продължи на екрана Нулиране на паролата за акаунти за услуги .

Паролите за акаунта за услугата имат деветмесечен живот. Използвайте този екран, когато паролите ви наближават изтичане или искате да ги нулирате, за да invalidate previous ISO files.

16

Щракнете върху Изтегляне на ISO файл. Запишете файла на лесно за намиране място.

17

Направете резервно копие на ISO файла в локалната си система.

Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.

18

За да затворите инструмента за настройка, напишете CTRL+C.

Какво да направите след това

Архивиране на конфигурационния ISO файл. Необходимо е, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, ще загубите и главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.

Никога не разполагаме с копие на този ключ и не можем да ви помогнем, ако го изгубите.

Инсталиране на HDS Host OVA

Използвайте тази процедура, за да създадете виртуална машина от OVA файла.

1	Използвайте клиента VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi.
2	Изберете Файл > Разполагане на OVF шаблон.
3	В съветника укажете местоположението на OVA файла, който сте изтеглили по-рано, след което щракнете върху Напред.
4	На страницата Избор на име и папка въведете име на виртуална машина за възела (например "HDS_Node_1"), изберете местоположение, където може да се намира разполагането на възела на виртуалната машина, след което щракнете върху Напред.
5	На страницата Избор на изчислителен ресурс изберете целевия изчислителен ресурс и след това щракнете върху Напред. Извършва се проверка за валидиране. След като завърши, се показват подробностите за шаблона.
6	Проверете подробностите за шаблона и след това щракнете върху Напред.
7	Ако от вас бъде поискано да изберете конфигурацията на ресурсите на страницата Конфигурация , щракнете върху 4 процесора и след това щракнете върху Напред.
8	На страницата Избор на място за съхранение щракнете върху Напред , за да приемете формата на диска по подразбиране и правилата за съхранение на VM.
9	На страницата Избор на мрежи изберете опцията за мрежа от списъка със записи, за да осигурите желаната свързаност към VM.
10	На страницата Персонализиране на шаблон конфигурирайте следните мрежови настройки: Име на хост – въведете FQDN (име на хост и домейн) или една дума име на хост за възела. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509. За да гарантирате успешна регистрация в облака, използвайте само малки знаци във FQDN или името на хоста, които сте задали за възела. Капитализацията не се поддържа в този момент. Общата дължина на FQDN не трябва да надвишава 64 знака. IP адрес – Въведете IP адреса за вътрешния интерфейс на възела. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. Маска – Въведете адреса на маската на подмрежата с точка и запетая. Например 255.255.255.0. Шлюз – въведете IP адреса на шлюза. Шлюза е мрежов възел, който служи като точка за достъп до друга мрежа. DNS сървъри – Въведете списък с DNS сървъри, разделени със запетая, които обработват преобразуването на имената на домейни в цифрови IP адреси. (Разрешени са до 4 DNS записа.) NTP сървъри – Въведете NTP сървъра на вашата организация или друг външен NTP сървър, който може да се използва във вашата организация. NTP сървърите по подразбиране може да не работят за всички предприятия. Можете също да използвате списък, разделен със запетая, за да въведете няколко NTP сървъра. Разположете всички възли в една и съща подмрежа или VLAN, така че всички възли в клъстера да са достъпни от клиентите във вашата мрежа за административни цели. Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройване на VM на хибридна защита на данни , за да конфигурирате настройките от конзолата за възли. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
11	Щракнете с десния бутон върху възела VM и след това изберете Захранване > Включване. Софтуерът за хибридна защита на данни е инсталиран като гост на VM Host. Вече сте готови да влезете в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да усетите забавяне от няколко минути, преди контейнерите с възли да се появят. На конзолата се появява съобщение за защитна стена на мост по време на първото зареждане, по време на което не можете да влезете.

Настройване на VM на хибридна защита на данни

Използвайте тази процедура, за да влезете за първи път в конзолата на възела на хибридна защита на данни и да зададете данните за вход. Можете също да използвате конзолата, за да конфигурирате мрежовите настройки за възела, ако не сте ги конфигурирали по време на разполагането на OVA.

1	В клиента на VMware vSphere изберете своя възел на хибридна защита на данни VM и изберете раздела Конзола . VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Enter.
2	Използвайте следните данни за влизане и парола по подразбиране, за да влезете и да промените идентификационните данни: Влизане: `администратор` Парола: `cisco` Тъй като влизате във вашия VM за първи път, трябва да промените паролата на администратора.
3	Ако вече сте конфигурирали мрежовите настройки в Инсталиране на HDS Host OVA, пропуснете останалата част от тази процедура. В противен случай в главното меню изберете опцията Редактиране на конфигурацията .
4	Настройте статична конфигурация с IP адрес, маска, шлюз и DNS информация. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.
5	(По избор) Променете името на хоста, домейна или NTP сървъра(ите), ако е необходимо, за да съответстват на мрежовите ви правила. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509.
6	Запишете мрежовата конфигурация и рестартирайте VM, за да влязат в сила промените.

Качване и монтиране на конфигурация ISO на HDS

Използвайте тази процедура, за да конфигурирате виртуалната машина от ISO файла, който сте създали с инструмента за настройка на HDS.

Преди да започнете

Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на база „трябва да знаете“, за достъп от VM на хибридна защита на данни и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до datastore.

1

Качете ISO файла от компютъра си:

В левия навигационен екран на клиента VMware vSphere щракнете върху сървъра ESXi.
В списъка с хардуери на раздела за конфигуриране щракнете върху Място за съхранение.
В списъка Datastores щракнете с десния бутон върху datastore за вашите VMs и щракнете върху Преглед на Datastore.
Щракнете върху иконата Качване на файлове и след това щракнете върху Качване на файл.
Намерете местоположението, където сте изтеглили ISO файла на компютъра си, и щракнете върху Отвори.
Щракнете върху Да , за да приемете предупреждението за операцията за качване/изтегляне, и затворете диалоговия прозорец за данни.

2

Монтиране на ISO файла:

В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
Щракнете върху OK , за да приемете предупреждението за ограничени опции за редактиране.
Щракнете върху CD/DVD диск 1, изберете опцията за монтаж от ISO файл datastore и намерете местоположението, където сте качили конфигурационния ISO файл.
Отметнете Свързан и Свързване при включване.
Запишете промените си и рестартирайте виртуалната машина.

Какво да направите след това

Ако правилата за ИТ изискват, можете по избор да демонтирате ISO файла, след като всички ваши възли поемат промените в конфигурацията. Вижте (По избор) Демонтиране на ISO след конфигуриране на HDS за подробности.

Конфигуриране на HDS възел за интегриране на прокси сървър

Ако мрежовата среда изисква прокси, използвайте тази процедура, за да укажете вида на прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачен проверяващ прокси или HTTPS изричен прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главния сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните всички потенциални проблеми.

Преди да започнете

Вижте Поддръжка на прокси за общ преглед на поддържаните опции за прокси.
Изисквания към прокси сървъра

1	Въведете URL адреса за настройка на HDS възел `https://[HDS Възел IP или FQDN]/настройка` в уеб браузър, въведете администраторски идентификационни данни, които сте настроили за възела и след това щракнете върху Вход.
2	Отидете на Хранилище на доверие & Прокси , след което изберетеопция: Няма прокси сървър – опцията по подразбиране, преди да интегрирате прокси сървър. Не се изисква актуализация на сертификата. Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата. Прокси сървър за прозрачна проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра. Не httpS конфигурация промени са необходими в разполагането на защитата на хибридни данни, обаче HDS възли се нуждаят от главен сертификат, така че те се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS). Изричен прокси сървър – С изричния прокси сървър казвате на клиента (HDS възли) кой прокси сървър да използва, и тази опция поддържа няколко типа удостоверяване. След като изберете тази опция, трябва да въведете следната информация: Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик. Прокси протокол – изберете http (преглежда и управлява всички заявки, които се получават от клиента) или https (осигурява канал към сървъра и клиентът получава и валидира сертификата на сървъра). Изберете опция въз основа на това, което поддържа вашият прокси сървър. Тип удостоверяване – изберете измежду следните типове удостоверяване: Няма – Не се изисква допълнително удостоверяване. Налична за HTTP или HTTPS проксита. Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране. Налична за HTTP или HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата. Предлага се само за HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Изпълнете следващите стъпки за прозрачен проверяващ прокси, HTTP изрично прокси с базово удостоверяване или HTTPS изрично прокси.
3	Щракнете върху Качване на главен сертификат или Сертификат за краен обект и след това навигирайте до изберете главния сертификат запрокси. Сертификатът се качва, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката chevron по името на издателя на сертификата, за да получите повече подробности или щракнете върху Изтрий, ако сте направили грешка и искате да качите повторно файла.
4	Щракнете върху Проверка на прокси връзката, за да тествате мрежовата свързаност между възела и прокси. Ако тестът за връзка е неуспешен, ще видите съобщение за грешка, което показва причината и как можете да коригирате проблема. Ако видите съобщение, което казва, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на блокирано външно DNS разрешаване. Ако мислите, че това е грешка, изпълнете тези стъпки и след това вижте Изключване на режима на блокирано външно разрешаване на DNS.
5	След като тестът за връзка премине, за изрично прокси настроен само на https, включете превключването към Маршрут всички порт 443/444 https заявки от този възел през изрично прокси. Тази настройка изисква 15 секунди, за да влязат в сила.
6	Щракнете върху Инсталиране на всички сертификати в хранилището на гаранти (появява се за HTTPS изрично прокси или прозрачен проверяващ прокси) или Рестартиране (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете върху Инсталиране, ако сте готови. Възелът се рестартира в рамките на няколко минути.
7	След рестартирането на възела влезте отново, ако е необходимо, след което отворете страницата Общ преглед, за да проверите проверките за свързване, за да се уверите, че всички те са в зелено състояние. Проверката на прокси връзката тества само поддомейн от webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират в прокси.

Регистриране на първия възел в клъстера

Тази задача взема генеричния възел, който сте създали в Настройване на хибридна защита на данни VM, регистрира възела с облака на Webex и го превръща във възел на хибридна защита на данни.

Когато регистрирате първия си възел, създавате клъстер, към който е разпределен възелът. Клъстерът съдържа един или повече възли, разгърнати за осигуряване на резерв.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Настройка.
4	На страницата, която се отваря, щракнете върху Добавяне на ресурс.
5	В първото поле на картата Добавяне на възел въведете име за клъстера, на който искате да разпределите вашия възел на хибридна защита на данни. Препоръчваме ви да посочите клъстер въз основа на географското местоположение на клъстера. Примери: „Сан Франциско“ или „Ню Йорк“ или „Далас“
6	Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне в долната част на екрана. Този IP адрес или FQDN трябва да съвпада с IP адреса или името на хоста и домейна, които сте използвали в Настройване на VM на хибридна защита на данни. Появява се съобщение, което показва, че можете да регистрирате възела в Webex.
7	Щракнете върху Към възел. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация в Webex за достъп до вашия възел.
8	Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex.
9	Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. На страницата Хибридна защита на данни новият клъстер, съдържащ възела, който сте регистрирали, се показва под раздела Ресурси . Възелът автоматично ще изтегли най-новия софтуер от облака.

Създаване и регистриране на още възли

За да добавите допълнителни възли към вашия клъстер, просто създавате допълнителни VM и монтирате същия конфигурационен ISO файл, след което регистрирайте възела. Препоръчваме ви да имате поне 3 възела.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталиране на HDS Host OVA.
2	Настройте първоначалната конфигурация на новия VM, като повторите стъпките в Настройване на хибридна защита на данни VM.
3	На новия VM повторете стъпките в Качване и монтиране на ISO на конфигурацията на HDS.
4	Ако настройвате прокси сървър за разполагането си, повторете стъпките в Конфигуриране на възела на HDS за интеграция на прокси сървър , както е необходимо за новия възел.
5	Регистрирайте възела. В https://admin.webex.com изберете Услуги от менюто от лявата страна на екрана. В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Преглед на всички. Показва се страницата с ресурси за хибридна защита на данни. Новосъздаденият клъстер ще се появи на страницата Ресурси . Щракнете върху клъстера, за да видите възлите, разпределени към клъстера. Щракнете върху Добавяне на възел от дясната страна на екрана. Въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне. Отваря се страница със съобщение, което показва, че можете да регистрирате възела си в облака Webex. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация за достъп до вашия възел. Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex. Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. Изскачащото съобщение Добавен възел също се появява в долната част на екрана в Partner Hub. Възелът ви е регистриран.

Управление на организации на клиенти в хибридна защита на данни с много клиенти

Активиране на HDS с много клиенти в Partner Hub

Тази задача гарантира, че всички потребители на клиентските организации могат да започнат да използват HDS за локални ключове за шифроване и други услуги за защита.

Преди да започнете

Уверете се, че сте завършили настройването на своя клъстер на HDS с много клиенти с необходимия брой възли.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките.
4	Щракнете върху Активиране на HDS на картата Статус на HDS .

Добавяне на организации на клиенти в Partner Hub

В тази задача задавате клиентски организации към вашия клъстер на хибридна защита на данни.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	Щракнете върху клъстера, към който искате да бъде разпределен клиент.
5	Отидете в раздела Зададени клиенти .
6	Щракнете върху Добавяне на клиенти.
7	Изберете клиента, който искате да добавите, от падащото меню.
8	Щракнете върху Добавяне, клиентът ще бъде добавен към клъстера.
9	Повторете стъпки 6 до 8, за да добавите множество клиенти към вашия клъстер.
10	Щракнете върху Готово в долната част на екрана, след като сте добавили клиентите.

Какво да направите след това

Изпълнете инструмента за настройка на HDS, както е подробно описано в Създаване на главни ключове на клиенти (CMK) с помощта на инструмента за настройка на HDS , за да завършите процеса на настройка.

Създаване на главни ключове (CMK) за клиента с помощта на инструмента за настройка на хибридни съобщения

Преди да започнете

Разпределете клиенти към съответния клъстер, както е подробно описано в Добавяне на организации на клиенти в Partner Hub. Стартирайте инструмента за настройка на HDS, за да завършите процеса на настройка за новодобавените клиентски организации.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете. Осигурете свързване с вашата база данни, за да извършите управление на CMK.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Създаване на CMK за всички организации или Създаване на CMK – щракнете върху този бутон на банера в горната част на екрана, за да създадете CMK за всички новодобавени организации. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Създаване на CMK , за да създадете CMK за всички новодобавени организации. Щракнете върху ... близо до управлението на CMK в очакване на статуса на определена организация в таблицата и щракнете върху Създаване на CMK , за да създадете CMK за тази организация.
12	След като създаването на CMK е успешно, статусът в таблицата ще се промени от управление на CMK в очакване на управление на CMK.
13	Ако създаването на CMK е неуспешно, ще се покаже грешка.

Премахване на организации на клиенти

Преди да започнете

След като бъдат премахнати, потребителите на организации на клиенти няма да могат да използват HDS за своите нужди от шифроване и ще загубят всички съществуващи места. Преди да премахнете клиентски организации, се свържете със своя партньор в Cisco или мениджър на акаунти.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	В раздела Ресурси щракнете върху клъстера, от който искате да премахнете клиентските организации.
5	На страницата, която се отваря, щракнете върху Зададени клиенти.
6	От списъка с клиентски организации, които се показват, щракнете върху ... от дясната страна на клиентската организация, която искате да премахнете, и щракнете върху Премахване от клъстера.

Какво да направите след това

Завършете процеса на премахване, като анулирате CMK на клиентските организации, както е подробно описано в Анулиране на CMK на клиенти, премахнати от HDS.

Анулиране на CMK на клиенти, премахнати от HDS.

Преди да започнете

Премахнете клиенти от съответния клъстер, както е подробно описано в Премахване на организации на клиенти. Стартирайте инструмента за настройка на HDS, за да завършите процеса на премахване за организациите на клиента, които са премахнати.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Анулиране на CMK за всички организации или Анулиране на CMK – щракнете върху този бутон на банера в горната част на екрана, за да анулирате CMK на всички организации, които са премахнати. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Анулиране на CMK , за да анулирате CMK на всички организации, които са премахнати. Щракнете върху … близо до CMK, за да бъде отменено състоянието на определена организация в таблицата и щракнете върху Анулиране на CMK , за да анулирате CMK за тази конкретна организация.
12	След успешното анулиране на CMK организацията на клиента повече няма да се показва в таблицата.
13	Ако отмяната на CMK е неуспешно, ще се покаже грешка.

Тестване на вашето разполагане на хибридна защита на данни

Използвайте тази процедура, за да тествате сценариите за шифроване на хибридна защита на данни с много клиенти.

Преди да започнете

Настройте своето разполагане на хибридна защита на данни с много клиенти.
Уверете се, че имате достъп до syslog, за да потвърдите, че ключовите заявки се подават към вашето разполагане на хибридна защита на данни с много клиенти.

1

Бутоните за дадено място се задават от създателя на мястото. Влезте в приложението Webex като един от потребителите на организацията на клиентите и след това създайте място.

Ако деактивирате разполагането на хибридна защита на данни, съдържанието в местата, които създават потребителите, вече не е достъпно, след като бъдат заменени кешираните от клиента копия на ключовете за шифроване.

2

Изпратете съобщения до новото място.

3

Проверете изхода на syslog, за да потвърдите, че ключовите заявки се прехвърлят към вашето разполагане на хибридна защита на данни.

За да проверите за потребител, който първо създава защитен канал към KMS, филтрирайте на kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

Трябва да намерите запис като следния (идентификатори, съкратени за четливост):

2020-07-21 17:35:34.562 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-1] - [KMS:ЗАЯВКА] получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: //hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

За да проверите за потребител, който иска съществуващ ключ от KMS, филтрирайте на kms.data.method=retrieve и kms.data.type=KEY:

Трябва да намерите запис, като:

2020-07-21 17:44:19.889 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-31] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ключ, филтрирайте на kms.data.method=create и kms.data.type=KEY_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:21.975 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-33] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ресурсен обект (KRO), когато се създава пространство или друг защитен ресурс, филтрирайте на kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:22.808 (+0000) ИНФОРМАЦИЯ KMS [pool-15-thread-1] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Наблюдение на изправността на хибридна защита на данни

Индикатор за статус в Partner Hub ви показва дали всичко е наред с разполагането на хибридна защита на данни с много клиенти. За по-активно предупреждаване се запишете за известия по имейл. Ще бъдете уведомени, когато има аларми, засягащи услугата, или надстройки на софтуера.

1	В Partner Hub изберете Услуги от менюто от лявата страна на екрана.
2	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките. Показва се страницата с настройки за хибридна защита на данни.
3	В раздела \„Имейл известия\“ въведете един или повече имейл адреси, разделени със запетаи, и натиснете Enter.

Управление на вашето разполагане на HDS

Управление на разполагането на HDS

Използвайте описаните тук задачи, за да управлявате своето разполагане на хибридна защита на данни.

Задаване на график за надстройване на клъстери

Надстройките на софтуера за хибридна защита на данни се извършват автоматично на ниво клъстер, което гарантира, че всички възли винаги изпълняват една и съща софтуерна версия. Надстройванията се извършват съгласно графика за надстройване за клъстера. Когато е налична надстройка на софтуера, имате възможност ръчно да надстроите клъстера преди планираното време за надстройване. Можете да зададете конкретен график за надстройване или да използвате графика по подразбиране от 3:00 ч. дневно в Съединените щати: Америка/Лос Анджелис. Можете също да изберете да отложите предстоящото надстройване, ако е необходимо.

За да зададете графика за надстройване:

1	Влезте в Центъра за партньори.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Настройка
4	На страницата с ресурси за хибридна защита на данни изберете клъстера.
5	Щракнете върху раздела Настройки на клъстера .
6	На страницата с настройки на клъстери под „График за надстройване“ изберете часа и часовата зона за графика за надстройване. Забележка: Под часовата зона се показват следващата налична дата и час на надстройване. Можете да отложите надстройването до следващия ден, ако е необходимо, като щракнете върху Отложи с 24 часа.

Промяна на конфигурацията на възела

От време на време може да се наложи да промените конфигурацията на вашия възел за защита на хибридни данни поради причина като:

Промяна на x.509 сертификати поради изтичане или други причини.

Не поддържаме промяна на CN името на домейн на сертификат. Домейнът трябва да съответства на оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.

Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или обратното. За да превключите средата на базата данни, започнете ново внедряване на Hybrid Data Security.
Създаване на нова конфигурация за подготовка на нов център за данни.

Също така, за целите на защитата, Hybrid Data Security използва пароли за сервизен акаунт, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, ги разполагате на всеки от вашите HDS възли във файла ISO config. Когато паролите на вашата организация са към изтичане, получавате известие от екипа на Webex за нулиране на паролата за вашия машинен акаунт. (Имейлът включва текста „Използвайте API на машинния акаунт, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:

Софтуерно нулиране – И двете стари и нови пароли работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране – Старите пароли спират да работят незабавно.

Ако вашите пароли изтекат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно хардуерно нулиране и подмяна на ISO файла на всички възли.

Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни права на администратор на партньор.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в 1.e. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Имате нужда от ISO, когато правите промени в конфигурацията, включително идентификационни данни на база данни, актуализации на сертификати или промени в правилата за оторизация.

1	Използвайки Docker на локална машина, стартирайте HDS Setup Tool. В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате. За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro` При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa` Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен` Уверете се, че сте изтеглили най-новия инструмент за настройка за тази процедура. Версиите на инструмента, създадени преди 22 февруари 2018 г., нямат екрани за нулиране на парола. Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В нормални среди с HTTPSпрокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате "Express сървър слушане на порт 8080." Използвайте браузър, за да се свържете с localhost, `http://127.0.0.1:8080`. Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Когато получите подкана, въведете идентификационните си данни за влизане за клиент на Partner Hub и след това щракнете върху Приемане , за да продължите. Импортирайте текущия конфигурационен ISO файл. Следвайте подканите, за да завършите инструмента и да изтеглите актуализирания файл. За да затворите инструмента за настройка, напишете `CTRL+C`. Създайте резервно копие на актуализирания файл в друг център за данни.
2	Ако имате работещ само един HDS възел, създайте нов VM възел на хибридна защита на данни и го регистрирайте, като използвате новия конфигурационен ISO файл. За по-подробни инструкции вижте Създаване и регистриране на още възли. Инсталирайте HDS хост OVA. Настройте HDS VM. Монтирайте актуализирания конфигурационен файл. Регистрирайте новия възел в Partner Hub.
3	За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: Изключете виртуалната машина. В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките. Щракнете върху `CD / DVD диск 1 , изберете опцията за монтиране от ISO файл и`прегледайте местоположението, където сте изтеглили новия конфигурационен ISO файл. Поставете отметка на Свързване при включване. Запазете промените си и включете виртуалната машина.
4	Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация.

Изключване на режим на блокирана външна DNS разделителна способност

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. Ако DNS сървърът на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на блокирана външна DNS разделителна способност.

Ако вашите възли са в състояние да разреши публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим чрез повторно изпълнение на теста за прокси връзка на всеки възел.

Преди да започнете

Гарантирайте, че вашите вътрешни DNS сървъри могат да разрешават публични DNS имена, както и че вашите възли могат да комуникират с тях.

1	В уеб браузър отворете интерфейса на възела "Защита на хибридните данни" (IP адрес/настройка например въведете идентификационни данни за администриране, които https://192.0.2.0/setup), сте задали за възела, след което щракнете върху Влизане.
2	Отидете на Общ преглед (страницата по подразбиране). Когато е разрешено, блокирани външна DNS разделителна способност е зададена да .
3	Отидете на страницата Хранилище на доверие & Прокси.
4	Щракнете върху Проверка на прокси връзката. Ако видите съобщение, казващо, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра и ще остане в този режим. В противен случай, след като рестартирате възела и да се върнете към страницата общ преглед, Блокиран външен DNS разделителна способност трябва да бъде зададено на не.

Какво да направите след това

Повторете теста за прокси връзка на всеки възел във вашия клъстер за защита на хибридни данни.

Премахване на възел

Използвайте тази процедура, за да премахнете възел на хибридна защита на данни от облака Webex. След като премахнете възела от клъстера, изтрийте виртуалната машина, за да предотвратите по-нататъшен достъп до вашите данни за защита.

1

Използвайте клиента на VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуалната машина.

2

Премахване на възела:

Влезте в Partner Hub и изберете Услуги.
В картата на хибридна защита на данни щракнете върху Преглед на всички , за да покажете страницата с ресурси за хибридна защита на данни.
Изберете своя клъстер, за да се покаже неговият панел \„Общ преглед\“.
Щракнете върху възела, който искате да премахнете.
Щракнете върху Дерегистриране на този възел на панела, който се появява вдясно
Можете също да дерегистрирате възела, като щракнете върху ... от дясната страна на възела и изберете Премахване на този възел.

3

В клиента vSphere изтрийте VM. (В левия навигационен екран щракнете с десния бутон върху VM и щракнете върху Изтрий.)

Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за защита.

Възстановяване след бедствие с използване на центъра за данни в режим на готовност

Най-критичната услуга, която вашият клъстер на хибридна защита на данни предоставя, е създаването и съхранението на ключове, използвани за шифроване на съобщения и друго съдържание, съхранени в облака на Webex. За всеки потребител в рамките на организацията, който е разпределен към хибридна защита на данни, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът също така е отговорен за връщането на създадените ключове на всички потребители, упълномощени да ги извлекат, например членове на място за разговори.

Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат подходящи резервни копия. Загубата на базата данни за хибридна защита на данни или на конфигурационния ISO, използван за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентското съдържание. За предотвратяване на такава загуба са задължителни следните практики:

Ако при бедствие разполагането на HDS в основния център за данни стане недостъпно, следвайте тази процедура, за да се върнете ръчно към центъра за данни в режим на готовност.

Преди да започнете

Премахнете регистрацията на всички възли от Partner Hub, както е посочено в Премахване на възел. Използвайте най-новия ISO файл, конфигуриран спрямо възлите на клъстера, който преди това е бил активен, за да извършите посочената по-долу процедура за преместване при отказ.

1	Стартирайте инструмента за настройка на HDS и следвайте стъпките, споменати в Създаване на конфигурационен ISO за хостовете на HDS.
2	Завършете процеса на конфигуриране и запишете ISO файла на лесно за намиране място.
3	Направете резервно копие на ISO файла в локалната си система. Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.
4	В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
5	Щракнете върху Редактиране на настройките >CD/DVD диск 1 и изберете Datastore ISO файл. Уверете се, че са отметнати Свързани и Свързване при включване , за да могат актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.
6	Включете възела на HDS и се уверете, че няма аларми поне 15 минути.
7	Регистрирайте възела в Partner Hub. Вижте Регистриране на първия възел в клъстера.
8	Повторете процеса за всеки възел в центъра за данни в режим на готовност.

Какво да направите след това

След отказ, ако основният център за данни се активира отново, премахнете регистрацията на възлите на центъра за данни в режим на готовност и повторете процеса на конфигуриране на ISO и регистриране на възлите на основния център за данни, както е посочено по-горе.

(По избор) Демонтиране на ISO след конфигуриране на HDS

Стандартната конфигурация на HDS работи с монтирания ISO. Но някои клиенти предпочитат да не оставят ISO файловете постоянно монтирани. Можете да разглобите ISO файла, след като всички възли на HDS поемат новата конфигурация.

Все още използвате ISO файловете, за да направите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всички ваши HDS възли. След като всички ваши възли са приели промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.

Преди да започнете

Надстройте всички ваши HDS възли до версия 2021.01.22.4720 или по-нова.

1	Затворете един от възлите си за HDS.
2	В уреда vCenter Server изберете възела на HDS.
3	Изберете Редактиране на настройките > CD/DVD диск и премахнете отметката от Datastore ISO файл.
4	Включете възела на HDS и се уверете, че няма аларми поне 20 минути.
5	Повторете за всеки HDS възел на смяна.

Отстраняване на неизправности в хибридна защита на данни

Преглед на предупрежденията и отстраняване на неизправности

Разполагането на хибридна защита на данни се счита за налично, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че отнема време. Ако потребителите не могат да се свържат с вашия клъстер на хибридна защита на данни, те изпитват следните симптоми:

Не могат да се създават нови места (не могат да се създадат нови ключове)
Неуспешно дешифриране на съобщенията и заглавията на пространството за:
- Нови потребители, добавени към място (не могат да се извлекат ключове)
- Съществуващи потребители в място с помощта на нов клиент (не могат да се извлекат ключовете)
Съществуващите потребители в дадено място ще продължат да се изпълняват успешно, стига клиентите им да имат кеш с ключовете за шифроване

Важно е да наблюдавате правилно своя клъстер на хибридна защита на данни и да обръщате бързо към всички предупреждения, за да избегнете прекъсване на услугата.

Предупреждения

Ако има проблем с настройката на хибридна защита на данни, Partner Hub показва предупреждения до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Предупрежденията обхващат много общи сценарии.

Таблица 1. Общи проблеми и стъпки за тяхното разрешаване
Предупреждение	Действие
Отказ на достъп до локална база данни.	Проверете за грешки в базата данни или проблеми с локалната мрежа.
Неуспешна връзка с локалната база данни.	Проверете дали сървърът с база данни е достъпен и дали са използвани правилните идентификационни данни за акаунта за услуга в конфигурацията на възела.
Неуспешен достъп до услугата в облака.	Проверете дали възлите имат достъп до сървърите на Webex, както е посочено в Изисквания за външна свързаност.
Подновяване на регистрацията за услуги в облака.	Регистрацията в услугите в облака беше прекъсната. Протича подновяване на регистрацията.
Регистрацията на услуги в облака е прекъсната.	Регистрирането в облачни услуги е прекратено. Услугата се затваря.
Услугата все още не е активирана.	Активирайте HDS в Partner Hub.
Конфигурираният домейн не съответства на сертификата на сървъра.	Уверете се, че сертификатът на сървъра ви съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата наскоро е променен и сега е различен от CN, който е бил използван по време на първоначалната настройка.
Неуспешно удостоверяване в услугите в облака.	Проверете за точност и възможно изтичане на идентификационните данни за акаунта за услугата.
Неуспешно отваряне на локалния файл на клавиатурата.	Проверете за целостта и точността на паролата във файла с локалния клавиатура.
Сертификатът за локален сървър е невалиден.	Проверете датата на изтичане на сертификата на сървъра и потвърдете, че той е издаден от надежден сертифициращ орган.
Неуспешно публикуване на метриките.	Проверете достъпа до локалната мрежа до външни облачни услуги.
Директорията /media/configdrive/hds не съществува.	Проверете конфигурацията за монтаж на ISO на виртуалния хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и дали се монтира успешно.
Настройката на организация на клиент не е завършена за добавените организации	Завършете настройката, като създадете CMK за новодобавени организации на клиенти с помощта на инструмента за настройка на хибридни съобщения.
Настройката на организация на клиента не е завършена за премахнатите организации	Завършете настройката чрез анулиране на CMK на организациите на клиенти, които са премахнати с помощта на инструмента за настройка на хибридни телефони (HDS).

Отстраняване на неизправности в хибридна защита на данни

Използвайте следните общи насоки, когато отстранявате проблеми с хибридна защита на данни.

1	Прегледайте Partner Hub за предупреждения и коригирайте всички елементи, които намерите там. Вижте изображението по-долу за справка.
2	Прегледайте изхода на сървъра syslog за активност от разполагането на хибридна защита на данни. Филтрирайте за думи като „Предупреждение“ и „Грешка“, за да помогнете при отстраняване на неизправности.
3	Свържете се с поддръжката на Cisco.

Други бележки

Известни проблеми с хибридната защита на данните

Ако затворите своя клъстер на хибридна защита на данни (като го изтриете в Partner Hub или като затворите всички възли), загубите своя ISO файл за конфигуриране или загубите достъп до базата данни на клавиатурата, потребителите на приложението Webex на клиентските организации вече няма да могат да използват пространства в своя списък "Хора", създадени с ключове от вашия KMS. В момента нямаме заобиколно решение или корекция за този проблем и ви призовавам да не затваряте услугите си за HDS, след като обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за период от време (вероятно един час).

Използване на OpenSSL за генериране на PKCS12 файл

Преди да започнете

OpenSSL е един инструмент, който може да се използва за създаване на PKCS12 файл в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини за това и ние не подкрепяме и не насърчаваме един път над друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като ръководство, за да ви помогнем да създадете файл, който отговаря на изискванията за сертификат X.509 в Изисквания за сертификат X.509. Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижте https://www.openssl.org софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификата на сървъра от вашия сертифициращ орган (CA).

1	Когато получите сертификата на сървъра от вашия CA, запишете го като `hdsnode.pem`.
2	Показване на сертификата като текст и проверете подробностите. `openssl x509 -текст -noout -в hdsnode.pem`
3	Използвайте текстов редактор, за да създадете файл пакет сертификат, наречен `hdsnode-bundle.pem`. Пакетният файл трябва да включва сертификата на сървъра, всички междинни CA сертификати и корневи CA сертификати в следния формат: `-----начало на сертификат----- ### сертификат на сървър. ### -----край на сертификат--------------- начало на сертификат------ ### Междинен CA сертификат. ### -----край на сертификат--------------- начало на сертификат------ ### Корневи CA сертификат. ### -----край на сертификат-----`
4	Създайте .p12 файла с приятелското име `kms-частен-ключ`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверете подробностите за сертификата на сървъра. `openssl pkcs12 -в hdsnode.p12` Въведете парола при подкана да шифровате частния ключ, така че да се показва в изхода. След това се уверете, че частният ключ и първият сертификат включват линиите `friendlyName: kms-частен-ключ`. Пример: bash$ openssl pkcs12 -in hdsnode.p12 Въведете паролата за импортиране: MAC потвърди атрибути OK Bag friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключови атрибути: Въведете фраза за преминаване на PEM: Потвърждаване – Въведете фраза за достъп до PEM: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Какво да направите след това

Върнете се, за да изпълните изискванията за хибридна защита на данни. Ще използвате файла hdsnode.p12 и паролата, която сте задали за него, в Създаване на конфигурационен ISO за организаторите на HDS.

Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато първоначалният сертификат изтече.

Трафик между възлите на HDS и облака

Изходящ трафик за събиране на метрики

Възлите на хибридна защита на данни изпращат определени показатели към облака на Webex. Те включват системни метрики за heap max, използван heap, натоварване на процесора и брой нишки; метрики за синхронните и асинхронните нишки; метрики за предупрежденията, включващи праг на шифроване връзки, латентност или дължина на опашката за заявки; метрики за datastore; и метрики за връзката за шифроване. Възлите изпращат материали за шифрован ключ през нечестотен (отделен от заявката) канал.

Входящ трафик

Възлите на хибридна защита на данни получават следните типове входящ трафик от облака на Webex:

Заявки за шифроване от клиенти, които се маршрутизират от услугата за шифроване
Надстройки до софтуера за възли

Конфигуриране на прокси сървъри за хибридна защита на данните

Websocket не може да се свърже чрез сепия прокси

Прокси сървърите, които инспектират HTTPS трафика, могат да повлияят на създаването на websocket (в к:) връзки, които изискват хибридната защита на данните. Тези раздели дават насоки как да конфигурирате различни версии на Калмар, за да игнорирате wss: трафик за правилното функциониране на услугите.

Калмята 4 и 5

Добавете on_unsupported_protocol директивата към squid.conf:

on_unsupported_protocol тунел

Сепия 3.5.27

Успешно тествахме Hybrid Data Security със следните правила, добавени към squid.conf. Тези правила подлежат на промяна, тъй като разработваме функции и актуализираме webex облака.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump надничане step1 всички ssl_bump stare step2 всички ssl_bump bump step3 всички

Нова и променена информация

Тази таблица обхваща нови функции или функционалности, промени в съществуващото съдържание и всички големи грешки, които са поправени в Ръководство за разполагане за хибридна защита на данните с много клиенти.

Дата	Направени промени
08 януари 2025 г.	Добавена е бележка в Извършване на първоначална настройка и изтегляне на инсталационни файлове , в която се посочва, че щракването върху Настройка на HDS картата в Partner Hub е важна стъпка от процеса на инсталиране.
07 януари 2025 г.	Актуализирани изисквания за виртуален хост, Поток от задачи за разполагане на хибридна защита на данни, и Инсталиране на HDS Host OVA , за да се покаже ново изискване на ESXi 7.0.
13 декември 2024 г.	Публикувана за първи път.

Деактивиране на хибридна защита на данни с много клиенти

Поток на задачи за деактивиране на HDS с много клиенти

Изпълнете тези стъпки, за да деактивирате напълно HDS с много клиенти.

Преди да започнете

Тази задача трябва да се изпълнява само от администратор с пълни права на партньор.

1	Премахнете всички клиенти от всичките ви клъстери, както е посочено в Премахване на организации на клиенти.
2	Анулирайте CMK на всички клиенти, както е посочено в Анулиране на CMK на клиенти, премахнати от HDS..
3	Премахнете всички възли от всичките ви клъстери, както е посочено в Премахване на възел.
4	Изтрийте всичките си клъстери от Partner Hub, като използвате един от следните два метода. Щракнете върху клъстера, който искате да изтриете, и изберете Изтриване на този клъстер в горния десен ъгъл на страницата за общ преглед. На страницата „Ресурси“ щракнете върху ... от дясната страна на клъстер и изберете Премахване на клъстер.
5	Щракнете върху раздела Настройки на страницата за общ преглед на хибридната защита на данни и щракнете върху Деактивиране на хибридната защита на данни в картата за статус на HDS.

Първи стъпки с хибридна защита на данните с много клиенти

Общ преглед на хибридна защита на данни с няколко клиента

От първия ден сигурността на данните е основният фокус при проектирането на приложението Webex. Крайъгълният камък на тази защита е цялостното шифроване на съдържание, разрешено от клиентите на приложението Webex, които взаимодействат с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографски ключове, които клиентите използват за динамично криптиране и дешифриране на съобщения и файлове.

По подразбиране всички клиенти на приложението Webex получават цялостно шифроване с динамични ключове, съхранявани в облака KMS, в областта на защитата на Cisco. Хибридната защита на данните премества KMS и други свързани със сигурността функции във вашия корпоративен център за данни, така че никой освен вас не държи ключовете за вашето криптирано съдържание.

Хибридната защита на данните с много клиенти позволява на организациите да използват HDS чрез надежден местен партньор, който може да действа като доставчик на услуги и да управлява локално шифроване и други услуги за защита. Тази настройка позволява на партньорската организация да има пълен контрол върху разполагането и управлението на ключове за шифроване и гарантира, че потребителските данни на клиентските организации са безопасни от външен достъп. Партньорските организации настройват HDS екземпляри и създават HDS клъстери, ако е необходимо. Всеки екземпляр може да поддържа няколко клиентски организации за разлика от нормалното разполагане на HDS, което е ограничено до една организация.

Въпреки че партньорските организации имат контрол върху разполагането и управлението, те нямат достъп до данни и съдържание, генерирани от клиентите. Този достъп е ограничен до клиентски организации и техните потребители.

Това също така позволява по-малките организации да използват HDS, тъй като услугата за управление на ключове и инфраструктурата за сигурност, като центровете за данни, са собственост на доверения местен партньор.

Как хибридната защита на данните с няколко клиента осигурява суверенитет на данните и контрол на данните

Генерираното от потребителите съдържание е защитено от външен достъп, като например доставчици на облачни услуги.
Местните доверени партньори управляват ключовете за шифроване на клиенти, с които вече имат установени отношения.
Опция за местна техническа поддръжка, ако бъде предоставена от партньора.
Поддържа съдържание в Meetings, Messaging и Calling.

Този документ има за цел да помогне на партньорските организации да настройват и управляват клиенти в система за хибридна защита на данните с много клиенти.

Роли в хибридна защита на данните с няколко клиента

Администратор на партньор с пълни права – може да управлява настройките за всички клиенти, които партньорът управлява. Могат също да възлагат администраторски роли на съществуващи потребители в организацията и да задават конкретни клиенти, които да бъдат управлявани от администратори на партньора.
Администратор на партньор – може да управлява настройките за клиенти, които администраторът е предоставил или които са зададени на потребителя.
Пълен администратор – администратор на партньорската организация, който е упълномощен да изпълнява задачи, като промяна на настройките на организацията, управление на лицензи и задаване на роли.

Цялостно настройване и управление на HDS с много клиенти на всички клиентски организации – изискват се пълен администратор на партньор и права на пълен администратор.
Управление на зададените организации на клиенти – изискват се администратор на партньор и права на пълен администратор.

Архитектура на областта на сигурността

Архитектурата на облака на Webex разделя различните типове услуги в отделни области или домейни на доверие, както е описано по-долу.

За да разберем по-подробно хибридната защита на данните, нека първо разгледаме този случай в облака, където Cisco предоставя всички функции в своите облачни области. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логично и физически отделена от областта на защитата в центъра за данни B. И двете от своя страна са отделени от областта, в която в крайна сметка се съхранява шифровано съдържание, в центъра за данни C.

На тази схема клиентът е приложението Webex, което се изпълнява на лаптопа на потребителя, и е удостоверен с услугата за самоличност. Когато потребителят композира съобщение за изпращане до интервал, се извършват следните стъпки:

Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за шифроване на съобщението. Защитената връзка използва ECDH, а KMS шифрова ключа с помощта на главния ключ AES-256.
Съобщението е шифровано преди да напусне клиента. Клиентът го изпраща на услугата за индексиране, която създава шифровани индекси за търсене, за да подпомогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща на услугата за съответствие за проверки за съответствие.
Шифрованото съобщение се съхранява в областта на мястото за съхранение.

Когато разположите хибридна защита на данни, премествате функциите на областта на защитата (KMS, индексиране и съответствие) в своя локален център за данни. Другите услуги в облака, които съставляват Webex (включително съхранение на самоличност и съдържание), остават в областите на Cisco.

Сътрудничество с други организации

Потребителите във вашата организация могат редовно да използват приложението Webex за сътрудничество с външни участници в други организации. Когато един от вашите потребители поиска ключ за място, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашата KMS изпраща ключа на клиента чрез ECDH защитен канал. Когато обаче друга организация притежава ключа за пространството, вашият KMS маршрутизира заявката към облака Webex чрез отделен ECDH канал, за да получи ключа от съответния KMS и след това връща ключа на вашия потребител в оригиналния канал.

Услугата KMS, изпълнявана в организация А, валидира връзките към KMS в други организации, като използва x.509 PKI сертификати. Вижте Подготовка на средата за подробности относно генерирането на сертификат x.509, който да се използва при вашето разполагане на хибридна защита на данни с много клиенти.

Очаквания за внедряване на хибридна защита на данни

Внедряването на хибридна защита на данни изисква значителна ангажираност и осведоменост за рисковете, които идват от притежаването на ключове за шифроване.

За да разположите хибридна защита на данни, трябва да предоставите:

Защитен център за данни в страна, която е поддържано местоположение за плановете на Cisco Webex Teams.
Оборудването, софтуерът и мрежовият достъп, описани в Подготовка на средата.

Пълната загуба или на конфигурационния ISO, който изграждате за хибридна защита на данни, или на базата данни, която предоставяте, ще доведе до загуба на ключове. Загубата на ключове не позволява на потребителите да дешифрират съдържанието в пространството и други шифровани данни в приложението Webex. Ако това се случи, можете да изградите ново разполагане, но ще се вижда само новото съдържание. За да избегнете загуба на достъп до данни, трябва:

Управлявайте архивирането и възстановяването на базата данни и конфигурационния ISO.
Бъдете готови да извършите бързо възстановяване след бедствие, ако възникне катастрофа, като повреда на диска на базата данни или бедствие на центъра за данни.

Няма механизъм за преместване на ключовете обратно в облака след разполагане на HDS.

Процес на настройка на високо ниво

Този документ обхваща настройката и управлението на разполагането на хибридна защита на данни с много клиенти:

Настройване на хибридна защита на данни – това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данни, изграждане на клъстер на HDS, добавяне на организации на клиенти към клъстера и управление на техните главни ключове на клиенти (CMK). Това ще даде възможност на всички потребители на вашите клиентски организации да използват вашия клъстер на хибридна защита на данни за функции за защита.

Етапите на настройка, активиране и управление са разгледани подробно в следващите три глави.
Поддържайте разполагането на хибридна защита на данни – Облакът на Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да предостави поддръжка от първо ниво за това разполагане и да ангажира поддръжката на Cisco, ако е необходимо. В Partner Hub можете да използвате известия на екрана и да настроите имейл предупреждения.
Разбиране на често срещаните предупреждения, стъпките за отстраняване на неизправности и известни проблеми – ако срещнете проблеми при разполагането или използването на хибридна защита на данни, последната глава от това ръководство и приложението „Известни проблеми“ могат да ви помогнат да определите и коригирате проблема.

Модел на разполагане на хибридна защита на данни

В рамките на вашия корпоративен център за данни разполагате с хибридна защита на данни като един клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака на Webex чрез защитени уеб сокети и защитен HTTP.

По време на процеса на инсталиране ви предоставяме файла OVA, за да настроите виртуалния уред на VMs, които предоставяте. Използвайте инструмента за настройка на HDS, за да създадете персонализиран ISO файл за конфигуриране на клъстери, който да монтирате на всеки възел. Клъстерът на хибридна защита на данни използва предоставения ви сървър Syslogd и базата данни на PostgreSQL или Microsoft SQL Server. (Можете да конфигурирате подробностите за връзката на Syslogd и базата данни в инструмента за настройка на HDS.)

Модел на разполагане на хибридна защита на данни

Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне по три на клъстер. Наличието на множество възли гарантира, че услугата не се прекъсва по време на надстройка на софтуера или друга дейност по поддръжка на даден възел. (Облакът на Webex надгражда само един възел в даден момент.)

Всички възли в клъстера имат достъп до един и същ файл с ключове и регистрационната активност към един и същ syslog сървър. Самите възли са без гражданство и обработват ключови заявки в кръгла форма, както е указано от облака.

Възлите стават активни, когато ги регистрирате в Partner Hub. За да излезете от експлоатация отделен възел, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.

Standby Data Center за възстановяване при бедствия

По време на разгръщането настройвате защитен център за данни в режим на готовност. В случай на бедствие на центъра за данни можете ръчно да не успеете при разполагането си в центъра за данни в режим на готовност.

Базите данни на активните центрове за данни и центровете за данни в режим на готовност са синхронизирани помежду си, което ще сведе до минимум времето, необходимо за извършване на превключването при отказ.

Активните възли на хибридна защита на данни трябва винаги да бъдат в същия център за данни като активния сървър с база данни.

Поддръжка на прокси

Hybrid Data Security поддържа изрични, прозрачни проверяващи и неинспектационни проксита. Можете да свържете тези проксита към разполагането си, така че да можете да подсигурите и наблюдавате трафика от предприятието навън към облака. Можете да използвате администраторски интерфейс на платформа на възлите за управление на сертификати и да проверите цялостното състояние на свързване, след като настроите прокси сървъра на възлите.

Хибридните възли за защита на данните поддържат следните опции за прокси:

Няма прокси сървър – Стойността по подразбиране, ако не използвате конфигурацията за настройка на HDS възел на доверено хранилище и прокси сървър за интегриране на прокси сървър. Не се изисква актуализация на сертификата.
Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси сървъра – възлите не са конфигурирани да използват определен адрес на прокси сървъра. На възлите не са необходими промени в конфигурацията на HTTP или HTTPS. Възлите обаче се нуждаят от главен сертификат, така че да се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS).
Изричен прокси сървър – С изричния прокси сървър казвате на HDS кои прокси сървъри и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
1. Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината.
2. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик.
3. Прокси протокол – в зависимост от това, което поддържа прокси сървърът ви, изберете между следните протоколи:
  - HTTP—Преглежда и контролира всички заявки, които клиентът изпраща.
  - HTTPS—Предоставя канал на сървъра. Клиентът получава и валидира сертификата на сървъра.
4. Тип удостоверяване – изберете измежду следните типове удостоверяване:
  - Няма – Не се изисква допълнително удостоверяване.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
  - Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.
  - Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата.
    
    Предлага се само ако изберете HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.

Пример за хибридни данни сигурност възли и прокси

Тази диаграма показва примерна връзка между защитата на хибридните данни, мрежата и прокси. За прозрачния инспектиращ и HTTPS изричен инспектиращ прокси опции, един и същ главен сертификат трябва да бъде инсталиран на прокси и на хибридните възли за защита на данните.

Блокиран режим на външна DNS разделителна способност (изрични прокси конфигурации)

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. В разполагане с изрични прокси конфигурации, които не позволяват външна DNS разделителна способност за вътрешни клиенти, ако възелът не може да заявка DNS сървъри, тя автоматично преминава в режим блокирани външни DNS резолюция. В този режим може да се процедира регистрация на възли и други тестове за свързване на прокси.

Подготовка на средата

Изисквания за хибридна защита на данните с няколко клиента

Изисквания за лицензи за Cisco Webex

За да разположите хибридна защита на данните с много клиенти:

Партньорски организации: Свържете се със своя партньор в Cisco или мениджър на акаунти и се уверете, че функцията за много клиенти е активирана.
Организации на клиента: Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижте https://www.cisco.com/go/pro-pack.)

Изисквания за закачане на работния плот

Преди да инсталирате възлите на HDS, трябва Docker Desktop, за да изпълните инсталационна програма. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker е Актуализиране и разширяване на нашите абонаментиза продукти".

X.509 Изисквания за сертификата

Веригата на сертификатите трябва да отговаря на следните изисквания:

Таблица 1. X.509 Изисквания за сертификата за разполагане на хибридна защита на данни
Изискване	Подробности
Подписан от надежден сертифициращ орган (CA)	По подразбиране се доверяваме на сертифициращите органи в списъка на Mozilla (с изключение на WoSign и StartCom) на https://wiki.mozilla.org/CA:IncludedCAs.
Носи общо име (CN) име на домейн, което идентифицира вашето разполагане на хибридна защита на данни Не е заместващ сертификат	CN не е нужно да е достъпен или хост на живо. Препоръчваме ви да използвате име, което отразява вашата организация, например `hds.company.com`. CN не трябва да съдържа * (заместващ символ). CN се използва за проверка на възлите на хибридна защита на данни за клиентите на приложението Webex. Всички възли на хибридна защита на данни във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на CN домейна, а не с произволен домейн, дефиниран в полетата x.509v3 SAN. След като сте регистрирали възел с този сертификат, не поддържаме промяна на името на CN домейна.
Подпис, който не е SHA1	Софтуерът KMS не поддържа подписи SHA1 за валидиране на връзки с KMS на други организации.
Форматиран като защитен с парола PKCS #12 файл Използвайте приятелското име на `kms-private-key` , за да маркирате сертификата, частния ключ и всички междинни сертификати за качване.	Можете да използвате конвертор, като OpenSSL, за да промените формата на сертификата си. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS.

Софтуерът KMS не налага използване на ключове или не разширява ограниченията за използване на ключове. Някои сертифициращи органи изискват за всеки сертификат да се прилагат разширени ограничения за използване на ключа, като например удостоверяване на сървъра. Добре е да използвате удостоверяване на сървъра или други настройки.

Изисквания за виртуален организатор

Виртуалните хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер, имат следните изисквания:

Поне два отделни хоста (препоръчва се 3), разположени съвместно в един и същ защитен център за данни
VMware ESXi 7.0 (или по-нова версия) е инсталиран и работи.

Трябва да надстроите, ако имате по-стара версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално място на твърдия диск на сървър

Изисквания към сървъра за база данни

Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.

Има две опции за сървъра с база данни. Изискванията за всеки от тях са, както следва:

Таблица 2. Изисквания за сървъра с база данни по тип база данни
PostgreSQL	Microsoft SQL сървър
PostgreSQL 14, 15 или 16, инсталиран и се изпълнява.	Инсталиран е SQL Server 2016, 2017, или 2019 (корпоративен или стандартен). SQL Server 2016 изисква Service Pack 2 и Кумулативна актуализация 2 или по-нова версия.
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)	Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)

HDS софтуерът в момента инсталира следните версии на драйвери за комуникация със сървъра с база данни:

PostgreSQL

Microsoft SQL сървър

Postgres JDBC драйвер 42.2.5

SQL Server JDBC драйвер 4.6

Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстера при отказ и Винаги включен групи за наличност).

Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server

Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни на Keystore на Microsoft SQL Server, тогава е необходима следната конфигурация във вашата среда:

Възлите на HDS, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Акаунтът за Windows, който предоставяте на възли на HDS, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възли, трябва да могат да разрешават вашия център за разпределение на ключове (KDC).
Можете да регистрирате екземпляра на базата данни на HDS на Microsoft SQL Server като основно име на услуга (SPN) на Active Directory. Вижте Регистриране на основно име на услуга за Kerberos връзки.

Инструментът за настройка на HDS, HDS стартера и локалния KMS трябва да използват удостоверяване на Windows за достъп до базата данни на Keystore. Те използват подробностите от вашата ISO конфигурация, за да конструират SPN, когато заявяват достъп с удостоверяване на Kerberos.

Изисквания за външна връзка

Конфигурирайте защитната стена, за да разрешите следната свързаност за приложенията на хибридна защита на данни:

Приложение	Протокол	Порт	Посока от приложението	Местоназначение
Възли на хибридна защита на данни	TCP	443	Изходящи HTTPS и ВиК	Сървъри на Webex: .wbx2.com .ciscospark.com Всички организатори на Common Identity Други URL адреси, които са изброени за хибридна защита на данни в таблицата Допълнителни URL адреси за хибридни услуги на Webex на мрежовите изисквания за услугите на Webex
Инструмент за настройка на HDS	TCP	443	Изходящ HTTPS	*.wbx2.com Всички организатори на Common Identity hub.docker.com

Възлите на хибридна защита на данни работят с превод на мрежовия достъп (NAT) или зад защитна стена, при условие че NAT или защитната стена позволяват необходимите изходящи връзки към местоназначенията на домейна в предходната таблица. За връзки, влизащи във входящи възли на хибридна защита на данни, от интернет не трябва да се виждат портове. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите на хибридна защита на данни на TCP портове 443 и 22 за административни цели.

URL адресите за хостовете на Common Identity (CI) са специфични за региона. Това са текущите организатори на CI:

Регион	URL адреси на организатор на Common Identity
Северна и Южна Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейски съюз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com
Сингапур	https://idbroker-sg.webex.com https://identity-sg.webex.com
Обединени арабски емирства	https://idbroker-ae.webex.com https://identity-ae.webex.com

Изисквания към прокси сървъра

Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли hybrid Data Security.
- Прозрачен прокси-Уред за уеб защита cisco (WSA).
- Изрична прокси-Сепия.
  
  Прокси сървърите, които инспектират HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да работите по този проблем, вижте Конфигуриране на прокси сървъри за хибридна защита на данни.
Ние поддържаме следните комбинации от тип удостоверяване за изрични проксита:
- Без удостоверяване с HTTP или HTTPS
- Базово удостоверяване с HTTP или HTTPS
- Смилане на удостоверяване само с HTTPS
За прозрачен проверяващ прокси или HTTPS изрично прокси, трябва да имате копие на главния сертификат на прокси. Инструкциите за разполагане в това ръководство ви казват как да качите копието в магазините за доверие на хибридните възли за защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик на порт 443 да маршрутизира през прокси сървъра.
Прокситата, които инспектират уеб трафика, може да пречат на връзките с уеб гнездото. Ако възникне този проблем, заобикалянето (не инспектирането) на трафика към wbx2.com и ciscospark.com ще реши проблема.

Изпълнете предварителните изисквания за хибридна защита на данни

Използвайте този контролен списък, за да гарантирате, че сте готови да инсталирате и конфигурирате своя клъстер на хибридна защита на данни.

1	Уверете се, че вашата партньорска организация има активирана функция за HDS с няколко клиента и получавате идентификационните данни за акаунт с пълен администратор на партньор и права на пълен администратор. Уверете се, че вашата организация на клиенти на Webex е разрешена за Pro Pack за Cisco Webex Control Hub. Свържете се с вашия партньор в Cisco или мениджър на акаунти за помощ с този процес. Организациите на клиентите не трябва да имат съществуващо разполагане на HDS.
2	Изберете име на домейн за разполагането на HDS (например `hds.company.com`) и получете верига от сертификати, съдържаща сертификат X.509, частен ключ и всички междинни сертификати. Веригата на сертификатите трябва да отговаря на изискванията в X.509 Изисквания за сертификат.
3	Подгответе идентични виртуални хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер. Имате нужда от поне два отделни организатора (препоръчва се 3), разположени съвместно в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален организатор.
4	Подгответе сървъра с база данни, който ще действа като хранилище на данни за ключа за клъстера в съответствие с изискванията за сървъра с база данни. Сървърът на базата данни трябва да бъде разположен съвместно в защитения център за данни с виртуалните хостове. Създайте база данни за съхранение на ключове. (Трябва да създадете тази база данни – не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.) Съберете подробностите, които ще използват възлите за комуникация със сървъра с база данни: име на хост или IP адрес (хост) и порт името на базата с данни (dbname) за съхранение на ключа потребителското име и паролата на потребител с всички привилегии в базата данни за съхранение на ключа
5	За бързо възстановяване след бедствие настройте архивна среда в друг център за данни. Резервната среда отразява производствената среда на VMs и резервен сървър с база данни. Например, ако производството има 3 VMs, работещи с HDS възли, резервната среда трябва да има 3 VMs.
6	Настройте хост на syslog, за да събирате регистрационни файлове от възлите в клъстера. Съберете мрежовия му адрес и порта за syslog (по подразбиране е UDP 514).
7	Създайте правила за защитено архивиране за възлите на хибридна защита на данни, сървъра с база данни и хоста на syslog. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите на хибридна защита на данни. Тъй като възлите на хибридна защита на данни съхраняват ключовете, използвани за шифроване и дешифроване на съдържание, неподдържането на оперативно разполагане ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на това съдържание. Клиентите на приложението Webex кешират ключовете си, така че прекъсването може да не се забележи веднага, но ще стане очевидно с течение на времето. Въпреки че е невъзможно да се предотвратят временните прекъсвания, те са възстановими. Обаче пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. От операторите на възлите на хибридна защита на данни се очаква да поддържат чести резервни копия на базата данни и конфигурационния ISO файл и да бъдат готови да възстановят центъра за данни на хибридна защита на данни, ако възникне катастрофална грешка.
8	Уверете се, че конфигурацията на защитната ви стена позволява свързване за вашите възли на хибридна защита на данни, както е описано в Изисквания за външна свързаност.
9	Инсталирайте Docker ( https://www.docker.com) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова или Mac OSX Yosemite 10.10.3 или по-нова версия) с уеб браузър, който може да получи достъп до нея на http://127.0.0.1:8080. Можете да използвате екземпляр на Docker, за да изтеглите и изпълните инструмента за настройка на HDS, който изгражда информацията за локална конфигурация за всички възли на хибридна защита на данни. Може да ви е необходим лиценз за настолен компютър за docker. Вижте Изисквания за закачане на работния плот за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има възможността за свързване, описана в Изисквания за външна свързаност.
10	Ако интегрирате прокси сървър с хибридна защита на данните, уверете се, че той отговаря на изискванията за прокси сървър.

Настройване на клъстер на хибридна защита на данни

Поток на задачи за разполагане на хибридна защита на данни

Преди да започнете

1	Извършване на първоначална настройка и изтегляне на инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късно използване.
2	Създаване на конфигурационен ISO за хостовете на HDS Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите на хибридна защита на данни.
3	Инсталиране на HDS Host OVA Създайте виртуална машина от OVA файла и изпълнете първоначалната конфигурация, като например мрежови настройки. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
4	Настройване на VM на хибридна защита на данни Влезте в конзолата на VM и задайте данните за вход. Конфигурирайте мрежовите настройки за възела, ако не сте ги конфигурирали към момента на разполагането на OVA.
5	Качване и монтиране на конфигурация ISO на HDS Конфигурирайте VM от ISO конфигурационния файл, който сте създали с инструмента за настройка на HDS.
6	Конфигуриране на HDS възел за интегриране на прокси сървър Ако мрежовата среда изисква конфигурация на прокси сървър, укажете типа прокси сървър, който ще използвате за възела, и добавете прокси сертификата към хранилището на гаранти, ако е необходимо.
7	Регистриране на първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел на хибридна защита на данни.
8	Създаване и регистриране на още възли Завършете настройката на клъстера.
9	Активирайте HDS с много клиенти в Partner Hub. Активирайте HDS и управлявайте организации на клиенти в Partner Hub.

Извършване на първоначална настройка и изтегляне на инсталационни файлове

В тази задача изтегляте OVA файл на вашата машина (а не на сървърите, които сте настроили като възли на хибридна защита на данни). Ще използвате този файл по-късно в процеса на инсталиране.

1	Влезте в Partner Hub и щракнете върху Услуги.
2	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и след това щракнете върху Настройка. Щракването върху Настройка в Partner Hub е критично за процеса на разполагане. Не продължете с инсталирането, без да завършите тази стъпка.
3	Щракнете върху Добавяне на ресурс и щракнете върху Изтегляне на .OVA файл на картата Инсталиране и конфигуриране на софтуера . По-старите версии на софтуерния пакет (OVA) няма да бъдат съвместими с най-новите надстройки на хибридна защита на данни. Това може да доведе до проблеми при надстройване на приложението. Уверете се, че сте изтеглили най-новата версия на OVA файла. Можете също да изтеглите OVA по всяко време от раздела Помощ . Щракнете върху Настройки > Помощ > Изтегляне на софтуер за хибридна защита на данни. OVA файлът започва автоматично да се изтегля. Запишете файла на местоположение на машината си.
4	Като опция щракнете върху Вижте ръководството за разполагане на хибридна защита на данни , за да проверите дали има налична по-нова версия на това ръководство.

Създаване на конфигурационен ISO за хостовете на HDS

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт в Partner Hub с пълни администраторски права.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5 по-долу. Тази таблица дава някои възможни променливи на средата:

Описание

Променлива

HTTP прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTPS прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTP прокси с удостоверяване

GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS прокси с удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

1

В командния ред на вашата машина въведете подходящата команда за вашата среда:

В нормални среди:

докер rmi ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер rmi ciscocitg/hds-setup-fedramp: стабилен

Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

2

За да влезете в регистъра на изображения на Docker, въведете следното:

докер вход -u hdscustomersro

3

При подканата за парола въведете този хеш:

dckr_pat_aDP6V4KkrvpBwa

4

Изтеглете най-новото стабилно изображение за вашата среда:

В нормални среди:

докер издърпване ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер издърпване ciscocitg/hds-setup-fedramp: стабилен

5

Когато изтеглянето приключи, въведете подходящата команда за вашата среда:

В нормални среди без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В нормални среди с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В редовни среди с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В среди на FedRAMP без прокси:

докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен

В среди на FedRAMP с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В среди на FedRAMP с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.

6

Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost.

Използвайте уеб браузър, за да отидете на localhost, http://127.0.0.1:8080 и въведете администраторското потребителско име за Partner Hub в подканата.

Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.

7

Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.

8

На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.

9

На страницата Импортиране на ISO имате следните опции:

Не– Ако създавате първия си HDS възел, нямате ISO файл за качване.
Да – Ако вече сте създали HDS възли, тогава изберете своя ISO файл в прегледа и го качете.

10

Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат.

Ако никога не сте качили сертификат преди, качете сертификата X.509, въведете паролата и щракнете върху Продължи.
Ако сертификатът ви е ОК, щракнете върху Продължи.
Ако сертификатът ви е изтекъл или искате да го замените, изберете Не за Продължаване на използването на веригата за сертификати на HDS и частния ключ от предишния ISO?. Качете нов сертификат X.509, въведете паролата и щракнете върху Продължи.

11

Въведете адреса на базата данни и акаунта за HDS, за да получите достъп до ключовия си datastore:

Изберете вашия тип база данни (PostgreSQL или Microsoft SQL Server).

Ако изберете Microsoft SQL Server, получавате поле за тип удостоверяване.
(Само за Microsoft SQL Server ) Изберете вашия тип удостоверяване:
- Базово удостоверяване: Необходимо е име на локален акаунт за SQL Server в полето Потребителско име .
- Удостоверяване на Windows: Имате нужда от акаунт за Windows във формат username@DOMAIN в полето Потребителско име .
Въведете адреса на сървъра с база данни във формуляра : или :.

Пример:
dbhost.example.org:1433 или 198.51.100.17:1433

Можете да използвате IP адрес за базово удостоверяване, ако възлите не могат да използват DNS за решаване на името на хоста.

Ако използвате удостоверяване на Windows, трябва да въведете напълно квалифицирано име на домейн във формат dbhost.example.org:1433
Въведете името на базата данни.
Въведете Потребителско име и Парола на потребител с всички привилегии в базата данни за съхранение на ключа.

12

Изберете режим на свързване с база данни TLS:

Режим	Описание
Предпочитане на TLS (опция по подразбиране)	HDS възлите не изискват TLS да се свърже със сървъра на базата данни. Ако разрешите TLS на сървъра с база данни, възлите правят опит за шифрована връзка.
Изисквайте TLS	HDS възли се свързват само ако сървърът на базата данни може да договори TLS.
Изисквайте TLS и проверете подписвача на сертификати	Този режим не е приложим за бази данни на SQL Server. HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.
Изисквайте TLS и проверете подписалия сертификат и хостовото име	HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Възлите също така проверяват дали името на хоста в сертификата на сървъра съвпада с името на хоста в полето Хост и порт в базата данни . Имената трябва да съвпадат точно или възелът пуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.

Когато качите корневи сертификат (ако е необходимо) и щракнете върху Продължи, инструментът за настройка на хибридна защита на данни тества TLS връзката към сървъра с база данни. Инструментът също така проверява подписалите сертификата и hostname, ако е приложимо. Ако даден тест е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързването възлите на HDS може да са в състояние да установят TLS връзката, дори ако машината с инструмента за настройка на HDS не може да я тества успешно.)

13

На страницата „Системни регистрационни файлове“ конфигурирайте сървъра си за Syslogd:

Въведете URL адреса на сървъра syslog.

Ако сървърът не може да се разрешава чрез DNS от възлите за вашия HDS клъстер, използвайте IP адрес в URL.

Пример:
udp://10.92.43.23:514 показва влизане в хоста Syslogd 10.92.43.23 на UDP порт 514.
Ако настроите сървъра си да използва TLS шифроване, отметнете Конфигуриран ли е вашият сървър syslog за SSL шифроване?.

Ако отметнете това квадратче, трябва да въведете URL адрес на TCP, като например tcp://10.92.43.23:514.
От падащия списък Избор на прекратяване на запис в syslog изберете подходящата настройка за вашия ISO файл: Избор или нов ред се използва за Graylog и Rsyslog TCP
- Нулев байт -- \x00
- Нов ред – \n – Изберете този избор за Graylog и Rsyslog TCP.
Щракнете върху Продължаване.

14

(По избор) Можете да промените стойността по подразбиране за някои параметри на връзката с база данни в Разширени настройки. По принцип този параметър е единственият, който може да искате да промените:

app_datasource_connection_pool_maxРазмер: 10

15

Щракнете върху Продължи на екрана Нулиране на паролата за акаунти за услуги .

Паролите за акаунта за услугата имат деветмесечен живот. Използвайте този екран, когато паролите ви наближават изтичане или искате да ги нулирате, за да invalidate previous ISO files.

16

Щракнете върху Изтегляне на ISO файл. Запишете файла на лесно за намиране място.

17

Направете резервно копие на ISO файла в локалната си система.

Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.

18

За да затворите инструмента за настройка, напишете CTRL+C.

Какво да направите след това

Архивиране на конфигурационния ISO файл. Необходимо е, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, ще загубите и главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.

Никога не разполагаме с копие на този ключ и не можем да ви помогнем, ако го изгубите.

Инсталиране на HDS Host OVA

Използвайте тази процедура, за да създадете виртуална машина от OVA файла.

1	Използвайте клиента VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi.
2	Изберете Файл > Разполагане на OVF шаблон.
3	В съветника укажете местоположението на OVA файла, който сте изтеглили по-рано, след което щракнете върху Напред.
4	На страницата Избор на име и папка въведете име на виртуална машина за възела (например "HDS_Node_1"), изберете местоположение, където може да се намира разполагането на възела на виртуалната машина, след което щракнете върху Напред.
5	На страницата Избор на изчислителен ресурс изберете целевия изчислителен ресурс и след това щракнете върху Напред. Извършва се проверка за валидиране. След като завърши, се показват подробностите за шаблона.
6	Проверете подробностите за шаблона и след това щракнете върху Напред.
7	Ако от вас бъде поискано да изберете конфигурацията на ресурсите на страницата Конфигурация , щракнете върху 4 процесора и след това щракнете върху Напред.
8	На страницата Избор на място за съхранение щракнете върху Напред , за да приемете формата на диска по подразбиране и правилата за съхранение на VM.
9	На страницата Избор на мрежи изберете опцията за мрежа от списъка със записи, за да осигурите желаната свързаност към VM.
10	На страницата Персонализиране на шаблон конфигурирайте следните мрежови настройки: Име на хост – въведете FQDN (име на хост и домейн) или една дума име на хост за възела. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509. За да гарантирате успешна регистрация в облака, използвайте само малки знаци във FQDN или името на хоста, които сте задали за възела. Капитализацията не се поддържа в този момент. Общата дължина на FQDN не трябва да надвишава 64 знака. IP адрес – Въведете IP адреса за вътрешния интерфейс на възела. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. Маска – Въведете адреса на маската на подмрежата с точка и запетая. Например 255.255.255.0. Шлюз – въведете IP адреса на шлюза. Шлюза е мрежов възел, който служи като точка за достъп до друга мрежа. DNS сървъри – Въведете списък с DNS сървъри, разделени със запетая, които обработват преобразуването на имената на домейни в цифрови IP адреси. (Разрешени са до 4 DNS записа.) NTP сървъри – Въведете NTP сървъра на вашата организация или друг външен NTP сървър, който може да се използва във вашата организация. NTP сървърите по подразбиране може да не работят за всички предприятия. Можете също да използвате списък, разделен със запетая, за да въведете няколко NTP сървъра. Разположете всички възли в една и съща подмрежа или VLAN, така че всички възли в клъстера да са достъпни от клиентите във вашата мрежа за административни цели. Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройване на VM на хибридна защита на данни , за да конфигурирате настройките от конзолата за възли. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
11	Щракнете с десния бутон върху възела VM и след това изберете Захранване > Включване. Софтуерът за хибридна защита на данни е инсталиран като гост на VM Host. Вече сте готови да влезете в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да усетите забавяне от няколко минути, преди контейнерите с възли да се появят. На конзолата се появява съобщение за защитна стена на мост по време на първото зареждане, по време на което не можете да влезете.

Настройване на VM на хибридна защита на данни

Използвайте тази процедура, за да влезете за първи път в конзолата на възела на хибридна защита на данни и да зададете данните за вход. Можете също да използвате конзолата, за да конфигурирате мрежовите настройки за възела, ако не сте ги конфигурирали по време на разполагането на OVA.

1	В клиента на VMware vSphere изберете своя възел на хибридна защита на данни VM и изберете раздела Конзола . VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Enter.
2	Използвайте следните данни за влизане и парола по подразбиране, за да влезете и да промените идентификационните данни: Влизане: `администратор` Парола: `cisco` Тъй като влизате във вашия VM за първи път, трябва да промените паролата на администратора.
3	Ако вече сте конфигурирали мрежовите настройки в Инсталиране на HDS Host OVA, пропуснете останалата част от тази процедура. В противен случай в главното меню изберете опцията Редактиране на конфигурацията .
4	Настройте статична конфигурация с IP адрес, маска, шлюз и DNS информация. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.
5	(По избор) Променете името на хоста, домейна или NTP сървъра(ите), ако е необходимо, за да съответстват на мрежовите ви правила. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509.
6	Запишете мрежовата конфигурация и рестартирайте VM, за да влязат в сила промените.

Качване и монтиране на конфигурация ISO на HDS

Използвайте тази процедура, за да конфигурирате виртуалната машина от ISO файла, който сте създали с инструмента за настройка на HDS.

Преди да започнете

Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на база „трябва да знаете“, за достъп от VM на хибридна защита на данни и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до datastore.

1

Качете ISO файла от компютъра си:

В левия навигационен екран на клиента VMware vSphere щракнете върху сървъра ESXi.
В списъка с хардуери на раздела за конфигуриране щракнете върху Място за съхранение.
В списъка Datastores щракнете с десния бутон върху datastore за вашите VMs и щракнете върху Преглед на Datastore.
Щракнете върху иконата Качване на файлове и след това щракнете върху Качване на файл.
Намерете местоположението, където сте изтеглили ISO файла на компютъра си, и щракнете върху Отвори.
Щракнете върху Да , за да приемете предупреждението за операцията за качване/изтегляне, и затворете диалоговия прозорец за данни.

2

Монтиране на ISO файла:

В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
Щракнете върху OK , за да приемете предупреждението за ограничени опции за редактиране.
Щракнете върху CD/DVD диск 1, изберете опцията за монтаж от ISO файл datastore и намерете местоположението, където сте качили конфигурационния ISO файл.
Отметнете Свързан и Свързване при включване.
Запишете промените си и рестартирайте виртуалната машина.

Какво да направите след това

Ако правилата за ИТ изискват, можете по избор да демонтирате ISO файла, след като всички ваши възли поемат промените в конфигурацията. Вижте (По избор) Демонтиране на ISO след конфигуриране на HDS за подробности.

Конфигуриране на HDS възел за интегриране на прокси сървър

Ако мрежовата среда изисква прокси, използвайте тази процедура, за да укажете вида на прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачен проверяващ прокси или HTTPS изричен прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главния сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните всички потенциални проблеми.

Преди да започнете

Вижте Поддръжка на прокси за общ преглед на поддържаните опции за прокси.
Изисквания към прокси сървъра

1	Въведете URL адреса за настройка на HDS възел `https://[HDS Възел IP или FQDN]/настройка` в уеб браузър, въведете администраторски идентификационни данни, които сте настроили за възела и след това щракнете върху Вход.
2	Отидете на Хранилище на доверие & Прокси , след което изберетеопция: Няма прокси сървър – опцията по подразбиране, преди да интегрирате прокси сървър. Не се изисква актуализация на сертификата. Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата. Прокси сървър за прозрачна проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра. Не httpS конфигурация промени са необходими в разполагането на защитата на хибридни данни, обаче HDS възли се нуждаят от главен сертификат, така че те се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS). Изричен прокси сървър – С изричния прокси сървър казвате на клиента (HDS възли) кой прокси сървър да използва, и тази опция поддържа няколко типа удостоверяване. След като изберете тази опция, трябва да въведете следната информация: Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик. Прокси протокол – изберете http (преглежда и управлява всички заявки, които се получават от клиента) или https (осигурява канал към сървъра и клиентът получава и валидира сертификата на сървъра). Изберете опция въз основа на това, което поддържа вашият прокси сървър. Тип удостоверяване – изберете измежду следните типове удостоверяване: Няма – Не се изисква допълнително удостоверяване. Налична за HTTP или HTTPS проксита. Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране. Налична за HTTP или HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата. Предлага се само за HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Изпълнете следващите стъпки за прозрачен проверяващ прокси, HTTP изрично прокси с базово удостоверяване или HTTPS изрично прокси.
3	Щракнете върху Качване на главен сертификат или Сертификат за краен обект и след това навигирайте до изберете главния сертификат запрокси. Сертификатът се качва, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката chevron по името на издателя на сертификата, за да получите повече подробности или щракнете върху Изтрий, ако сте направили грешка и искате да качите повторно файла.
4	Щракнете върху Проверка на прокси връзката, за да тествате мрежовата свързаност между възела и прокси. Ако тестът за връзка е неуспешен, ще видите съобщение за грешка, което показва причината и как можете да коригирате проблема. Ако видите съобщение, което казва, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на блокирано външно DNS разрешаване. Ако мислите, че това е грешка, изпълнете тези стъпки и след това вижте Изключване на режима на блокирано външно разрешаване на DNS.
5	След като тестът за връзка премине, за изрично прокси настроен само на https, включете превключването към Маршрут всички порт 443/444 https заявки от този възел през изрично прокси. Тази настройка изисква 15 секунди, за да влязат в сила.
6	Щракнете върху Инсталиране на всички сертификати в хранилището на гаранти (появява се за HTTPS изрично прокси или прозрачен проверяващ прокси) или Рестартиране (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете върху Инсталиране, ако сте готови. Възелът се рестартира в рамките на няколко минути.
7	След рестартирането на възела влезте отново, ако е необходимо, след което отворете страницата Общ преглед, за да проверите проверките за свързване, за да се уверите, че всички те са в зелено състояние. Проверката на прокси връзката тества само поддомейн от webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират в прокси.

Регистриране на първия възел в клъстера

Тази задача взема генеричния възел, който сте създали в Настройване на хибридна защита на данни VM, регистрира възела с облака на Webex и го превръща във възел на хибридна защита на данни.

Когато регистрирате първия си възел, създавате клъстер, към който е разпределен възелът. Клъстерът съдържа един или повече възли, разгърнати за осигуряване на резерв.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Настройка.
4	На страницата, която се отваря, щракнете върху Добавяне на ресурс.
5	В първото поле на картата Добавяне на възел въведете име за клъстера, на който искате да разпределите вашия възел на хибридна защита на данни. Препоръчваме ви да посочите клъстер въз основа на географското местоположение на клъстера. Примери: „Сан Франциско“ или „Ню Йорк“ или „Далас“
6	Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне в долната част на екрана. Този IP адрес или FQDN трябва да съвпада с IP адреса или името на хоста и домейна, които сте използвали в Настройване на VM на хибридна защита на данни. Появява се съобщение, което показва, че можете да регистрирате възела в Webex.
7	Щракнете върху Към възел. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация в Webex за достъп до вашия възел.
8	Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex.
9	Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. На страницата Хибридна защита на данни новият клъстер, съдържащ възела, който сте регистрирали, се показва под раздела Ресурси . Възелът автоматично ще изтегли най-новия софтуер от облака.

Създаване и регистриране на още възли

За да добавите допълнителни възли към вашия клъстер, просто създавате допълнителни VM и монтирате същия конфигурационен ISO файл, след което регистрирайте възела. Препоръчваме ви да имате поне 3 възела.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталиране на HDS Host OVA.
2	Настройте първоначалната конфигурация на новия VM, като повторите стъпките в Настройване на хибридна защита на данни VM.
3	На новия VM повторете стъпките в Качване и монтиране на ISO на конфигурацията на HDS.
4	Ако настройвате прокси сървър за разполагането си, повторете стъпките в Конфигуриране на възела на HDS за интеграция на прокси сървър , както е необходимо за новия възел.
5	Регистрирайте възела. В https://admin.webex.com изберете Услуги от менюто от лявата страна на екрана. В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Преглед на всички. Показва се страницата с ресурси за хибридна защита на данни. Новосъздаденият клъстер ще се появи на страницата Ресурси . Щракнете върху клъстера, за да видите възлите, разпределени към клъстера. Щракнете върху Добавяне на възел от дясната страна на екрана. Въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне. Отваря се страница със съобщение, което показва, че можете да регистрирате възела си в облака Webex. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация за достъп до вашия възел. Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex. Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. Изскачащото съобщение Добавен възел също се появява в долната част на екрана в Partner Hub. Възелът ви е регистриран.

Управление на организации на клиенти в хибридна защита на данни с много клиенти

Активиране на HDS с много клиенти в Partner Hub

Тази задача гарантира, че всички потребители на клиентските организации могат да започнат да използват HDS за локални ключове за шифроване и други услуги за защита.

Преди да започнете

Уверете се, че сте завършили настройването на своя клъстер на HDS с много клиенти с необходимия брой възли.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките.
4	Щракнете върху Активиране на HDS на картата Статус на HDS .

Добавяне на организации на клиенти в Partner Hub

В тази задача задавате клиентски организации към вашия клъстер на хибридна защита на данни.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	Щракнете върху клъстера, към който искате да бъде разпределен клиент.
5	Отидете в раздела Зададени клиенти .
6	Щракнете върху Добавяне на клиенти.
7	Изберете клиента, който искате да добавите, от падащото меню.
8	Щракнете върху Добавяне, клиентът ще бъде добавен към клъстера.
9	Повторете стъпки 6 до 8, за да добавите множество клиенти към вашия клъстер.
10	Щракнете върху Готово в долната част на екрана, след като сте добавили клиентите.

Какво да направите след това

Изпълнете инструмента за настройка на HDS, както е подробно описано в Създаване на главни ключове на клиенти (CMK) с помощта на инструмента за настройка на HDS , за да завършите процеса на настройка.

Създаване на главни ключове (CMK) за клиента с помощта на инструмента за настройка на хибридни съобщения

Преди да започнете

Разпределете клиенти към съответния клъстер, както е подробно описано в Добавяне на организации на клиенти в Partner Hub. Стартирайте инструмента за настройка на HDS, за да завършите процеса на настройка за новодобавените клиентски организации.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете. Осигурете свързване с вашата база данни, за да извършите управление на CMK.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Създаване на CMK за всички организации или Създаване на CMK – щракнете върху този бутон на банера в горната част на екрана, за да създадете CMK за всички новодобавени организации. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Създаване на CMK , за да създадете CMK за всички новодобавени организации. Щракнете върху ... близо до управлението на CMK в очакване на статуса на определена организация в таблицата и щракнете върху Създаване на CMK , за да създадете CMK за тази организация.
12	След като създаването на CMK е успешно, статусът в таблицата ще се промени от управление на CMK в очакване на управление на CMK.
13	Ако създаването на CMK е неуспешно, ще се покаже грешка.

Премахване на организации на клиенти

Преди да започнете

След като бъдат премахнати, потребителите на организации на клиенти няма да могат да използват HDS за своите нужди от шифроване и ще загубят всички съществуващи места. Преди да премахнете клиентски организации, се свържете със своя партньор в Cisco или мениджър на акаунти.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	В раздела Ресурси щракнете върху клъстера, от който искате да премахнете клиентските организации.
5	На страницата, която се отваря, щракнете върху Зададени клиенти.
6	От списъка с клиентски организации, които се показват, щракнете върху ... от дясната страна на клиентската организация, която искате да премахнете, и щракнете върху Премахване от клъстера.

Какво да направите след това

Завършете процеса на премахване, като анулирате CMK на клиентските организации, както е подробно описано в Анулиране на CMK на клиенти, премахнати от HDS.

Анулиране на CMK на клиенти, премахнати от HDS.

Преди да започнете

Премахнете клиенти от съответния клъстер, както е подробно описано в Премахване на организации на клиенти. Стартирайте инструмента за настройка на HDS, за да завършите процеса на премахване за организациите на клиента, които са премахнати.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Анулиране на CMK за всички организации или Анулиране на CMK – щракнете върху този бутон на банера в горната част на екрана, за да анулирате CMK на всички организации, които са премахнати. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Анулиране на CMK , за да анулирате CMK на всички организации, които са премахнати. Щракнете върху … близо до CMK, за да бъде отменено състоянието на определена организация в таблицата и щракнете върху Анулиране на CMK , за да анулирате CMK за тази конкретна организация.
12	След успешното анулиране на CMK организацията на клиента повече няма да се показва в таблицата.
13	Ако отмяната на CMK е неуспешно, ще се покаже грешка.

Тестване на вашето разполагане на хибридна защита на данни

Използвайте тази процедура, за да тествате сценариите за шифроване на хибридна защита на данни с много клиенти.

Преди да започнете

Настройте своето разполагане на хибридна защита на данни с много клиенти.
Уверете се, че имате достъп до syslog, за да потвърдите, че ключовите заявки се подават към вашето разполагане на хибридна защита на данни с много клиенти.

1

Бутоните за дадено място се задават от създателя на мястото. Влезте в приложението Webex като един от потребителите на организацията на клиентите и след това създайте място.

Ако деактивирате разполагането на хибридна защита на данни, съдържанието в местата, които създават потребителите, вече не е достъпно, след като бъдат заменени кешираните от клиента копия на ключовете за шифроване.

2

Изпратете съобщения до новото място.

3

Проверете изхода на syslog, за да потвърдите, че ключовите заявки се прехвърлят към вашето разполагане на хибридна защита на данни.

За да проверите за потребител, който първо създава защитен канал към KMS, филтрирайте на kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

Трябва да намерите запис като следния (идентификатори, съкратени за четливост):

2020-07-21 17:35:34.562 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-1] - [KMS:ЗАЯВКА] получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: //hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

За да проверите за потребител, който иска съществуващ ключ от KMS, филтрирайте на kms.data.method=retrieve и kms.data.type=KEY:

Трябва да намерите запис, като:

2020-07-21 17:44:19.889 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-31] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ключ, филтрирайте на kms.data.method=create и kms.data.type=KEY_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:21.975 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-33] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ресурсен обект (KRO), когато се създава пространство или друг защитен ресурс, филтрирайте на kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:22.808 (+0000) ИНФОРМАЦИЯ KMS [pool-15-thread-1] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Наблюдение на изправността на хибридна защита на данни

Индикатор за статус в Partner Hub ви показва дали всичко е наред с разполагането на хибридна защита на данни с много клиенти. За по-активно предупреждаване се запишете за известия по имейл. Ще бъдете уведомени, когато има аларми, засягащи услугата, или надстройки на софтуера.

1	В Partner Hub изберете Услуги от менюто от лявата страна на екрана.
2	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките. Показва се страницата с настройки за хибридна защита на данни.
3	В раздела \„Имейл известия\“ въведете един или повече имейл адреси, разделени със запетаи, и натиснете Enter.

Управление на вашето разполагане на HDS

Управление на разполагането на HDS

Използвайте описаните тук задачи, за да управлявате своето разполагане на хибридна защита на данни.

Задаване на график за надстройване на клъстери

Надстройките на софтуера за хибридна защита на данни се извършват автоматично на ниво клъстер, което гарантира, че всички възли винаги изпълняват една и съща софтуерна версия. Надстройванията се извършват съгласно графика за надстройване за клъстера. Когато е налична надстройка на софтуера, имате възможност ръчно да надстроите клъстера преди планираното време за надстройване. Можете да зададете конкретен график за надстройване или да използвате графика по подразбиране от 3:00 ч. дневно в Съединените щати: Америка/Лос Анджелис. Можете също да изберете да отложите предстоящото надстройване, ако е необходимо.

За да зададете графика за надстройване:

1	Влезте в Центъра за партньори.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Настройка
4	На страницата с ресурси за хибридна защита на данни изберете клъстера.
5	Щракнете върху раздела Настройки на клъстера .
6	На страницата с настройки на клъстери под „График за надстройване“ изберете часа и часовата зона за графика за надстройване. Забележка: Под часовата зона се показват следващата налична дата и час на надстройване. Можете да отложите надстройването до следващия ден, ако е необходимо, като щракнете върху Отложи с 24 часа.

Промяна на конфигурацията на възела

От време на време може да се наложи да промените конфигурацията на вашия възел за защита на хибридни данни поради причина като:

Промяна на x.509 сертификати поради изтичане или други причини.

Не поддържаме промяна на CN името на домейн на сертификат. Домейнът трябва да съответства на оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.

Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или обратното. За да превключите средата на базата данни, започнете ново внедряване на Hybrid Data Security.
Създаване на нова конфигурация за подготовка на нов център за данни.

Също така, за целите на защитата, Hybrid Data Security използва пароли за сервизен акаунт, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, ги разполагате на всеки от вашите HDS възли във файла ISO config. Когато паролите на вашата организация са към изтичане, получавате известие от екипа на Webex за нулиране на паролата за вашия машинен акаунт. (Имейлът включва текста „Използвайте API на машинния акаунт, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:

Софтуерно нулиране – И двете стари и нови пароли работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране – Старите пароли спират да работят незабавно.

Ако вашите пароли изтекат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно хардуерно нулиране и подмяна на ISO файла на всички възли.

Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни права на администратор на партньор.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в 1.e. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Имате нужда от ISO, когато правите промени в конфигурацията, включително идентификационни данни на база данни, актуализации на сертификати или промени в правилата за оторизация.

1	Използвайки Docker на локална машина, стартирайте HDS Setup Tool. В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате. За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro` При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa` Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен` Уверете се, че сте изтеглили най-новия инструмент за настройка за тази процедура. Версиите на инструмента, създадени преди 22 февруари 2018 г., нямат екрани за нулиране на парола. Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В нормални среди с HTTPSпрокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате "Express сървър слушане на порт 8080." Използвайте браузър, за да се свържете с localhost, `http://127.0.0.1:8080`. Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Когато получите подкана, въведете идентификационните си данни за влизане за клиент на Partner Hub и след това щракнете върху Приемане , за да продължите. Импортирайте текущия конфигурационен ISO файл. Следвайте подканите, за да завършите инструмента и да изтеглите актуализирания файл. За да затворите инструмента за настройка, напишете `CTRL+C`. Създайте резервно копие на актуализирания файл в друг център за данни.
2	Ако имате работещ само един HDS възел, създайте нов VM възел на хибридна защита на данни и го регистрирайте, като използвате новия конфигурационен ISO файл. За по-подробни инструкции вижте Създаване и регистриране на още възли. Инсталирайте HDS хост OVA. Настройте HDS VM. Монтирайте актуализирания конфигурационен файл. Регистрирайте новия възел в Partner Hub.
3	За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: Изключете виртуалната машина. В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките. Щракнете върху `CD / DVD диск 1 , изберете опцията за монтиране от ISO файл и`прегледайте местоположението, където сте изтеглили новия конфигурационен ISO файл. Поставете отметка на Свързване при включване. Запазете промените си и включете виртуалната машина.
4	Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация.

Изключване на режим на блокирана външна DNS разделителна способност

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. Ако DNS сървърът на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на блокирана външна DNS разделителна способност.

Ако вашите възли са в състояние да разреши публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим чрез повторно изпълнение на теста за прокси връзка на всеки възел.

Преди да започнете

Гарантирайте, че вашите вътрешни DNS сървъри могат да разрешават публични DNS имена, както и че вашите възли могат да комуникират с тях.

1	В уеб браузър отворете интерфейса на възела "Защита на хибридните данни" (IP адрес/настройка например въведете идентификационни данни за администриране, които https://192.0.2.0/setup), сте задали за възела, след което щракнете върху Влизане.
2	Отидете на Общ преглед (страницата по подразбиране). Когато е разрешено, блокирани външна DNS разделителна способност е зададена да .
3	Отидете на страницата Хранилище на доверие & Прокси.
4	Щракнете върху Проверка на прокси връзката. Ако видите съобщение, казващо, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра и ще остане в този режим. В противен случай, след като рестартирате възела и да се върнете към страницата общ преглед, Блокиран външен DNS разделителна способност трябва да бъде зададено на не.

Какво да направите след това

Повторете теста за прокси връзка на всеки възел във вашия клъстер за защита на хибридни данни.

Премахване на възел

Използвайте тази процедура, за да премахнете възел на хибридна защита на данни от облака Webex. След като премахнете възела от клъстера, изтрийте виртуалната машина, за да предотвратите по-нататъшен достъп до вашите данни за защита.

1

Използвайте клиента на VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуалната машина.

2

Премахване на възела:

Влезте в Partner Hub и изберете Услуги.
В картата на хибридна защита на данни щракнете върху Преглед на всички , за да покажете страницата с ресурси за хибридна защита на данни.
Изберете своя клъстер, за да се покаже неговият панел \„Общ преглед\“.
Щракнете върху възела, който искате да премахнете.
Щракнете върху Дерегистриране на този възел на панела, който се появява вдясно
Можете също да дерегистрирате възела, като щракнете върху ... от дясната страна на възела и изберете Премахване на този възел.

3

В клиента vSphere изтрийте VM. (В левия навигационен екран щракнете с десния бутон върху VM и щракнете върху Изтрий.)

Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за защита.

Възстановяване след бедствие с използване на центъра за данни в режим на готовност

Най-критичната услуга, която вашият клъстер на хибридна защита на данни предоставя, е създаването и съхранението на ключове, използвани за шифроване на съобщения и друго съдържание, съхранени в облака на Webex. За всеки потребител в рамките на организацията, който е разпределен към хибридна защита на данни, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът също така е отговорен за връщането на създадените ключове на всички потребители, упълномощени да ги извлекат, например членове на място за разговори.

Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат подходящи резервни копия. Загубата на базата данни за хибридна защита на данни или на конфигурационния ISO, използван за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентското съдържание. За предотвратяване на такава загуба са задължителни следните практики:

Ако при бедствие разполагането на HDS в основния център за данни стане недостъпно, следвайте тази процедура, за да се върнете ръчно към центъра за данни в режим на готовност.

Преди да започнете

Премахнете регистрацията на всички възли от Partner Hub, както е посочено в Премахване на възел. Използвайте най-новия ISO файл, конфигуриран спрямо възлите на клъстера, който преди това е бил активен, за да извършите посочената по-долу процедура за преместване при отказ.

1	Стартирайте инструмента за настройка на HDS и следвайте стъпките, споменати в Създаване на конфигурационен ISO за хостовете на HDS.
2	Завършете процеса на конфигуриране и запишете ISO файла на лесно за намиране място.
3	Направете резервно копие на ISO файла в локалната си система. Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.
4	В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
5	Щракнете върху Редактиране на настройките >CD/DVD диск 1 и изберете Datastore ISO файл. Уверете се, че са отметнати Свързани и Свързване при включване , за да могат актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.
6	Включете възела на HDS и се уверете, че няма аларми поне 15 минути.
7	Регистрирайте възела в Partner Hub. Вижте Регистриране на първия възел в клъстера.
8	Повторете процеса за всеки възел в центъра за данни в режим на готовност.

Какво да направите след това

След отказ, ако основният център за данни се активира отново, премахнете регистрацията на възлите на центъра за данни в режим на готовност и повторете процеса на конфигуриране на ISO и регистриране на възлите на основния център за данни, както е посочено по-горе.

(По избор) Демонтиране на ISO след конфигуриране на HDS

Стандартната конфигурация на HDS работи с монтирания ISO. Но някои клиенти предпочитат да не оставят ISO файловете постоянно монтирани. Можете да разглобите ISO файла, след като всички възли на HDS поемат новата конфигурация.

Все още използвате ISO файловете, за да направите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всички ваши HDS възли. След като всички ваши възли са приели промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.

Преди да започнете

Надстройте всички ваши HDS възли до версия 2021.01.22.4720 или по-нова.

1	Затворете един от възлите си за HDS.
2	В уреда vCenter Server изберете възела на HDS.
3	Изберете Редактиране на настройките > CD/DVD диск и премахнете отметката от Datastore ISO файл.
4	Включете възела на HDS и се уверете, че няма аларми поне 20 минути.
5	Повторете за всеки HDS възел на смяна.

Отстраняване на неизправности в хибридна защита на данни

Преглед на предупрежденията и отстраняване на неизправности

Разполагането на хибридна защита на данни се счита за налично, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че отнема време. Ако потребителите не могат да се свържат с вашия клъстер на хибридна защита на данни, те изпитват следните симптоми:

Не могат да се създават нови места (не могат да се създадат нови ключове)
Неуспешно дешифриране на съобщенията и заглавията на пространството за:
- Нови потребители, добавени към място (не могат да се извлекат ключове)
- Съществуващи потребители в място с помощта на нов клиент (не могат да се извлекат ключовете)
Съществуващите потребители в дадено място ще продължат да се изпълняват успешно, стига клиентите им да имат кеш с ключовете за шифроване

Важно е да наблюдавате правилно своя клъстер на хибридна защита на данни и да обръщате бързо към всички предупреждения, за да избегнете прекъсване на услугата.

Предупреждения

Ако има проблем с настройката на хибридна защита на данни, Partner Hub показва предупреждения до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Предупрежденията обхващат много общи сценарии.

Таблица 1. Общи проблеми и стъпки за тяхното разрешаване
Предупреждение	Действие
Отказ на достъп до локална база данни.	Проверете за грешки в базата данни или проблеми с локалната мрежа.
Неуспешна връзка с локалната база данни.	Проверете дали сървърът с база данни е достъпен и дали са използвани правилните идентификационни данни за акаунта за услуга в конфигурацията на възела.
Неуспешен достъп до услугата в облака.	Проверете дали възлите имат достъп до сървърите на Webex, както е посочено в Изисквания за външна свързаност.
Подновяване на регистрацията за услуги в облака.	Регистрацията в услугите в облака беше прекъсната. Протича подновяване на регистрацията.
Регистрацията на услуги в облака е прекъсната.	Регистрирането в облачни услуги е прекратено. Услугата се затваря.
Услугата все още не е активирана.	Активирайте HDS в Partner Hub.
Конфигурираният домейн не съответства на сертификата на сървъра.	Уверете се, че сертификатът на сървъра ви съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата наскоро е променен и сега е различен от CN, който е бил използван по време на първоначалната настройка.
Неуспешно удостоверяване в услугите в облака.	Проверете за точност и възможно изтичане на идентификационните данни за акаунта за услугата.
Неуспешно отваряне на локалния файл на клавиатурата.	Проверете за целостта и точността на паролата във файла с локалния клавиатура.
Сертификатът за локален сървър е невалиден.	Проверете датата на изтичане на сертификата на сървъра и потвърдете, че той е издаден от надежден сертифициращ орган.
Неуспешно публикуване на метриките.	Проверете достъпа до локалната мрежа до външни облачни услуги.
Директорията /media/configdrive/hds не съществува.	Проверете конфигурацията за монтаж на ISO на виртуалния хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и дали се монтира успешно.
Настройката на организация на клиент не е завършена за добавените организации	Завършете настройката, като създадете CMK за новодобавени организации на клиенти с помощта на инструмента за настройка на хибридни съобщения.
Настройката на организация на клиента не е завършена за премахнатите организации	Завършете настройката чрез анулиране на CMK на организациите на клиенти, които са премахнати с помощта на инструмента за настройка на хибридни телефони (HDS).

Отстраняване на неизправности в хибридна защита на данни

Използвайте следните общи насоки, когато отстранявате проблеми с хибридна защита на данни.

1	Прегледайте Partner Hub за предупреждения и коригирайте всички елементи, които намерите там. Вижте изображението по-долу за справка.
2	Прегледайте изхода на сървъра syslog за активност от разполагането на хибридна защита на данни. Филтрирайте за думи като „Предупреждение“ и „Грешка“, за да помогнете при отстраняване на неизправности.
3	Свържете се с поддръжката на Cisco.

Други бележки

Известни проблеми с хибридната защита на данните

Ако затворите своя клъстер на хибридна защита на данни (като го изтриете в Partner Hub или като затворите всички възли), загубите своя ISO файл за конфигуриране или загубите достъп до базата данни на клавиатурата, потребителите на приложението Webex на клиентските организации вече няма да могат да използват пространства в своя списък "Хора", създадени с ключове от вашия KMS. В момента нямаме заобиколно решение или корекция за този проблем и ви призовавам да не затваряте услугите си за HDS, след като обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за период от време (вероятно един час).

Използване на OpenSSL за генериране на PKCS12 файл

Преди да започнете

OpenSSL е един инструмент, който може да се използва за създаване на PKCS12 файл в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини за това и ние не подкрепяме и не насърчаваме един път над друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като ръководство, за да ви помогнем да създадете файл, който отговаря на изискванията за сертификат X.509 в Изисквания за сертификат X.509. Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижте https://www.openssl.org софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификата на сървъра от вашия сертифициращ орган (CA).

1	Когато получите сертификата на сървъра от вашия CA, запишете го като `hdsnode.pem`.
2	Показване на сертификата като текст и проверете подробностите. `openssl x509 -текст -noout -в hdsnode.pem`
3	Използвайте текстов редактор, за да създадете файл пакет сертификат, наречен `hdsnode-bundle.pem`. Пакетният файл трябва да включва сертификата на сървъра, всички междинни CA сертификати и корневи CA сертификати в следния формат: `-----начало на сертификат----- ### сертификат на сървър. ### -----край на сертификат--------------- начало на сертификат------ ### Междинен CA сертификат. ### -----край на сертификат--------------- начало на сертификат------ ### Корневи CA сертификат. ### -----край на сертификат-----`
4	Създайте .p12 файла с приятелското име `kms-частен-ключ`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверете подробностите за сертификата на сървъра. `openssl pkcs12 -в hdsnode.p12` Въведете парола при подкана да шифровате частния ключ, така че да се показва в изхода. След това се уверете, че частният ключ и първият сертификат включват линиите `friendlyName: kms-частен-ключ`. Пример: bash$ openssl pkcs12 -in hdsnode.p12 Въведете паролата за импортиране: MAC потвърди атрибути OK Bag friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключови атрибути: Въведете фраза за преминаване на PEM: Потвърждаване – Въведете фраза за достъп до PEM: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Какво да направите след това

Върнете се, за да изпълните изискванията за хибридна защита на данни. Ще използвате файла hdsnode.p12 и паролата, която сте задали за него, в Създаване на конфигурационен ISO за организаторите на HDS.

Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато първоначалният сертификат изтече.

Трафик между възлите на HDS и облака

Изходящ трафик за събиране на метрики

Възлите на хибридна защита на данни изпращат определени показатели към облака на Webex. Те включват системни метрики за heap max, използван heap, натоварване на процесора и брой нишки; метрики за синхронните и асинхронните нишки; метрики за предупрежденията, включващи праг на шифроване връзки, латентност или дължина на опашката за заявки; метрики за datastore; и метрики за връзката за шифроване. Възлите изпращат материали за шифрован ключ през нечестотен (отделен от заявката) канал.

Входящ трафик

Възлите на хибридна защита на данни получават следните типове входящ трафик от облака на Webex:

Заявки за шифроване от клиенти, които се маршрутизират от услугата за шифроване
Надстройки до софтуера за възли

Конфигуриране на прокси сървъри за хибридна защита на данните

Websocket не може да се свърже чрез сепия прокси

Прокси сървърите, които инспектират HTTPS трафика, могат да повлияят на създаването на websocket (в к:) връзки, които изискват хибридната защита на данните. Тези раздели дават насоки как да конфигурирате различни версии на Калмар, за да игнорирате wss: трафик за правилното функциониране на услугите.

Калмята 4 и 5

Добавете on_unsupported_protocol директивата към squid.conf:

on_unsupported_protocol тунел

Сепия 3.5.27

Успешно тествахме Hybrid Data Security със следните правила, добавени към squid.conf. Тези правила подлежат на промяна, тъй като разработваме функции и актуализираме webex облака.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump надничане step1 всички ssl_bump stare step2 всички ssl_bump bump step3 всички

Нова и променена информация

Тази таблица обхваща нови функции или функционалности, промени в съществуващото съдържание и всички големи грешки, които са поправени в Ръководство за разполагане за хибридна защита на данните с много клиенти.

Дата	Направени промени
08 януари 2025 г.	Добавена е бележка в Извършване на първоначална настройка и изтегляне на инсталационни файлове , в която се посочва, че щракването върху Настройка на HDS картата в Partner Hub е важна стъпка от процеса на инсталиране.
07 януари 2025 г.	Актуализирани изисквания за виртуален хост, Поток от задачи за разполагане на хибридна защита на данни, и Инсталиране на HDS Host OVA , за да се покаже ново изискване на ESXi 7.0.
13 декември 2024 г.	Публикувана за първи път.

Деактивиране на хибридна защита на данни с много клиенти

Поток на задачи за деактивиране на HDS с много клиенти

Изпълнете тези стъпки, за да деактивирате напълно HDS с много клиенти.

Преди да започнете

Тази задача трябва да се изпълнява само от администратор с пълни права на партньор.

1	Премахнете всички клиенти от всичките ви клъстери, както е посочено в Премахване на организации на клиенти.
2	Анулирайте CMK на всички клиенти, както е посочено в Анулиране на CMK на клиенти, премахнати от HDS..
3	Премахнете всички възли от всичките ви клъстери, както е посочено в Премахване на възел.
4	Изтрийте всичките си клъстери от Partner Hub, като използвате един от следните два метода. Щракнете върху клъстера, който искате да изтриете, и изберете Изтриване на този клъстер в горния десен ъгъл на страницата за общ преглед. На страницата „Ресурси“ щракнете върху ... от дясната страна на клъстер и изберете Премахване на клъстер.
5	Щракнете върху раздела Настройки на страницата за общ преглед на хибридната защита на данни и щракнете върху Деактивиране на хибридната защита на данни в картата за статус на HDS.

Първи стъпки с хибридна защита на данните с много клиенти

Общ преглед на хибридна защита на данни с няколко клиента

От първия ден сигурността на данните е основният фокус при проектирането на приложението Webex. Крайъгълният камък на тази защита е цялостното шифроване на съдържание, разрешено от клиентите на приложението Webex, които взаимодействат с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографски ключове, които клиентите използват за динамично криптиране и дешифриране на съобщения и файлове.

По подразбиране всички клиенти на приложението Webex получават цялостно шифроване с динамични ключове, съхранявани в облака KMS, в областта на защитата на Cisco. Хибридната защита на данните премества KMS и други свързани със сигурността функции във вашия корпоративен център за данни, така че никой освен вас не държи ключовете за вашето криптирано съдържание.

Хибридната защита на данните с много клиенти позволява на организациите да използват HDS чрез надежден местен партньор, който може да действа като доставчик на услуги и да управлява локално шифроване и други услуги за защита. Тази настройка позволява на партньорската организация да има пълен контрол върху разполагането и управлението на ключове за шифроване и гарантира, че потребителските данни на клиентските организации са безопасни от външен достъп. Партньорските организации настройват HDS екземпляри и създават HDS клъстери, ако е необходимо. Всеки екземпляр може да поддържа няколко клиентски организации за разлика от нормалното разполагане на HDS, което е ограничено до една организация.

Въпреки че партньорските организации имат контрол върху разполагането и управлението, те нямат достъп до данни и съдържание, генерирани от клиентите. Този достъп е ограничен до клиентски организации и техните потребители.

Това също така позволява по-малките организации да използват HDS, тъй като услугата за управление на ключове и инфраструктурата за сигурност, като центровете за данни, са собственост на доверения местен партньор.

Как хибридната защита на данните с няколко клиента осигурява суверенитет на данните и контрол на данните

Генерираното от потребителите съдържание е защитено от външен достъп, като например доставчици на облачни услуги.
Местните доверени партньори управляват ключовете за шифроване на клиенти, с които вече имат установени отношения.
Опция за местна техническа поддръжка, ако бъде предоставена от партньора.
Поддържа съдържание в Meetings, Messaging и Calling.

Този документ има за цел да помогне на партньорските организации да настройват и управляват клиенти в система за хибридна защита на данните с много клиенти.

Роли в хибридна защита на данните с няколко клиента

Администратор на партньор с пълни права – може да управлява настройките за всички клиенти, които партньорът управлява. Могат също да възлагат администраторски роли на съществуващи потребители в организацията и да задават конкретни клиенти, които да бъдат управлявани от администратори на партньора.
Администратор на партньор – може да управлява настройките за клиенти, които администраторът е предоставил или които са зададени на потребителя.
Пълен администратор – администратор на партньорската организация, който е упълномощен да изпълнява задачи, като промяна на настройките на организацията, управление на лицензи и задаване на роли.

Цялостно настройване и управление на HDS с много клиенти на всички клиентски организации – изискват се пълен администратор на партньор и права на пълен администратор.
Управление на зададените организации на клиенти – изискват се администратор на партньор и права на пълен администратор.

Архитектура на областта на сигурността

Архитектурата на облака на Webex разделя различните типове услуги в отделни области или домейни на доверие, както е описано по-долу.

За да разберем по-подробно хибридната защита на данните, нека първо разгледаме този случай в облака, където Cisco предоставя всички функции в своите облачни области. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логично и физически отделена от областта на защитата в центъра за данни B. И двете от своя страна са отделени от областта, в която в крайна сметка се съхранява шифровано съдържание, в центъра за данни C.

На тази схема клиентът е приложението Webex, което се изпълнява на лаптопа на потребителя, и е удостоверен с услугата за самоличност. Когато потребителят композира съобщение за изпращане до интервал, се извършват следните стъпки:

Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за шифроване на съобщението. Защитената връзка използва ECDH, а KMS шифрова ключа с помощта на главния ключ AES-256.
Съобщението е шифровано преди да напусне клиента. Клиентът го изпраща на услугата за индексиране, която създава шифровани индекси за търсене, за да подпомогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща на услугата за съответствие за проверки за съответствие.
Шифрованото съобщение се съхранява в областта на мястото за съхранение.

Когато разположите хибридна защита на данни, премествате функциите на областта на защитата (KMS, индексиране и съответствие) в своя локален център за данни. Другите услуги в облака, които съставляват Webex (включително съхранение на самоличност и съдържание), остават в областите на Cisco.

Сътрудничество с други организации

Потребителите във вашата организация могат редовно да използват приложението Webex за сътрудничество с външни участници в други организации. Когато един от вашите потребители поиска ключ за място, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашата KMS изпраща ключа на клиента чрез ECDH защитен канал. Когато обаче друга организация притежава ключа за пространството, вашият KMS маршрутизира заявката към облака Webex чрез отделен ECDH канал, за да получи ключа от съответния KMS и след това връща ключа на вашия потребител в оригиналния канал.

Услугата KMS, изпълнявана в организация А, валидира връзките към KMS в други организации, като използва x.509 PKI сертификати. Вижте Подготовка на средата за подробности относно генерирането на сертификат x.509, който да се използва при вашето разполагане на хибридна защита на данни с много клиенти.

Очаквания за внедряване на хибридна защита на данни

Внедряването на хибридна защита на данни изисква значителна ангажираност и осведоменост за рисковете, които идват от притежаването на ключове за шифроване.

За да разположите хибридна защита на данни, трябва да предоставите:

Защитен център за данни в страна, която е поддържано местоположение за плановете на Cisco Webex Teams.
Оборудването, софтуерът и мрежовият достъп, описани в Подготовка на средата.

Пълната загуба или на конфигурационния ISO, който изграждате за хибридна защита на данни, или на базата данни, която предоставяте, ще доведе до загуба на ключове. Загубата на ключове не позволява на потребителите да дешифрират съдържанието в пространството и други шифровани данни в приложението Webex. Ако това се случи, можете да изградите ново разполагане, но ще се вижда само новото съдържание. За да избегнете загуба на достъп до данни, трябва:

Управлявайте архивирането и възстановяването на базата данни и конфигурационния ISO.
Бъдете готови да извършите бързо възстановяване след бедствие, ако възникне катастрофа, като повреда на диска на базата данни или бедствие на центъра за данни.

Няма механизъм за преместване на ключовете обратно в облака след разполагане на HDS.

Процес на настройка на високо ниво

Този документ обхваща настройката и управлението на разполагането на хибридна защита на данни с много клиенти:

Настройване на хибридна защита на данни – това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данни, изграждане на клъстер на HDS, добавяне на организации на клиенти към клъстера и управление на техните главни ключове на клиенти (CMK). Това ще даде възможност на всички потребители на вашите клиентски организации да използват вашия клъстер на хибридна защита на данни за функции за защита.

Етапите на настройка, активиране и управление са разгледани подробно в следващите три глави.
Поддържайте разполагането на хибридна защита на данни – Облакът на Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да предостави поддръжка от първо ниво за това разполагане и да ангажира поддръжката на Cisco, ако е необходимо. В Partner Hub можете да използвате известия на екрана и да настроите имейл предупреждения.
Разбиране на често срещаните предупреждения, стъпките за отстраняване на неизправности и известни проблеми – ако срещнете проблеми при разполагането или използването на хибридна защита на данни, последната глава от това ръководство и приложението „Известни проблеми“ могат да ви помогнат да определите и коригирате проблема.

Модел на разполагане на хибридна защита на данни

В рамките на вашия корпоративен център за данни разполагате с хибридна защита на данни като един клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака на Webex чрез защитени уеб сокети и защитен HTTP.

По време на процеса на инсталиране ви предоставяме файла OVA, за да настроите виртуалния уред на VMs, които предоставяте. Използвайте инструмента за настройка на HDS, за да създадете персонализиран ISO файл за конфигуриране на клъстери, който да монтирате на всеки възел. Клъстерът на хибридна защита на данни използва предоставения ви сървър Syslogd и базата данни на PostgreSQL или Microsoft SQL Server. (Можете да конфигурирате подробностите за връзката на Syslogd и базата данни в инструмента за настройка на HDS.)

Модел на разполагане на хибридна защита на данни

Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне по три на клъстер. Наличието на множество възли гарантира, че услугата не се прекъсва по време на надстройка на софтуера или друга дейност по поддръжка на даден възел. (Облакът на Webex надгражда само един възел в даден момент.)

Всички възли в клъстера имат достъп до един и същ файл с ключове и регистрационната активност към един и същ syslog сървър. Самите възли са без гражданство и обработват ключови заявки в кръгла форма, както е указано от облака.

Възлите стават активни, когато ги регистрирате в Partner Hub. За да излезете от експлоатация отделен възел, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.

Standby Data Center за възстановяване при бедствия

По време на разгръщането настройвате защитен център за данни в режим на готовност. В случай на бедствие на центъра за данни можете ръчно да не успеете при разполагането си в центъра за данни в режим на готовност.

Базите данни на активните центрове за данни и центровете за данни в режим на готовност са синхронизирани помежду си, което ще сведе до минимум времето, необходимо за извършване на превключването при отказ.

Активните възли на хибридна защита на данни трябва винаги да бъдат в същия център за данни като активния сървър с база данни.

Поддръжка на прокси

Hybrid Data Security поддържа изрични, прозрачни проверяващи и неинспектационни проксита. Можете да свържете тези проксита към разполагането си, така че да можете да подсигурите и наблюдавате трафика от предприятието навън към облака. Можете да използвате администраторски интерфейс на платформа на възлите за управление на сертификати и да проверите цялостното състояние на свързване, след като настроите прокси сървъра на възлите.

Хибридните възли за защита на данните поддържат следните опции за прокси:

Няма прокси сървър – Стойността по подразбиране, ако не използвате конфигурацията за настройка на HDS възел на доверено хранилище и прокси сървър за интегриране на прокси сървър. Не се изисква актуализация на сертификата.
Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси сървъра – възлите не са конфигурирани да използват определен адрес на прокси сървъра. На възлите не са необходими промени в конфигурацията на HTTP или HTTPS. Възлите обаче се нуждаят от главен сертификат, така че да се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS).
Изричен прокси сървър – С изричния прокси сървър казвате на HDS кои прокси сървъри и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
1. Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината.
2. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик.
3. Прокси протокол – в зависимост от това, което поддържа прокси сървърът ви, изберете между следните протоколи:
  - HTTP—Преглежда и контролира всички заявки, които клиентът изпраща.
  - HTTPS—Предоставя канал на сървъра. Клиентът получава и валидира сертификата на сървъра.
4. Тип удостоверяване – изберете измежду следните типове удостоверяване:
  - Няма – Не се изисква допълнително удостоверяване.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
  - Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.
  - Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата.
    
    Предлага се само ако изберете HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.

Пример за хибридни данни сигурност възли и прокси

Тази диаграма показва примерна връзка между защитата на хибридните данни, мрежата и прокси. За прозрачния инспектиращ и HTTPS изричен инспектиращ прокси опции, един и същ главен сертификат трябва да бъде инсталиран на прокси и на хибридните възли за защита на данните.

Блокиран режим на външна DNS разделителна способност (изрични прокси конфигурации)

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. В разполагане с изрични прокси конфигурации, които не позволяват външна DNS разделителна способност за вътрешни клиенти, ако възелът не може да заявка DNS сървъри, тя автоматично преминава в режим блокирани външни DNS резолюция. В този режим може да се процедира регистрация на възли и други тестове за свързване на прокси.

Подготовка на средата

Изисквания за хибридна защита на данните с няколко клиента

Изисквания за лицензи за Cisco Webex

За да разположите хибридна защита на данните с много клиенти:

Партньорски организации: Свържете се със своя партньор в Cisco или мениджър на акаунти и се уверете, че функцията за много клиенти е активирана.
Организации на клиента: Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижте https://www.cisco.com/go/pro-pack.)

Изисквания за закачане на работния плот

Преди да инсталирате възлите на HDS, трябва Docker Desktop, за да изпълните инсталационна програма. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker е Актуализиране и разширяване на нашите абонаментиза продукти".

X.509 Изисквания за сертификата

Веригата на сертификатите трябва да отговаря на следните изисквания:

Таблица 1. X.509 Изисквания за сертификата за разполагане на хибридна защита на данни
Изискване	Подробности
Подписан от надежден сертифициращ орган (CA)	По подразбиране се доверяваме на сертифициращите органи в списъка на Mozilla (с изключение на WoSign и StartCom) на https://wiki.mozilla.org/CA:IncludedCAs.
Носи общо име (CN) име на домейн, което идентифицира вашето разполагане на хибридна защита на данни Не е заместващ сертификат	CN не е нужно да е достъпен или хост на живо. Препоръчваме ви да използвате име, което отразява вашата организация, например `hds.company.com`. CN не трябва да съдържа * (заместващ символ). CN се използва за проверка на възлите на хибридна защита на данни за клиентите на приложението Webex. Всички възли на хибридна защита на данни във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на CN домейна, а не с произволен домейн, дефиниран в полетата x.509v3 SAN. След като сте регистрирали възел с този сертификат, не поддържаме промяна на името на CN домейна.
Подпис, който не е SHA1	Софтуерът KMS не поддържа подписи SHA1 за валидиране на връзки с KMS на други организации.
Форматиран като защитен с парола PKCS #12 файл Използвайте приятелското име на `kms-private-key` , за да маркирате сертификата, частния ключ и всички междинни сертификати за качване.	Можете да използвате конвертор, като OpenSSL, за да промените формата на сертификата си. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS.

Софтуерът KMS не налага използване на ключове или не разширява ограниченията за използване на ключове. Някои сертифициращи органи изискват за всеки сертификат да се прилагат разширени ограничения за използване на ключа, като например удостоверяване на сървъра. Добре е да използвате удостоверяване на сървъра или други настройки.

Изисквания за виртуален организатор

Виртуалните хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер, имат следните изисквания:

Поне два отделни хоста (препоръчва се 3), разположени съвместно в един и същ защитен център за данни
VMware ESXi 7.0 (или по-нова версия) е инсталиран и работи.

Трябва да надстроите, ако имате по-стара версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално място на твърдия диск на сървър

Изисквания към сървъра за база данни

Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.

Има две опции за сървъра с база данни. Изискванията за всеки от тях са, както следва:

Таблица 2. Изисквания за сървъра с база данни по тип база данни
PostgreSQL	Microsoft SQL сървър
PostgreSQL 14, 15 или 16, инсталиран и се изпълнява.	Инсталиран е SQL Server 2016, 2017, или 2019 (корпоративен или стандартен). SQL Server 2016 изисква Service Pack 2 и Кумулативна актуализация 2 или по-нова версия.
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)	Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)

HDS софтуерът в момента инсталира следните версии на драйвери за комуникация със сървъра с база данни:

PostgreSQL

Microsoft SQL сървър

Postgres JDBC драйвер 42.2.5

SQL Server JDBC драйвер 4.6

Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстера при отказ и Винаги включен групи за наличност).

Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server

Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни на Keystore на Microsoft SQL Server, тогава е необходима следната конфигурация във вашата среда:

Възлите на HDS, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Акаунтът за Windows, който предоставяте на възли на HDS, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възли, трябва да могат да разрешават вашия център за разпределение на ключове (KDC).
Можете да регистрирате екземпляра на базата данни на HDS на Microsoft SQL Server като основно име на услуга (SPN) на Active Directory. Вижте Регистриране на основно име на услуга за Kerberos връзки.

Инструментът за настройка на HDS, HDS стартера и локалния KMS трябва да използват удостоверяване на Windows за достъп до базата данни на Keystore. Те използват подробностите от вашата ISO конфигурация, за да конструират SPN, когато заявяват достъп с удостоверяване на Kerberos.

Изисквания за външна връзка

Конфигурирайте защитната стена, за да разрешите следната свързаност за приложенията на хибридна защита на данни:

Приложение	Протокол	Порт	Посока от приложението	Местоназначение
Възли на хибридна защита на данни	TCP	443	Изходящи HTTPS и ВиК	Сървъри на Webex: .wbx2.com .ciscospark.com Всички организатори на Common Identity Други URL адреси, които са изброени за хибридна защита на данни в таблицата Допълнителни URL адреси за хибридни услуги на Webex на мрежовите изисквания за услугите на Webex
Инструмент за настройка на HDS	TCP	443	Изходящ HTTPS	*.wbx2.com Всички организатори на Common Identity hub.docker.com

Възлите на хибридна защита на данни работят с превод на мрежовия достъп (NAT) или зад защитна стена, при условие че NAT или защитната стена позволяват необходимите изходящи връзки към местоназначенията на домейна в предходната таблица. За връзки, влизащи във входящи възли на хибридна защита на данни, от интернет не трябва да се виждат портове. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите на хибридна защита на данни на TCP портове 443 и 22 за административни цели.

URL адресите за хостовете на Common Identity (CI) са специфични за региона. Това са текущите организатори на CI:

Регион	URL адреси на организатор на Common Identity
Северна и Южна Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейски съюз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com
Сингапур	https://idbroker-sg.webex.com https://identity-sg.webex.com
Обединени арабски емирства	https://idbroker-ae.webex.com https://identity-ae.webex.com

Изисквания към прокси сървъра

Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли hybrid Data Security.
- Прозрачен прокси-Уред за уеб защита cisco (WSA).
- Изрична прокси-Сепия.
  
  Прокси сървърите, които инспектират HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да работите по този проблем, вижте Конфигуриране на прокси сървъри за хибридна защита на данни.
Ние поддържаме следните комбинации от тип удостоверяване за изрични проксита:
- Без удостоверяване с HTTP или HTTPS
- Базово удостоверяване с HTTP или HTTPS
- Смилане на удостоверяване само с HTTPS
За прозрачен проверяващ прокси или HTTPS изрично прокси, трябва да имате копие на главния сертификат на прокси. Инструкциите за разполагане в това ръководство ви казват как да качите копието в магазините за доверие на хибридните възли за защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик на порт 443 да маршрутизира през прокси сървъра.
Прокситата, които инспектират уеб трафика, може да пречат на връзките с уеб гнездото. Ако възникне този проблем, заобикалянето (не инспектирането) на трафика към wbx2.com и ciscospark.com ще реши проблема.

Изпълнете предварителните изисквания за хибридна защита на данни

Използвайте този контролен списък, за да гарантирате, че сте готови да инсталирате и конфигурирате своя клъстер на хибридна защита на данни.

1	Уверете се, че вашата партньорска организация има активирана функция за HDS с няколко клиента и получавате идентификационните данни за акаунт с пълен администратор на партньор и права на пълен администратор. Уверете се, че вашата организация на клиенти на Webex е разрешена за Pro Pack за Cisco Webex Control Hub. Свържете се с вашия партньор в Cisco или мениджър на акаунти за помощ с този процес. Организациите на клиентите не трябва да имат съществуващо разполагане на HDS.
2	Изберете име на домейн за разполагането на HDS (например `hds.company.com`) и получете верига от сертификати, съдържаща сертификат X.509, частен ключ и всички междинни сертификати. Веригата на сертификатите трябва да отговаря на изискванията в X.509 Изисквания за сертификат.
3	Подгответе идентични виртуални хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер. Имате нужда от поне два отделни организатора (препоръчва се 3), разположени съвместно в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален организатор.
4	Подгответе сървъра с база данни, който ще действа като хранилище на данни за ключа за клъстера в съответствие с изискванията за сървъра с база данни. Сървърът на базата данни трябва да бъде разположен съвместно в защитения център за данни с виртуалните хостове. Създайте база данни за съхранение на ключове. (Трябва да създадете тази база данни – не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.) Съберете подробностите, които ще използват възлите за комуникация със сървъра с база данни: име на хост или IP адрес (хост) и порт името на базата с данни (dbname) за съхранение на ключа потребителското име и паролата на потребител с всички привилегии в базата данни за съхранение на ключа
5	За бързо възстановяване след бедствие настройте архивна среда в друг център за данни. Резервната среда отразява производствената среда на VMs и резервен сървър с база данни. Например, ако производството има 3 VMs, работещи с HDS възли, резервната среда трябва да има 3 VMs.
6	Настройте хост на syslog, за да събирате регистрационни файлове от възлите в клъстера. Съберете мрежовия му адрес и порта за syslog (по подразбиране е UDP 514).
7	Създайте правила за защитено архивиране за възлите на хибридна защита на данни, сървъра с база данни и хоста на syslog. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите на хибридна защита на данни. Тъй като възлите на хибридна защита на данни съхраняват ключовете, използвани за шифроване и дешифроване на съдържание, неподдържането на оперативно разполагане ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на това съдържание. Клиентите на приложението Webex кешират ключовете си, така че прекъсването може да не се забележи веднага, но ще стане очевидно с течение на времето. Въпреки че е невъзможно да се предотвратят временните прекъсвания, те са възстановими. Обаче пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. От операторите на възлите на хибридна защита на данни се очаква да поддържат чести резервни копия на базата данни и конфигурационния ISO файл и да бъдат готови да възстановят центъра за данни на хибридна защита на данни, ако възникне катастрофална грешка.
8	Уверете се, че конфигурацията на защитната ви стена позволява свързване за вашите възли на хибридна защита на данни, както е описано в Изисквания за външна свързаност.
9	Инсталирайте Docker ( https://www.docker.com) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова или Mac OSX Yosemite 10.10.3 или по-нова версия) с уеб браузър, който може да получи достъп до нея на http://127.0.0.1:8080. Можете да използвате екземпляр на Docker, за да изтеглите и изпълните инструмента за настройка на HDS, който изгражда информацията за локална конфигурация за всички възли на хибридна защита на данни. Може да ви е необходим лиценз за настолен компютър за docker. Вижте Изисквания за закачане на работния плот за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има възможността за свързване, описана в Изисквания за външна свързаност.
10	Ако интегрирате прокси сървър с хибридна защита на данните, уверете се, че той отговаря на изискванията за прокси сървър.

Настройване на клъстер на хибридна защита на данни

Поток на задачи за разполагане на хибридна защита на данни

Преди да започнете

1	Извършване на първоначална настройка и изтегляне на инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късно използване.
2	Създаване на конфигурационен ISO за хостовете на HDS Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите на хибридна защита на данни.
3	Инсталиране на HDS Host OVA Създайте виртуална машина от OVA файла и изпълнете първоначалната конфигурация, като например мрежови настройки. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
4	Настройване на VM на хибридна защита на данни Влезте в конзолата на VM и задайте данните за вход. Конфигурирайте мрежовите настройки за възела, ако не сте ги конфигурирали към момента на разполагането на OVA.
5	Качване и монтиране на конфигурация ISO на HDS Конфигурирайте VM от ISO конфигурационния файл, който сте създали с инструмента за настройка на HDS.
6	Конфигуриране на HDS възел за интегриране на прокси сървър Ако мрежовата среда изисква конфигурация на прокси сървър, укажете типа прокси сървър, който ще използвате за възела, и добавете прокси сертификата към хранилището на гаранти, ако е необходимо.
7	Регистриране на първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел на хибридна защита на данни.
8	Създаване и регистриране на още възли Завършете настройката на клъстера.
9	Активирайте HDS с много клиенти в Partner Hub. Активирайте HDS и управлявайте организации на клиенти в Partner Hub.

Извършване на първоначална настройка и изтегляне на инсталационни файлове

В тази задача изтегляте OVA файл на вашата машина (а не на сървърите, които сте настроили като възли на хибридна защита на данни). Ще използвате този файл по-късно в процеса на инсталиране.

1	Влезте в Partner Hub и щракнете върху Услуги.
2	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и след това щракнете върху Настройка. Щракването върху Настройка в Partner Hub е критично за процеса на разполагане. Не продължете с инсталирането, без да завършите тази стъпка.
3	Щракнете върху Добавяне на ресурс и щракнете върху Изтегляне на .OVA файл на картата Инсталиране и конфигуриране на софтуера . По-старите версии на софтуерния пакет (OVA) няма да бъдат съвместими с най-новите надстройки на хибридна защита на данни. Това може да доведе до проблеми при надстройване на приложението. Уверете се, че сте изтеглили най-новата версия на OVA файла. Можете също да изтеглите OVA по всяко време от раздела Помощ . Щракнете върху Настройки > Помощ > Изтегляне на софтуер за хибридна защита на данни. OVA файлът започва автоматично да се изтегля. Запишете файла на местоположение на машината си.
4	Като опция щракнете върху Вижте ръководството за разполагане на хибридна защита на данни , за да проверите дали има налична по-нова версия на това ръководство.

Създаване на конфигурационен ISO за хостовете на HDS

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт в Partner Hub с пълни администраторски права.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5 по-долу. Тази таблица дава някои възможни променливи на средата:

Описание

Променлива

HTTP прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTPS прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTP прокси с удостоверяване

GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS прокси с удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

1

В командния ред на вашата машина въведете подходящата команда за вашата среда:

В нормални среди:

докер rmi ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер rmi ciscocitg/hds-setup-fedramp: стабилен

Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

2

За да влезете в регистъра на изображения на Docker, въведете следното:

докер вход -u hdscustomersro

3

При подканата за парола въведете този хеш:

dckr_pat_aDP6V4KkrvpBwa

4

Изтеглете най-новото стабилно изображение за вашата среда:

В нормални среди:

докер издърпване ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер издърпване ciscocitg/hds-setup-fedramp: стабилен

5

Когато изтеглянето приключи, въведете подходящата команда за вашата среда:

В нормални среди без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В нормални среди с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В редовни среди с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В среди на FedRAMP без прокси:

докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен

В среди на FedRAMP с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В среди на FedRAMP с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.

6

Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost.

Използвайте уеб браузър, за да отидете на localhost, http://127.0.0.1:8080 и въведете администраторското потребителско име за Partner Hub в подканата.

Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.

7

Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.

8

На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.

9

На страницата Импортиране на ISO имате следните опции:

Не– Ако създавате първия си HDS възел, нямате ISO файл за качване.
Да – Ако вече сте създали HDS възли, тогава изберете своя ISO файл в прегледа и го качете.

10

Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат.

Ако никога не сте качили сертификат преди, качете сертификата X.509, въведете паролата и щракнете върху Продължи.
Ако сертификатът ви е ОК, щракнете върху Продължи.
Ако сертификатът ви е изтекъл или искате да го замените, изберете Не за Продължаване на използването на веригата за сертификати на HDS и частния ключ от предишния ISO?. Качете нов сертификат X.509, въведете паролата и щракнете върху Продължи.

11

Въведете адреса на базата данни и акаунта за HDS, за да получите достъп до ключовия си datastore:

Изберете вашия тип база данни (PostgreSQL или Microsoft SQL Server).

Ако изберете Microsoft SQL Server, получавате поле за тип удостоверяване.
(Само за Microsoft SQL Server ) Изберете вашия тип удостоверяване:
- Базово удостоверяване: Необходимо е име на локален акаунт за SQL Server в полето Потребителско име .
- Удостоверяване на Windows: Имате нужда от акаунт за Windows във формат username@DOMAIN в полето Потребителско име .
Въведете адреса на сървъра с база данни във формуляра : или :.

Пример:
dbhost.example.org:1433 или 198.51.100.17:1433

Можете да използвате IP адрес за базово удостоверяване, ако възлите не могат да използват DNS за решаване на името на хоста.

Ако използвате удостоверяване на Windows, трябва да въведете напълно квалифицирано име на домейн във формат dbhost.example.org:1433
Въведете името на базата данни.
Въведете Потребителско име и Парола на потребител с всички привилегии в базата данни за съхранение на ключа.

12

Изберете режим на свързване с база данни TLS:

Режим	Описание
Предпочитане на TLS (опция по подразбиране)	HDS възлите не изискват TLS да се свърже със сървъра на базата данни. Ако разрешите TLS на сървъра с база данни, възлите правят опит за шифрована връзка.
Изисквайте TLS	HDS възли се свързват само ако сървърът на базата данни може да договори TLS.
Изисквайте TLS и проверете подписвача на сертификати	Този режим не е приложим за бази данни на SQL Server. HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.
Изисквайте TLS и проверете подписалия сертификат и хостовото име	HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Възлите също така проверяват дали името на хоста в сертификата на сървъра съвпада с името на хоста в полето Хост и порт в базата данни . Имената трябва да съвпадат точно или възелът пуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.

Когато качите корневи сертификат (ако е необходимо) и щракнете върху Продължи, инструментът за настройка на хибридна защита на данни тества TLS връзката към сървъра с база данни. Инструментът също така проверява подписалите сертификата и hostname, ако е приложимо. Ако даден тест е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързването възлите на HDS може да са в състояние да установят TLS връзката, дори ако машината с инструмента за настройка на HDS не може да я тества успешно.)

13

На страницата „Системни регистрационни файлове“ конфигурирайте сървъра си за Syslogd:

Въведете URL адреса на сървъра syslog.

Ако сървърът не може да се разрешава чрез DNS от възлите за вашия HDS клъстер, използвайте IP адрес в URL.

Пример:
udp://10.92.43.23:514 показва влизане в хоста Syslogd 10.92.43.23 на UDP порт 514.
Ако настроите сървъра си да използва TLS шифроване, отметнете Конфигуриран ли е вашият сървър syslog за SSL шифроване?.

Ако отметнете това квадратче, трябва да въведете URL адрес на TCP, като например tcp://10.92.43.23:514.
От падащия списък Избор на прекратяване на запис в syslog изберете подходящата настройка за вашия ISO файл: Избор или нов ред се използва за Graylog и Rsyslog TCP
- Нулев байт -- \x00
- Нов ред – \n – Изберете този избор за Graylog и Rsyslog TCP.
Щракнете върху Продължаване.

14

(По избор) Можете да промените стойността по подразбиране за някои параметри на връзката с база данни в Разширени настройки. По принцип този параметър е единственият, който може да искате да промените:

app_datasource_connection_pool_maxРазмер: 10

15

Щракнете върху Продължи на екрана Нулиране на паролата за акаунти за услуги .

Паролите за акаунта за услугата имат деветмесечен живот. Използвайте този екран, когато паролите ви наближават изтичане или искате да ги нулирате, за да invalidate previous ISO files.

16

Щракнете върху Изтегляне на ISO файл. Запишете файла на лесно за намиране място.

17

Направете резервно копие на ISO файла в локалната си система.

Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.

18

За да затворите инструмента за настройка, напишете CTRL+C.

Какво да направите след това

Архивиране на конфигурационния ISO файл. Необходимо е, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, ще загубите и главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.

Никога не разполагаме с копие на този ключ и не можем да ви помогнем, ако го изгубите.

Инсталиране на HDS Host OVA

Използвайте тази процедура, за да създадете виртуална машина от OVA файла.

1	Използвайте клиента VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi.
2	Изберете Файл > Разполагане на OVF шаблон.
3	В съветника укажете местоположението на OVA файла, който сте изтеглили по-рано, след което щракнете върху Напред.
4	На страницата Избор на име и папка въведете име на виртуална машина за възела (например "HDS_Node_1"), изберете местоположение, където може да се намира разполагането на възела на виртуалната машина, след което щракнете върху Напред.
5	На страницата Избор на изчислителен ресурс изберете целевия изчислителен ресурс и след това щракнете върху Напред. Извършва се проверка за валидиране. След като завърши, се показват подробностите за шаблона.
6	Проверете подробностите за шаблона и след това щракнете върху Напред.
7	Ако от вас бъде поискано да изберете конфигурацията на ресурсите на страницата Конфигурация , щракнете върху 4 процесора и след това щракнете върху Напред.
8	На страницата Избор на място за съхранение щракнете върху Напред , за да приемете формата на диска по подразбиране и правилата за съхранение на VM.
9	На страницата Избор на мрежи изберете опцията за мрежа от списъка със записи, за да осигурите желаната свързаност към VM.
10	На страницата Персонализиране на шаблон конфигурирайте следните мрежови настройки: Име на хост – въведете FQDN (име на хост и домейн) или една дума име на хост за възела. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509. За да гарантирате успешна регистрация в облака, използвайте само малки знаци във FQDN или името на хоста, които сте задали за възела. Капитализацията не се поддържа в този момент. Общата дължина на FQDN не трябва да надвишава 64 знака. IP адрес – Въведете IP адреса за вътрешния интерфейс на възела. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. Маска – Въведете адреса на маската на подмрежата с точка и запетая. Например 255.255.255.0. Шлюз – въведете IP адреса на шлюза. Шлюза е мрежов възел, който служи като точка за достъп до друга мрежа. DNS сървъри – Въведете списък с DNS сървъри, разделени със запетая, които обработват преобразуването на имената на домейни в цифрови IP адреси. (Разрешени са до 4 DNS записа.) NTP сървъри – Въведете NTP сървъра на вашата организация или друг външен NTP сървър, който може да се използва във вашата организация. NTP сървърите по подразбиране може да не работят за всички предприятия. Можете също да използвате списък, разделен със запетая, за да въведете няколко NTP сървъра. Разположете всички възли в една и съща подмрежа или VLAN, така че всички възли в клъстера да са достъпни от клиентите във вашата мрежа за административни цели. Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройване на VM на хибридна защита на данни , за да конфигурирате настройките от конзолата за възли. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
11	Щракнете с десния бутон върху възела VM и след това изберете Захранване > Включване. Софтуерът за хибридна защита на данни е инсталиран като гост на VM Host. Вече сте готови да влезете в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да усетите забавяне от няколко минути, преди контейнерите с възли да се появят. На конзолата се появява съобщение за защитна стена на мост по време на първото зареждане, по време на което не можете да влезете.

Настройване на VM на хибридна защита на данни

Използвайте тази процедура, за да влезете за първи път в конзолата на възела на хибридна защита на данни и да зададете данните за вход. Можете също да използвате конзолата, за да конфигурирате мрежовите настройки за възела, ако не сте ги конфигурирали по време на разполагането на OVA.

1	В клиента на VMware vSphere изберете своя възел на хибридна защита на данни VM и изберете раздела Конзола . VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Enter.
2	Използвайте следните данни за влизане и парола по подразбиране, за да влезете и да промените идентификационните данни: Влизане: `администратор` Парола: `cisco` Тъй като влизате във вашия VM за първи път, трябва да промените паролата на администратора.
3	Ако вече сте конфигурирали мрежовите настройки в Инсталиране на HDS Host OVA, пропуснете останалата част от тази процедура. В противен случай в главното меню изберете опцията Редактиране на конфигурацията .
4	Настройте статична конфигурация с IP адрес, маска, шлюз и DNS информация. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.
5	(По избор) Променете името на хоста, домейна или NTP сървъра(ите), ако е необходимо, за да съответстват на мрежовите ви правила. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509.
6	Запишете мрежовата конфигурация и рестартирайте VM, за да влязат в сила промените.

Качване и монтиране на конфигурация ISO на HDS

Използвайте тази процедура, за да конфигурирате виртуалната машина от ISO файла, който сте създали с инструмента за настройка на HDS.

Преди да започнете

Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на база „трябва да знаете“, за достъп от VM на хибридна защита на данни и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до datastore.

1

Качете ISO файла от компютъра си:

В левия навигационен екран на клиента VMware vSphere щракнете върху сървъра ESXi.
В списъка с хардуери на раздела за конфигуриране щракнете върху Място за съхранение.
В списъка Datastores щракнете с десния бутон върху datastore за вашите VMs и щракнете върху Преглед на Datastore.
Щракнете върху иконата Качване на файлове и след това щракнете върху Качване на файл.
Намерете местоположението, където сте изтеглили ISO файла на компютъра си, и щракнете върху Отвори.
Щракнете върху Да , за да приемете предупреждението за операцията за качване/изтегляне, и затворете диалоговия прозорец за данни.

2

Монтиране на ISO файла:

В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
Щракнете върху OK , за да приемете предупреждението за ограничени опции за редактиране.
Щракнете върху CD/DVD диск 1, изберете опцията за монтаж от ISO файл datastore и намерете местоположението, където сте качили конфигурационния ISO файл.
Отметнете Свързан и Свързване при включване.
Запишете промените си и рестартирайте виртуалната машина.

Какво да направите след това

Ако правилата за ИТ изискват, можете по избор да демонтирате ISO файла, след като всички ваши възли поемат промените в конфигурацията. Вижте (По избор) Демонтиране на ISO след конфигуриране на HDS за подробности.

Конфигуриране на HDS възел за интегриране на прокси сървър

Ако мрежовата среда изисква прокси, използвайте тази процедура, за да укажете вида на прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачен проверяващ прокси или HTTPS изричен прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главния сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните всички потенциални проблеми.

Преди да започнете

Вижте Поддръжка на прокси за общ преглед на поддържаните опции за прокси.
Изисквания към прокси сървъра

1	Въведете URL адреса за настройка на HDS възел `https://[HDS Възел IP или FQDN]/настройка` в уеб браузър, въведете администраторски идентификационни данни, които сте настроили за възела и след това щракнете върху Вход.
2	Отидете на Хранилище на доверие & Прокси , след което изберетеопция: Няма прокси сървър – опцията по подразбиране, преди да интегрирате прокси сървър. Не се изисква актуализация на сертификата. Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата. Прокси сървър за прозрачна проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра. Не httpS конфигурация промени са необходими в разполагането на защитата на хибридни данни, обаче HDS възли се нуждаят от главен сертификат, така че те се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS). Изричен прокси сървър – С изричния прокси сървър казвате на клиента (HDS възли) кой прокси сървър да използва, и тази опция поддържа няколко типа удостоверяване. След като изберете тази опция, трябва да въведете следната информация: Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик. Прокси протокол – изберете http (преглежда и управлява всички заявки, които се получават от клиента) или https (осигурява канал към сървъра и клиентът получава и валидира сертификата на сървъра). Изберете опция въз основа на това, което поддържа вашият прокси сървър. Тип удостоверяване – изберете измежду следните типове удостоверяване: Няма – Не се изисква допълнително удостоверяване. Налична за HTTP или HTTPS проксита. Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране. Налична за HTTP или HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата. Предлага се само за HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Изпълнете следващите стъпки за прозрачен проверяващ прокси, HTTP изрично прокси с базово удостоверяване или HTTPS изрично прокси.
3	Щракнете върху Качване на главен сертификат или Сертификат за краен обект и след това навигирайте до изберете главния сертификат запрокси. Сертификатът се качва, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката chevron по името на издателя на сертификата, за да получите повече подробности или щракнете върху Изтрий, ако сте направили грешка и искате да качите повторно файла.
4	Щракнете върху Проверка на прокси връзката, за да тествате мрежовата свързаност между възела и прокси. Ако тестът за връзка е неуспешен, ще видите съобщение за грешка, което показва причината и как можете да коригирате проблема. Ако видите съобщение, което казва, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на блокирано външно DNS разрешаване. Ако мислите, че това е грешка, изпълнете тези стъпки и след това вижте Изключване на режима на блокирано външно разрешаване на DNS.
5	След като тестът за връзка премине, за изрично прокси настроен само на https, включете превключването към Маршрут всички порт 443/444 https заявки от този възел през изрично прокси. Тази настройка изисква 15 секунди, за да влязат в сила.
6	Щракнете върху Инсталиране на всички сертификати в хранилището на гаранти (появява се за HTTPS изрично прокси или прозрачен проверяващ прокси) или Рестартиране (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете върху Инсталиране, ако сте готови. Възелът се рестартира в рамките на няколко минути.
7	След рестартирането на възела влезте отново, ако е необходимо, след което отворете страницата Общ преглед, за да проверите проверките за свързване, за да се уверите, че всички те са в зелено състояние. Проверката на прокси връзката тества само поддомейн от webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират в прокси.

Регистриране на първия възел в клъстера

Тази задача взема генеричния възел, който сте създали в Настройване на хибридна защита на данни VM, регистрира възела с облака на Webex и го превръща във възел на хибридна защита на данни.

Когато регистрирате първия си възел, създавате клъстер, към който е разпределен възелът. Клъстерът съдържа един или повече възли, разгърнати за осигуряване на резерв.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Настройка.
4	На страницата, която се отваря, щракнете върху Добавяне на ресурс.
5	В първото поле на картата Добавяне на възел въведете име за клъстера, на който искате да разпределите вашия възел на хибридна защита на данни. Препоръчваме ви да посочите клъстер въз основа на географското местоположение на клъстера. Примери: „Сан Франциско“ или „Ню Йорк“ или „Далас“
6	Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне в долната част на екрана. Този IP адрес или FQDN трябва да съвпада с IP адреса или името на хоста и домейна, които сте използвали в Настройване на VM на хибридна защита на данни. Появява се съобщение, което показва, че можете да регистрирате възела в Webex.
7	Щракнете върху Към възел. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация в Webex за достъп до вашия възел.
8	Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex.
9	Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. На страницата Хибридна защита на данни новият клъстер, съдържащ възела, който сте регистрирали, се показва под раздела Ресурси . Възелът автоматично ще изтегли най-новия софтуер от облака.

Създаване и регистриране на още възли

За да добавите допълнителни възли към вашия клъстер, просто създавате допълнителни VM и монтирате същия конфигурационен ISO файл, след което регистрирайте възела. Препоръчваме ви да имате поне 3 възела.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталиране на HDS Host OVA.
2	Настройте първоначалната конфигурация на новия VM, като повторите стъпките в Настройване на хибридна защита на данни VM.
3	На новия VM повторете стъпките в Качване и монтиране на ISO на конфигурацията на HDS.
4	Ако настройвате прокси сървър за разполагането си, повторете стъпките в Конфигуриране на възела на HDS за интеграция на прокси сървър , както е необходимо за новия възел.
5	Регистрирайте възела. В https://admin.webex.com изберете Услуги от менюто от лявата страна на екрана. В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Преглед на всички. Показва се страницата с ресурси за хибридна защита на данни. Новосъздаденият клъстер ще се появи на страницата Ресурси . Щракнете върху клъстера, за да видите възлите, разпределени към клъстера. Щракнете върху Добавяне на възел от дясната страна на екрана. Въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне. Отваря се страница със съобщение, което показва, че можете да регистрирате възела си в облака Webex. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация за достъп до вашия възел. Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex. Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. Изскачащото съобщение Добавен възел също се появява в долната част на екрана в Partner Hub. Възелът ви е регистриран.

Управление на организации на клиенти в хибридна защита на данни с много клиенти

Активиране на HDS с много клиенти в Partner Hub

Тази задача гарантира, че всички потребители на клиентските организации могат да започнат да използват HDS за локални ключове за шифроване и други услуги за защита.

Преди да започнете

Уверете се, че сте завършили настройването на своя клъстер на HDS с много клиенти с необходимия брой възли.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките.
4	Щракнете върху Активиране на HDS на картата Статус на HDS .

Добавяне на организации на клиенти в Partner Hub

В тази задача задавате клиентски организации към вашия клъстер на хибридна защита на данни.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	Щракнете върху клъстера, към който искате да бъде разпределен клиент.
5	Отидете в раздела Зададени клиенти .
6	Щракнете върху Добавяне на клиенти.
7	Изберете клиента, който искате да добавите, от падащото меню.
8	Щракнете върху Добавяне, клиентът ще бъде добавен към клъстера.
9	Повторете стъпки 6 до 8, за да добавите множество клиенти към вашия клъстер.
10	Щракнете върху Готово в долната част на екрана, след като сте добавили клиентите.

Какво да направите след това

Изпълнете инструмента за настройка на HDS, както е подробно описано в Създаване на главни ключове на клиенти (CMK) с помощта на инструмента за настройка на HDS , за да завършите процеса на настройка.

Създаване на главни ключове (CMK) за клиента с помощта на инструмента за настройка на хибридни съобщения

Преди да започнете

Разпределете клиенти към съответния клъстер, както е подробно описано в Добавяне на организации на клиенти в Partner Hub. Стартирайте инструмента за настройка на HDS, за да завършите процеса на настройка за новодобавените клиентски организации.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете. Осигурете свързване с вашата база данни, за да извършите управление на CMK.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Създаване на CMK за всички организации или Създаване на CMK – щракнете върху този бутон на банера в горната част на екрана, за да създадете CMK за всички новодобавени организации. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Създаване на CMK , за да създадете CMK за всички новодобавени организации. Щракнете върху ... близо до управлението на CMK в очакване на статуса на определена организация в таблицата и щракнете върху Създаване на CMK , за да създадете CMK за тази организация.
12	След като създаването на CMK е успешно, статусът в таблицата ще се промени от управление на CMK в очакване на управление на CMK.
13	Ако създаването на CMK е неуспешно, ще се покаже грешка.

Премахване на организации на клиенти

Преди да започнете

След като бъдат премахнати, потребителите на организации на клиенти няма да могат да използват HDS за своите нужди от шифроване и ще загубят всички съществуващи места. Преди да премахнете клиентски организации, се свържете със своя партньор в Cisco или мениджър на акаунти.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	В раздела Ресурси щракнете върху клъстера, от който искате да премахнете клиентските организации.
5	На страницата, която се отваря, щракнете върху Зададени клиенти.
6	От списъка с клиентски организации, които се показват, щракнете върху ... от дясната страна на клиентската организация, която искате да премахнете, и щракнете върху Премахване от клъстера.

Какво да направите след това

Завършете процеса на премахване, като анулирате CMK на клиентските организации, както е подробно описано в Анулиране на CMK на клиенти, премахнати от HDS.

Анулиране на CMK на клиенти, премахнати от HDS.

Преди да започнете

Премахнете клиенти от съответния клъстер, както е подробно описано в Премахване на организации на клиенти. Стартирайте инструмента за настройка на HDS, за да завършите процеса на премахване за организациите на клиента, които са премахнати.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Анулиране на CMK за всички организации или Анулиране на CMK – щракнете върху този бутон на банера в горната част на екрана, за да анулирате CMK на всички организации, които са премахнати. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Анулиране на CMK , за да анулирате CMK на всички организации, които са премахнати. Щракнете върху … близо до CMK, за да бъде отменено състоянието на определена организация в таблицата и щракнете върху Анулиране на CMK , за да анулирате CMK за тази конкретна организация.
12	След успешното анулиране на CMK организацията на клиента повече няма да се показва в таблицата.
13	Ако отмяната на CMK е неуспешно, ще се покаже грешка.

Тестване на вашето разполагане на хибридна защита на данни

Използвайте тази процедура, за да тествате сценариите за шифроване на хибридна защита на данни с много клиенти.

Преди да започнете

Настройте своето разполагане на хибридна защита на данни с много клиенти.
Уверете се, че имате достъп до syslog, за да потвърдите, че ключовите заявки се подават към вашето разполагане на хибридна защита на данни с много клиенти.

1

Бутоните за дадено място се задават от създателя на мястото. Влезте в приложението Webex като един от потребителите на организацията на клиентите и след това създайте място.

Ако деактивирате разполагането на хибридна защита на данни, съдържанието в местата, които създават потребителите, вече не е достъпно, след като бъдат заменени кешираните от клиента копия на ключовете за шифроване.

2

Изпратете съобщения до новото място.

3

Проверете изхода на syslog, за да потвърдите, че ключовите заявки се прехвърлят към вашето разполагане на хибридна защита на данни.

За да проверите за потребител, който първо създава защитен канал към KMS, филтрирайте на kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

Трябва да намерите запис като следния (идентификатори, съкратени за четливост):

2020-07-21 17:35:34.562 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-1] - [KMS:ЗАЯВКА] получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: //hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

За да проверите за потребител, който иска съществуващ ключ от KMS, филтрирайте на kms.data.method=retrieve и kms.data.type=KEY:

Трябва да намерите запис, като:

2020-07-21 17:44:19.889 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-31] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ключ, филтрирайте на kms.data.method=create и kms.data.type=KEY_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:21.975 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-33] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ресурсен обект (KRO), когато се създава пространство или друг защитен ресурс, филтрирайте на kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:22.808 (+0000) ИНФОРМАЦИЯ KMS [pool-15-thread-1] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Наблюдение на изправността на хибридна защита на данни

Индикатор за статус в Partner Hub ви показва дали всичко е наред с разполагането на хибридна защита на данни с много клиенти. За по-активно предупреждаване се запишете за известия по имейл. Ще бъдете уведомени, когато има аларми, засягащи услугата, или надстройки на софтуера.

1	В Partner Hub изберете Услуги от менюто от лявата страна на екрана.
2	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките. Показва се страницата с настройки за хибридна защита на данни.
3	В раздела \„Имейл известия\“ въведете един или повече имейл адреси, разделени със запетаи, и натиснете Enter.

Управление на вашето разполагане на HDS

Управление на разполагането на HDS

Използвайте описаните тук задачи, за да управлявате своето разполагане на хибридна защита на данни.

Задаване на график за надстройване на клъстери

Надстройките на софтуера за хибридна защита на данни се извършват автоматично на ниво клъстер, което гарантира, че всички възли винаги изпълняват една и съща софтуерна версия. Надстройванията се извършват съгласно графика за надстройване за клъстера. Когато е налична надстройка на софтуера, имате възможност ръчно да надстроите клъстера преди планираното време за надстройване. Можете да зададете конкретен график за надстройване или да използвате графика по подразбиране от 3:00 ч. дневно в Съединените щати: Америка/Лос Анджелис. Можете също да изберете да отложите предстоящото надстройване, ако е необходимо.

За да зададете графика за надстройване:

1	Влезте в Центъра за партньори.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Настройка
4	На страницата с ресурси за хибридна защита на данни изберете клъстера.
5	Щракнете върху раздела Настройки на клъстера .
6	На страницата с настройки на клъстери под „График за надстройване“ изберете часа и часовата зона за графика за надстройване. Забележка: Под часовата зона се показват следващата налична дата и час на надстройване. Можете да отложите надстройването до следващия ден, ако е необходимо, като щракнете върху Отложи с 24 часа.

Промяна на конфигурацията на възела

От време на време може да се наложи да промените конфигурацията на вашия възел за защита на хибридни данни поради причина като:

Промяна на x.509 сертификати поради изтичане или други причини.

Не поддържаме промяна на CN името на домейн на сертификат. Домейнът трябва да съответства на оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.

Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или обратното. За да превключите средата на базата данни, започнете ново внедряване на Hybrid Data Security.
Създаване на нова конфигурация за подготовка на нов център за данни.

Също така, за целите на защитата, Hybrid Data Security използва пароли за сервизен акаунт, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, ги разполагате на всеки от вашите HDS възли във файла ISO config. Когато паролите на вашата организация са към изтичане, получавате известие от екипа на Webex за нулиране на паролата за вашия машинен акаунт. (Имейлът включва текста „Използвайте API на машинния акаунт, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:

Софтуерно нулиране – И двете стари и нови пароли работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране – Старите пароли спират да работят незабавно.

Ако вашите пароли изтекат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно хардуерно нулиране и подмяна на ISO файла на всички възли.

Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни права на администратор на партньор.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в 1.e. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Имате нужда от ISO, когато правите промени в конфигурацията, включително идентификационни данни на база данни, актуализации на сертификати или промени в правилата за оторизация.

1	Използвайки Docker на локална машина, стартирайте HDS Setup Tool. В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате. За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro` При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa` Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен` Уверете се, че сте изтеглили най-новия инструмент за настройка за тази процедура. Версиите на инструмента, създадени преди 22 февруари 2018 г., нямат екрани за нулиране на парола. Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В нормални среди с HTTPSпрокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате "Express сървър слушане на порт 8080." Използвайте браузър, за да се свържете с localhost, `http://127.0.0.1:8080`. Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Когато получите подкана, въведете идентификационните си данни за влизане за клиент на Partner Hub и след това щракнете върху Приемане , за да продължите. Импортирайте текущия конфигурационен ISO файл. Следвайте подканите, за да завършите инструмента и да изтеглите актуализирания файл. За да затворите инструмента за настройка, напишете `CTRL+C`. Създайте резервно копие на актуализирания файл в друг център за данни.
2	Ако имате работещ само един HDS възел, създайте нов VM възел на хибридна защита на данни и го регистрирайте, като използвате новия конфигурационен ISO файл. За по-подробни инструкции вижте Създаване и регистриране на още възли. Инсталирайте HDS хост OVA. Настройте HDS VM. Монтирайте актуализирания конфигурационен файл. Регистрирайте новия възел в Partner Hub.
3	За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: Изключете виртуалната машина. В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките. Щракнете върху `CD / DVD диск 1 , изберете опцията за монтиране от ISO файл и`прегледайте местоположението, където сте изтеглили новия конфигурационен ISO файл. Поставете отметка на Свързване при включване. Запазете промените си и включете виртуалната машина.
4	Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация.

Изключване на режим на блокирана външна DNS разделителна способност

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. Ако DNS сървърът на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на блокирана външна DNS разделителна способност.

Ако вашите възли са в състояние да разреши публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим чрез повторно изпълнение на теста за прокси връзка на всеки възел.

Преди да започнете

Гарантирайте, че вашите вътрешни DNS сървъри могат да разрешават публични DNS имена, както и че вашите възли могат да комуникират с тях.

1	В уеб браузър отворете интерфейса на възела "Защита на хибридните данни" (IP адрес/настройка например въведете идентификационни данни за администриране, които https://192.0.2.0/setup), сте задали за възела, след което щракнете върху Влизане.
2	Отидете на Общ преглед (страницата по подразбиране). Когато е разрешено, блокирани външна DNS разделителна способност е зададена да .
3	Отидете на страницата Хранилище на доверие & Прокси.
4	Щракнете върху Проверка на прокси връзката. Ако видите съобщение, казващо, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра и ще остане в този режим. В противен случай, след като рестартирате възела и да се върнете към страницата общ преглед, Блокиран външен DNS разделителна способност трябва да бъде зададено на не.

Какво да направите след това

Повторете теста за прокси връзка на всеки възел във вашия клъстер за защита на хибридни данни.

Премахване на възел

Използвайте тази процедура, за да премахнете възел на хибридна защита на данни от облака Webex. След като премахнете възела от клъстера, изтрийте виртуалната машина, за да предотвратите по-нататъшен достъп до вашите данни за защита.

1

Използвайте клиента на VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуалната машина.

2

Премахване на възела:

Влезте в Partner Hub и изберете Услуги.
В картата на хибридна защита на данни щракнете върху Преглед на всички , за да покажете страницата с ресурси за хибридна защита на данни.
Изберете своя клъстер, за да се покаже неговият панел \„Общ преглед\“.
Щракнете върху възела, който искате да премахнете.
Щракнете върху Дерегистриране на този възел на панела, който се появява вдясно
Можете също да дерегистрирате възела, като щракнете върху ... от дясната страна на възела и изберете Премахване на този възел.

3

В клиента vSphere изтрийте VM. (В левия навигационен екран щракнете с десния бутон върху VM и щракнете върху Изтрий.)

Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за защита.

Възстановяване след бедствие с използване на центъра за данни в режим на готовност

Най-критичната услуга, която вашият клъстер на хибридна защита на данни предоставя, е създаването и съхранението на ключове, използвани за шифроване на съобщения и друго съдържание, съхранени в облака на Webex. За всеки потребител в рамките на организацията, който е разпределен към хибридна защита на данни, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът също така е отговорен за връщането на създадените ключове на всички потребители, упълномощени да ги извлекат, например членове на място за разговори.

Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат подходящи резервни копия. Загубата на базата данни за хибридна защита на данни или на конфигурационния ISO, използван за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентското съдържание. За предотвратяване на такава загуба са задължителни следните практики:

Ако при бедствие разполагането на HDS в основния център за данни стане недостъпно, следвайте тази процедура, за да се върнете ръчно към центъра за данни в режим на готовност.

Преди да започнете

Премахнете регистрацията на всички възли от Partner Hub, както е посочено в Премахване на възел. Използвайте най-новия ISO файл, конфигуриран спрямо възлите на клъстера, който преди това е бил активен, за да извършите посочената по-долу процедура за преместване при отказ.

1	Стартирайте инструмента за настройка на HDS и следвайте стъпките, споменати в Създаване на конфигурационен ISO за хостовете на HDS.
2	Завършете процеса на конфигуриране и запишете ISO файла на лесно за намиране място.
3	Направете резервно копие на ISO файла в локалната си система. Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.
4	В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
5	Щракнете върху Редактиране на настройките >CD/DVD диск 1 и изберете Datastore ISO файл. Уверете се, че са отметнати Свързани и Свързване при включване , за да могат актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.
6	Включете възела на HDS и се уверете, че няма аларми поне 15 минути.
7	Регистрирайте възела в Partner Hub. Вижте Регистриране на първия възел в клъстера.
8	Повторете процеса за всеки възел в центъра за данни в режим на готовност.

Какво да направите след това

След отказ, ако основният център за данни се активира отново, премахнете регистрацията на възлите на центъра за данни в режим на готовност и повторете процеса на конфигуриране на ISO и регистриране на възлите на основния център за данни, както е посочено по-горе.

(По избор) Демонтиране на ISO след конфигуриране на HDS

Стандартната конфигурация на HDS работи с монтирания ISO. Но някои клиенти предпочитат да не оставят ISO файловете постоянно монтирани. Можете да разглобите ISO файла, след като всички възли на HDS поемат новата конфигурация.

Все още използвате ISO файловете, за да направите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всички ваши HDS възли. След като всички ваши възли са приели промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.

Преди да започнете

Надстройте всички ваши HDS възли до версия 2021.01.22.4720 или по-нова.

1	Затворете един от възлите си за HDS.
2	В уреда vCenter Server изберете възела на HDS.
3	Изберете Редактиране на настройките > CD/DVD диск и премахнете отметката от Datastore ISO файл.
4	Включете възела на HDS и се уверете, че няма аларми поне 20 минути.
5	Повторете за всеки HDS възел на смяна.

Отстраняване на неизправности в хибридна защита на данни

Преглед на предупрежденията и отстраняване на неизправности

Разполагането на хибридна защита на данни се счита за налично, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че отнема време. Ако потребителите не могат да се свържат с вашия клъстер на хибридна защита на данни, те изпитват следните симптоми:

Не могат да се създават нови места (не могат да се създадат нови ключове)
Неуспешно дешифриране на съобщенията и заглавията на пространството за:
- Нови потребители, добавени към място (не могат да се извлекат ключове)
- Съществуващи потребители в място с помощта на нов клиент (не могат да се извлекат ключовете)
Съществуващите потребители в дадено място ще продължат да се изпълняват успешно, стига клиентите им да имат кеш с ключовете за шифроване

Важно е да наблюдавате правилно своя клъстер на хибридна защита на данни и да обръщате бързо към всички предупреждения, за да избегнете прекъсване на услугата.

Предупреждения

Ако има проблем с настройката на хибридна защита на данни, Partner Hub показва предупреждения до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Предупрежденията обхващат много общи сценарии.

Таблица 1. Общи проблеми и стъпки за тяхното разрешаване
Предупреждение	Действие
Отказ на достъп до локална база данни.	Проверете за грешки в базата данни или проблеми с локалната мрежа.
Неуспешна връзка с локалната база данни.	Проверете дали сървърът с база данни е достъпен и дали са използвани правилните идентификационни данни за акаунта за услуга в конфигурацията на възела.
Неуспешен достъп до услугата в облака.	Проверете дали възлите имат достъп до сървърите на Webex, както е посочено в Изисквания за външна свързаност.
Подновяване на регистрацията за услуги в облака.	Регистрацията в услугите в облака беше прекъсната. Протича подновяване на регистрацията.
Регистрацията на услуги в облака е прекъсната.	Регистрирането в облачни услуги е прекратено. Услугата се затваря.
Услугата все още не е активирана.	Активирайте HDS в Partner Hub.
Конфигурираният домейн не съответства на сертификата на сървъра.	Уверете се, че сертификатът на сървъра ви съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата наскоро е променен и сега е различен от CN, който е бил използван по време на първоначалната настройка.
Неуспешно удостоверяване в услугите в облака.	Проверете за точност и възможно изтичане на идентификационните данни за акаунта за услугата.
Неуспешно отваряне на локалния файл на клавиатурата.	Проверете за целостта и точността на паролата във файла с локалния клавиатура.
Сертификатът за локален сървър е невалиден.	Проверете датата на изтичане на сертификата на сървъра и потвърдете, че той е издаден от надежден сертифициращ орган.
Неуспешно публикуване на метриките.	Проверете достъпа до локалната мрежа до външни облачни услуги.
Директорията /media/configdrive/hds не съществува.	Проверете конфигурацията за монтаж на ISO на виртуалния хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и дали се монтира успешно.
Настройката на организация на клиент не е завършена за добавените организации	Завършете настройката, като създадете CMK за новодобавени организации на клиенти с помощта на инструмента за настройка на хибридни съобщения.
Настройката на организация на клиента не е завършена за премахнатите организации	Завършете настройката чрез анулиране на CMK на организациите на клиенти, които са премахнати с помощта на инструмента за настройка на хибридни телефони (HDS).

Отстраняване на неизправности в хибридна защита на данни

Използвайте следните общи насоки, когато отстранявате проблеми с хибридна защита на данни.

1	Прегледайте Partner Hub за предупреждения и коригирайте всички елементи, които намерите там. Вижте изображението по-долу за справка.
2	Прегледайте изхода на сървъра syslog за активност от разполагането на хибридна защита на данни. Филтрирайте за думи като „Предупреждение“ и „Грешка“, за да помогнете при отстраняване на неизправности.
3	Свържете се с поддръжката на Cisco.

Други бележки

Известни проблеми с хибридната защита на данните

Ако затворите своя клъстер на хибридна защита на данни (като го изтриете в Partner Hub или като затворите всички възли), загубите своя ISO файл за конфигуриране или загубите достъп до базата данни на клавиатурата, потребителите на приложението Webex на клиентските организации вече няма да могат да използват пространства в своя списък "Хора", създадени с ключове от вашия KMS. В момента нямаме заобиколно решение или корекция за този проблем и ви призовавам да не затваряте услугите си за HDS, след като обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за период от време (вероятно един час).

Използване на OpenSSL за генериране на PKCS12 файл

Преди да започнете

OpenSSL е един инструмент, който може да се използва за създаване на PKCS12 файл в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини за това и ние не подкрепяме и не насърчаваме един път над друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като ръководство, за да ви помогнем да създадете файл, който отговаря на изискванията за сертификат X.509 в Изисквания за сертификат X.509. Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижте https://www.openssl.org софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификата на сървъра от вашия сертифициращ орган (CA).

1	Когато получите сертификата на сървъра от вашия CA, запишете го като `hdsnode.pem`.
2	Показване на сертификата като текст и проверете подробностите. `openssl x509 -текст -noout -в hdsnode.pem`
3	Използвайте текстов редактор, за да създадете файл пакет сертификат, наречен `hdsnode-bundle.pem`. Пакетният файл трябва да включва сертификата на сървъра, всички междинни CA сертификати и корневи CA сертификати в следния формат: `-----начало на сертификат----- ### сертификат на сървър. ### -----край на сертификат--------------- начало на сертификат------ ### Междинен CA сертификат. ### -----край на сертификат--------------- начало на сертификат------ ### Корневи CA сертификат. ### -----край на сертификат-----`
4	Създайте .p12 файла с приятелското име `kms-частен-ключ`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверете подробностите за сертификата на сървъра. `openssl pkcs12 -в hdsnode.p12` Въведете парола при подкана да шифровате частния ключ, така че да се показва в изхода. След това се уверете, че частният ключ и първият сертификат включват линиите `friendlyName: kms-частен-ключ`. Пример: bash$ openssl pkcs12 -in hdsnode.p12 Въведете паролата за импортиране: MAC потвърди атрибути OK Bag friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключови атрибути: Въведете фраза за преминаване на PEM: Потвърждаване – Въведете фраза за достъп до PEM: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Какво да направите след това

Върнете се, за да изпълните изискванията за хибридна защита на данни. Ще използвате файла hdsnode.p12 и паролата, която сте задали за него, в Създаване на конфигурационен ISO за организаторите на HDS.

Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато първоначалният сертификат изтече.

Трафик между възлите на HDS и облака

Изходящ трафик за събиране на метрики

Възлите на хибридна защита на данни изпращат определени показатели към облака на Webex. Те включват системни метрики за heap max, използван heap, натоварване на процесора и брой нишки; метрики за синхронните и асинхронните нишки; метрики за предупрежденията, включващи праг на шифроване връзки, латентност или дължина на опашката за заявки; метрики за datastore; и метрики за връзката за шифроване. Възлите изпращат материали за шифрован ключ през нечестотен (отделен от заявката) канал.

Входящ трафик

Възлите на хибридна защита на данни получават следните типове входящ трафик от облака на Webex:

Заявки за шифроване от клиенти, които се маршрутизират от услугата за шифроване
Надстройки до софтуера за възли

Конфигуриране на прокси сървъри за хибридна защита на данните

Websocket не може да се свърже чрез сепия прокси

Прокси сървърите, които инспектират HTTPS трафика, могат да повлияят на създаването на websocket (в к:) връзки, които изискват хибридната защита на данните. Тези раздели дават насоки как да конфигурирате различни версии на Калмар, за да игнорирате wss: трафик за правилното функциониране на услугите.

Калмята 4 и 5

Добавете on_unsupported_protocol директивата към squid.conf:

on_unsupported_protocol тунел

Сепия 3.5.27

Успешно тествахме Hybrid Data Security със следните правила, добавени към squid.conf. Тези правила подлежат на промяна, тъй като разработваме функции и актуализираме webex облака.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump надничане step1 всички ssl_bump stare step2 всички ssl_bump bump step3 всички

Нова и променена информация

Тази таблица обхваща нови функции или функционалности, промени в съществуващото съдържание и всички големи грешки, които са поправени в Ръководство за разполагане за хибридна защита на данните с много клиенти.

Дата	Направени промени
15 януари 2025 г.	Добавени ограничения на хибридната защита на данните с много клиенти.
08 януари 2025 г.	Добавена е бележка в Извършване на първоначална настройка и изтегляне на инсталационни файлове , в която се посочва, че щракването върху Настройка на HDS картата в Partner Hub е важна стъпка от процеса на инсталиране.
07 януари 2025 г.	Актуализирани изисквания за виртуален хост, Поток от задачи за разполагане на хибридна защита на данни, и Инсталиране на HDS Host OVA , за да се покаже ново изискване на ESXi 7.0.
13 декември 2024 г.	Публикувана за първи път.

Деактивиране на хибридна защита на данни с много клиенти

Поток на задачи за деактивиране на HDS с много клиенти

Изпълнете тези стъпки, за да деактивирате напълно HDS с много клиенти.

Преди да започнете

Тази задача трябва да се изпълнява само от администратор с пълни права на партньор.

1	Премахнете всички клиенти от всичките ви клъстери, както е посочено в Премахване на организации на клиенти.
2	Анулирайте CMK на всички клиенти, както е посочено в Анулиране на CMK на клиенти, премахнати от HDS..
3	Премахнете всички възли от всичките ви клъстери, както е посочено в Премахване на възел.
4	Изтрийте всичките си клъстери от Partner Hub, като използвате един от следните два метода. Щракнете върху клъстера, който искате да изтриете, и изберете Изтриване на този клъстер в горния десен ъгъл на страницата за общ преглед. На страницата „Ресурси“ щракнете върху ... от дясната страна на клъстер и изберете Премахване на клъстер.
5	Щракнете върху раздела Настройки на страницата за общ преглед на хибридната защита на данни и щракнете върху Деактивиране на хибридната защита на данни в картата за статус на HDS.

Първи стъпки с хибридна защита на данните с много клиенти

Общ преглед на хибридна защита на данни с няколко клиента

От първия ден сигурността на данните е основният фокус при проектирането на приложението Webex. Крайъгълният камък на тази защита е цялостното шифроване на съдържание, разрешено от клиентите на приложението Webex, които взаимодействат с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографски ключове, които клиентите използват за динамично криптиране и дешифриране на съобщения и файлове.

По подразбиране всички клиенти на приложението Webex получават цялостно шифроване с динамични ключове, съхранявани в облака KMS, в областта на защитата на Cisco. Хибридната защита на данните премества KMS и други свързани със сигурността функции във вашия корпоративен център за данни, така че никой освен вас не държи ключовете за вашето криптирано съдържание.

Хибридната защита на данните с много клиенти позволява на организациите да използват HDS чрез надежден местен партньор, който може да действа като доставчик на услуги и да управлява локално шифроване и други услуги за защита. Тази настройка позволява на партньорската организация да има пълен контрол върху разполагането и управлението на ключове за шифроване и гарантира, че потребителските данни на клиентските организации са безопасни от външен достъп. Партньорските организации настройват HDS екземпляри и създават HDS клъстери, ако е необходимо. Всеки екземпляр може да поддържа няколко клиентски организации за разлика от нормалното разполагане на HDS, което е ограничено до една организация.

Въпреки че партньорските организации имат контрол върху разполагането и управлението, те нямат достъп до данни и съдържание, генерирани от клиентите. Този достъп е ограничен до клиентски организации и техните потребители.

Това също така позволява по-малките организации да използват HDS, тъй като услугата за управление на ключове и инфраструктурата за сигурност, като центровете за данни, са собственост на доверения местен партньор.

Как хибридната защита на данните с няколко клиента осигурява суверенитет на данните и контрол на данните

Генерираното от потребителите съдържание е защитено от външен достъп, като например доставчици на облачни услуги.
Местните доверени партньори управляват ключовете за шифроване на клиенти, с които вече имат установени отношения.
Опция за местна техническа поддръжка, ако бъде предоставена от партньора.
Поддържа съдържание в Meetings, Messaging и Calling.

Този документ има за цел да помогне на партньорските организации да настройват и управляват клиенти в система за хибридна защита на данните с много клиенти.

Ограничения на хибридната защита на данните с много клиенти

Партньорските организации не трябва да имат съществуващо активно разполагане на HDS в Control Hub.
Организациите на клиенти или клиенти, които желаят да бъдат управлявани от партньор, не трябва да имат съществуващо разполагане на HDS в Control Hub.
След като HDS за множество клиенти бъде разгърнат от партньора, всички потребители на клиентски организации, както и потребители на партньорската организация, започват да използват HDS за множество клиенти за своите услуги за шифроване.

Партньорската организация и клиентските организации, които управляват, ще бъдат на едно и също разполагане на HDS с много клиенти.

Партньорската организация вече няма да използва KMS в облака след разгръщането на HDS с много клиенти.
Няма механизъм за преместване на ключовете обратно към Cloud KMS след разполагане на HDS.
В момента всяко разполагане на HDS с много клиенти може да има само един клъстер, с множество възли под него.
Ролите на администратор имат определени ограничения; вижте раздела по-долу за подробности.

Роли в хибридна защита на данните с няколко клиента

Администратор на партньор с пълни права – може да управлява настройките за всички клиенти, които партньорът управлява. Могат също да възлагат администраторски роли на съществуващи потребители в организацията и да задават конкретни клиенти, които да бъдат управлявани от администратори на партньора.
Администратор на партньор – може да управлява настройките за клиенти, които администраторът е предоставил или които са зададени на потребителя.
Пълен администратор – администратор на партньорската организация, който е упълномощен да изпълнява задачи, като промяна на настройките на организацията, управление на лицензи и задаване на роли.

Цялостно настройване и управление на HDS с много клиенти на всички клиентски организации – изискват се пълен администратор на партньор и права на пълен администратор.
Управление на зададените организации на клиенти – изискват се администратор на партньор и права на пълен администратор.

Архитектура на областта на сигурността

Архитектурата на облака на Webex разделя различните типове услуги в отделни области или домейни на доверие, както е описано по-долу.

За да разберем по-подробно хибридната защита на данните, нека първо разгледаме този случай в облака, където Cisco предоставя всички функции в своите облачни области. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логично и физически отделена от областта на защитата в центъра за данни B. И двете от своя страна са отделени от областта, в която в крайна сметка се съхранява шифровано съдържание, в центъра за данни C.

На тази схема клиентът е приложението Webex, което се изпълнява на лаптопа на потребителя, и е удостоверен с услугата за самоличност. Когато потребителят композира съобщение за изпращане до интервал, се извършват следните стъпки:

Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за шифроване на съобщението. Защитената връзка използва ECDH, а KMS шифрова ключа с помощта на главния ключ AES-256.
Съобщението е шифровано преди да напусне клиента. Клиентът го изпраща на услугата за индексиране, която създава шифровани индекси за търсене, за да подпомогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща на услугата за съответствие за проверки за съответствие.
Шифрованото съобщение се съхранява в областта на мястото за съхранение.

Когато разположите хибридна защита на данни, премествате функциите на областта на защитата (KMS, индексиране и съответствие) в своя локален център за данни. Другите услуги в облака, които съставляват Webex (включително съхранение на самоличност и съдържание), остават в областите на Cisco.

Сътрудничество с други организации

Потребителите във вашата организация могат редовно да използват приложението Webex за сътрудничество с външни участници в други организации. Когато един от вашите потребители поиска ключ за място, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашата KMS изпраща ключа на клиента чрез ECDH защитен канал. Когато обаче друга организация притежава ключа за пространството, вашият KMS маршрутизира заявката към облака Webex чрез отделен ECDH канал, за да получи ключа от съответния KMS и след това връща ключа на вашия потребител в оригиналния канал.

Услугата KMS, изпълнявана в организация А, валидира връзките към KMS в други организации, като използва x.509 PKI сертификати. Вижте Подготовка на средата за подробности относно генерирането на сертификат x.509, който да се използва при вашето разполагане на хибридна защита на данни с много клиенти.

Очаквания за внедряване на хибридна защита на данни

Внедряването на хибридна защита на данни изисква значителна ангажираност и осведоменост за рисковете, които идват от притежаването на ключове за шифроване.

За да разположите хибридна защита на данни, трябва да предоставите:

Защитен център за данни в страна, която е поддържано местоположение за плановете на Cisco Webex Teams.
Оборудването, софтуерът и мрежовият достъп, описани в Подготовка на средата.

Пълната загуба или на конфигурационния ISO, който изграждате за хибридна защита на данни, или на базата данни, която предоставяте, ще доведе до загуба на ключове. Загубата на ключове не позволява на потребителите да дешифрират съдържанието в пространството и други шифровани данни в приложението Webex. Ако това се случи, можете да изградите ново разполагане, но ще се вижда само новото съдържание. За да избегнете загуба на достъп до данни, трябва:

Управлявайте архивирането и възстановяването на базата данни и конфигурационния ISO.
Бъдете готови да извършите бързо възстановяване след бедствие, ако възникне катастрофа, като повреда на диска на базата данни или бедствие на центъра за данни.

Няма механизъм за преместване на ключовете обратно в облака след разполагане на HDS.

Процес на настройка на високо ниво

Този документ обхваща настройката и управлението на разполагането на хибридна защита на данни с много клиенти:

Настройване на хибридна защита на данни – това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данни, изграждане на клъстер на HDS, добавяне на организации на клиенти към клъстера и управление на техните главни ключове на клиенти (CMK). Това ще даде възможност на всички потребители на вашите клиентски организации да използват вашия клъстер на хибридна защита на данни за функции за защита.

Етапите на настройка, активиране и управление са разгледани подробно в следващите три глави.
Поддържайте разполагането на хибридна защита на данни – Облакът на Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да предостави поддръжка от първо ниво за това разполагане и да ангажира поддръжката на Cisco, ако е необходимо. В Partner Hub можете да използвате известия на екрана и да настроите имейл предупреждения.
Разбиране на често срещаните предупреждения, стъпките за отстраняване на неизправности и известни проблеми – ако срещнете проблеми при разполагането или използването на хибридна защита на данни, последната глава от това ръководство и приложението „Известни проблеми“ могат да ви помогнат да определите и коригирате проблема.

Модел на разполагане на хибридна защита на данни

В рамките на вашия корпоративен център за данни разполагате с хибридна защита на данни като един клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака на Webex чрез защитени уеб сокети и защитен HTTP.

По време на процеса на инсталиране ви предоставяме файла OVA, за да настроите виртуалния уред на VMs, които предоставяте. Използвайте инструмента за настройка на HDS, за да създадете персонализиран ISO файл за конфигуриране на клъстери, който да монтирате на всеки възел. Клъстерът на хибридна защита на данни използва предоставения ви сървър Syslogd и базата данни на PostgreSQL или Microsoft SQL Server. (Можете да конфигурирате подробностите за връзката на Syslogd и базата данни в инструмента за настройка на HDS.)

Модел на разполагане на хибридна защита на данни

Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне по три на клъстер. Наличието на множество възли гарантира, че услугата не се прекъсва по време на надстройка на софтуера или друга дейност по поддръжка на даден възел. (Облакът на Webex надгражда само един възел в даден момент.)

Всички възли в клъстера имат достъп до един и същ файл с ключове и регистрационната активност към един и същ syslog сървър. Самите възли са без гражданство и обработват ключови заявки в кръгла форма, както е указано от облака.

Възлите стават активни, когато ги регистрирате в Partner Hub. За да излезете от експлоатация отделен възел, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.

Standby Data Center за възстановяване при бедствия

По време на разгръщането настройвате защитен център за данни в режим на готовност. В случай на бедствие на центъра за данни можете ръчно да не успеете при разполагането си в центъра за данни в режим на готовност.

Базите данни на активните центрове за данни и центровете за данни в режим на готовност са синхронизирани помежду си, което ще сведе до минимум времето, необходимо за извършване на превключването при отказ.

Активните възли на хибридна защита на данни трябва винаги да бъдат в същия център за данни като активния сървър с база данни.

Поддръжка на прокси

Hybrid Data Security поддържа изрични, прозрачни проверяващи и неинспектационни проксита. Можете да свържете тези проксита към разполагането си, така че да можете да подсигурите и наблюдавате трафика от предприятието навън към облака. Можете да използвате администраторски интерфейс на платформа на възлите за управление на сертификати и да проверите цялостното състояние на свързване, след като настроите прокси сървъра на възлите.

Хибридните възли за защита на данните поддържат следните опции за прокси:

Няма прокси сървър – Стойността по подразбиране, ако не използвате конфигурацията за настройка на HDS възел на доверено хранилище и прокси сървър за интегриране на прокси сървър. Не се изисква актуализация на сертификата.
Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси сървъра – възлите не са конфигурирани да използват определен адрес на прокси сървъра. На възлите не са необходими промени в конфигурацията на HTTP или HTTPS. Възлите обаче се нуждаят от главен сертификат, така че да се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS).
Изричен прокси сървър – С изричния прокси сървър казвате на HDS кои прокси сървъри и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
1. Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината.
2. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик.
3. Прокси протокол – в зависимост от това, което поддържа прокси сървърът ви, изберете между следните протоколи:
  - HTTP—Преглежда и контролира всички заявки, които клиентът изпраща.
  - HTTPS—Предоставя канал на сървъра. Клиентът получава и валидира сертификата на сървъра.
4. Тип удостоверяване – изберете измежду следните типове удостоверяване:
  - Няма – Не се изисква допълнително удостоверяване.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
  - Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.
  - Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата.
    
    Предлага се само ако изберете HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.

Пример за хибридни данни сигурност възли и прокси

Тази диаграма показва примерна връзка между защитата на хибридните данни, мрежата и прокси. За прозрачния инспектиращ и HTTPS изричен инспектиращ прокси опции, един и същ главен сертификат трябва да бъде инсталиран на прокси и на хибридните възли за защита на данните.

Блокиран режим на външна DNS разделителна способност (изрични прокси конфигурации)

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. В разполагане с изрични прокси конфигурации, които не позволяват външна DNS разделителна способност за вътрешни клиенти, ако възелът не може да заявка DNS сървъри, тя автоматично преминава в режим блокирани външни DNS резолюция. В този режим може да се процедира регистрация на възли и други тестове за свързване на прокси.

Подготовка на средата

Изисквания за хибридна защита на данните с няколко клиента

Изисквания за лицензи за Cisco Webex

За да разположите хибридна защита на данните с много клиенти:

Партньорски организации: Свържете се със своя партньор в Cisco или мениджър на акаунти и се уверете, че функцията за много клиенти е активирана.
Организации на клиента: Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижте https://www.cisco.com/go/pro-pack.)

Изисквания за закачане на работния плот

Преди да инсталирате възлите на HDS, трябва Docker Desktop, за да изпълните инсталационна програма. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker е Актуализиране и разширяване на нашите абонаментиза продукти".

X.509 Изисквания за сертификата

Веригата на сертификатите трябва да отговаря на следните изисквания:

Таблица 1. X.509 Изисквания за сертификата за разполагане на хибридна защита на данни
Изискване	Подробности
Подписан от надежден сертифициращ орган (CA)	По подразбиране се доверяваме на сертифициращите органи в списъка на Mozilla (с изключение на WoSign и StartCom) на https://wiki.mozilla.org/CA:IncludedCAs.
Носи общо име (CN) име на домейн, което идентифицира вашето разполагане на хибридна защита на данни Не е заместващ сертификат	CN не е нужно да е достъпен или хост на живо. Препоръчваме ви да използвате име, което отразява вашата организация, например `hds.company.com`. CN не трябва да съдържа * (заместващ символ). CN се използва за проверка на възлите на хибридна защита на данни за клиентите на приложението Webex. Всички възли на хибридна защита на данни във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на CN домейна, а не с произволен домейн, дефиниран в полетата x.509v3 SAN. След като сте регистрирали възел с този сертификат, не поддържаме промяна на името на CN домейна.
Подпис, който не е SHA1	Софтуерът KMS не поддържа подписи SHA1 за валидиране на връзки с KMS на други организации.
Форматиран като защитен с парола PKCS #12 файл Използвайте приятелското име на `kms-private-key` , за да маркирате сертификата, частния ключ и всички междинни сертификати за качване.	Можете да използвате конвертор, като OpenSSL, за да промените формата на сертификата си. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS.

Софтуерът KMS не налага използване на ключове или не разширява ограниченията за използване на ключове. Някои сертифициращи органи изискват за всеки сертификат да се прилагат разширени ограничения за използване на ключа, като например удостоверяване на сървъра. Добре е да използвате удостоверяване на сървъра или други настройки.

Изисквания за виртуален организатор

Виртуалните хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер, имат следните изисквания:

Поне два отделни хоста (препоръчва се 3), разположени съвместно в един и същ защитен център за данни
VMware ESXi 7.0 (или по-нова версия) е инсталиран и работи.

Трябва да надстроите, ако имате по-стара версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално място на твърдия диск на сървър

Изисквания към сървъра за база данни

Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.

Има две опции за сървъра с база данни. Изискванията за всеки от тях са, както следва:

Таблица 2. Изисквания за сървъра с база данни по тип база данни
PostgreSQL	Microsoft SQL сървър
PostgreSQL 14, 15 или 16, инсталиран и се изпълнява.	Инсталиран е SQL Server 2016, 2017, или 2019 (корпоративен или стандартен). SQL Server 2016 изисква Service Pack 2 и Кумулативна актуализация 2 или по-нова версия.
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)	Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)

HDS софтуерът в момента инсталира следните версии на драйвери за комуникация със сървъра с база данни:

PostgreSQL

Microsoft SQL сървър

Postgres JDBC драйвер 42.2.5

SQL Server JDBC драйвер 4.6

Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстера при отказ и Винаги включен групи за наличност).

Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server

Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни на Keystore на Microsoft SQL Server, тогава е необходима следната конфигурация във вашата среда:

Възлите на HDS, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Акаунтът за Windows, който предоставяте на възли на HDS, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възли, трябва да могат да разрешават вашия център за разпределение на ключове (KDC).
Можете да регистрирате екземпляра на базата данни на HDS на Microsoft SQL Server като основно име на услуга (SPN) на Active Directory. Вижте Регистриране на основно име на услуга за Kerberos връзки.

Инструментът за настройка на HDS, HDS стартера и локалния KMS трябва да използват удостоверяване на Windows за достъп до базата данни на Keystore. Те използват подробностите от вашата ISO конфигурация, за да конструират SPN, когато заявяват достъп с удостоверяване на Kerberos.

Изисквания за външна връзка

Конфигурирайте защитната стена, за да разрешите следната свързаност за приложенията на хибридна защита на данни:

Приложение	Протокол	Порт	Посока от приложението	Местоназначение
Възли на хибридна защита на данни	TCP	443	Изходящи HTTPS и ВиК	Сървъри на Webex: .wbx2.com .ciscospark.com Всички организатори на Common Identity Други URL адреси, които са изброени за хибридна защита на данни в таблицата Допълнителни URL адреси за хибридни услуги на Webex на мрежовите изисквания за услугите на Webex
Инструмент за настройка на HDS	TCP	443	Изходящ HTTPS	*.wbx2.com Всички организатори на Common Identity hub.docker.com

Възлите на хибридна защита на данни работят с превод на мрежовия достъп (NAT) или зад защитна стена, при условие че NAT или защитната стена позволяват необходимите изходящи връзки към местоназначенията на домейна в предходната таблица. За връзки, влизащи във входящи възли на хибридна защита на данни, от интернет не трябва да се виждат портове. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите на хибридна защита на данни на TCP портове 443 и 22 за административни цели.

URL адресите за хостовете на Common Identity (CI) са специфични за региона. Това са текущите организатори на CI:

Регион	URL адреси на организатор на Common Identity
Северна и Южна Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейски съюз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com
Сингапур	https://idbroker-sg.webex.com https://identity-sg.webex.com
Обединени арабски емирства	https://idbroker-ae.webex.com https://identity-ae.webex.com

Изисквания към прокси сървъра

Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли hybrid Data Security.
- Прозрачен прокси-Уред за уеб защита cisco (WSA).
- Изрична прокси-Сепия.
  
  Прокси сървърите, които инспектират HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да работите по този проблем, вижте Конфигуриране на прокси сървъри за хибридна защита на данни.
Ние поддържаме следните комбинации от тип удостоверяване за изрични проксита:
- Без удостоверяване с HTTP или HTTPS
- Базово удостоверяване с HTTP или HTTPS
- Смилане на удостоверяване само с HTTPS
За прозрачен проверяващ прокси или HTTPS изрично прокси, трябва да имате копие на главния сертификат на прокси. Инструкциите за разполагане в това ръководство ви казват как да качите копието в магазините за доверие на хибридните възли за защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик на порт 443 да маршрутизира през прокси сървъра.
Прокситата, които инспектират уеб трафика, може да пречат на връзките с уеб гнездото. Ако възникне този проблем, заобикалянето (не инспектирането) на трафика към wbx2.com и ciscospark.com ще реши проблема.

Изпълнете предварителните изисквания за хибридна защита на данни

Използвайте този контролен списък, за да гарантирате, че сте готови да инсталирате и конфигурирате своя клъстер на хибридна защита на данни.

1	Уверете се, че вашата партньорска организация има активирана функция за HDS с няколко клиента и получавате идентификационните данни за акаунт с пълен администратор на партньор и права на пълен администратор. Уверете се, че вашата организация на клиенти на Webex е разрешена за Pro Pack за Cisco Webex Control Hub. Свържете се с вашия партньор в Cisco или мениджър на акаунти за помощ с този процес. Организациите на клиентите не трябва да имат съществуващо разполагане на HDS.
2	Изберете име на домейн за разполагането на HDS (например `hds.company.com`) и получете верига от сертификати, съдържаща сертификат X.509, частен ключ и всички междинни сертификати. Веригата на сертификатите трябва да отговаря на изискванията в X.509 Изисквания за сертификат.
3	Подгответе идентични виртуални хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер. Имате нужда от поне два отделни организатора (препоръчва се 3), разположени съвместно в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален организатор.
4	Подгответе сървъра с база данни, който ще действа като хранилище на данни за ключа за клъстера в съответствие с изискванията за сървъра с база данни. Сървърът на базата данни трябва да бъде разположен съвместно в защитения център за данни с виртуалните хостове. Създайте база данни за съхранение на ключове. (Трябва да създадете тази база данни – не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.) Съберете подробностите, които ще използват възлите за комуникация със сървъра с база данни: име на хост или IP адрес (хост) и порт името на базата с данни (dbname) за съхранение на ключа потребителското име и паролата на потребител с всички привилегии в базата данни за съхранение на ключа
5	За бързо възстановяване след бедствие настройте архивна среда в друг център за данни. Резервната среда отразява производствената среда на VMs и резервен сървър с база данни. Например, ако производството има 3 VMs, работещи с HDS възли, резервната среда трябва да има 3 VMs.
6	Настройте хост на syslog, за да събирате регистрационни файлове от възлите в клъстера. Съберете мрежовия му адрес и порта за syslog (по подразбиране е UDP 514).
7	Създайте правила за защитено архивиране за възлите на хибридна защита на данни, сървъра с база данни и хоста на syslog. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите на хибридна защита на данни. Тъй като възлите на хибридна защита на данни съхраняват ключовете, използвани за шифроване и дешифроване на съдържание, неподдържането на оперативно разполагане ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на това съдържание. Клиентите на приложението Webex кешират ключовете си, така че прекъсването може да не се забележи веднага, но ще стане очевидно с течение на времето. Въпреки че е невъзможно да се предотвратят временните прекъсвания, те са възстановими. Обаче пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. От операторите на възлите на хибридна защита на данни се очаква да поддържат чести резервни копия на базата данни и конфигурационния ISO файл и да бъдат готови да възстановят центъра за данни на хибридна защита на данни, ако възникне катастрофална грешка.
8	Уверете се, че конфигурацията на защитната ви стена позволява свързване за вашите възли на хибридна защита на данни, както е описано в Изисквания за външна свързаност.
9	Инсталирайте Docker ( https://www.docker.com) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова или Mac OSX Yosemite 10.10.3 или по-нова версия) с уеб браузър, който може да получи достъп до нея на http://127.0.0.1:8080. Можете да използвате екземпляр на Docker, за да изтеглите и изпълните инструмента за настройка на HDS, който изгражда информацията за локална конфигурация за всички възли на хибридна защита на данни. Може да ви е необходим лиценз за настолен компютър за docker. Вижте Изисквания за закачане на работния плот за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има възможността за свързване, описана в Изисквания за външна свързаност.
10	Ако интегрирате прокси сървър с хибридна защита на данните, уверете се, че той отговаря на изискванията за прокси сървър.

Настройване на клъстер на хибридна защита на данни

Поток на задачи за разполагане на хибридна защита на данни

Преди да започнете

1	Извършване на първоначална настройка и изтегляне на инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късно използване.
2	Създаване на конфигурационен ISO за хостовете на HDS Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите на хибридна защита на данни.
3	Инсталиране на HDS Host OVA Създайте виртуална машина от OVA файла и изпълнете първоначалната конфигурация, като например мрежови настройки. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
4	Настройване на VM на хибридна защита на данни Влезте в конзолата на VM и задайте данните за вход. Конфигурирайте мрежовите настройки за възела, ако не сте ги конфигурирали към момента на разполагането на OVA.
5	Качване и монтиране на конфигурация ISO на HDS Конфигурирайте VM от ISO конфигурационния файл, който сте създали с инструмента за настройка на HDS.
6	Конфигуриране на HDS възел за интегриране на прокси сървър Ако мрежовата среда изисква конфигурация на прокси сървър, укажете типа прокси сървър, който ще използвате за възела, и добавете прокси сертификата към хранилището на гаранти, ако е необходимо.
7	Регистриране на първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел на хибридна защита на данни.
8	Създаване и регистриране на още възли Завършете настройката на клъстера.
9	Активирайте HDS с много клиенти в Partner Hub. Активирайте HDS и управлявайте организации на клиенти в Partner Hub.

Извършване на първоначална настройка и изтегляне на инсталационни файлове

В тази задача изтегляте OVA файл на вашата машина (а не на сървърите, които сте настроили като възли на хибридна защита на данни). Ще използвате този файл по-късно в процеса на инсталиране.

1	Влезте в Partner Hub и щракнете върху Услуги.
2	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и след това щракнете върху Настройка. Щракването върху Настройка в Partner Hub е критично за процеса на разполагане. Не продължете с инсталирането, без да завършите тази стъпка.
3	Щракнете върху Добавяне на ресурс и щракнете върху Изтегляне на .OVA файл на картата Инсталиране и конфигуриране на софтуера . По-старите версии на софтуерния пакет (OVA) няма да бъдат съвместими с най-новите надстройки на хибридна защита на данни. Това може да доведе до проблеми при надстройване на приложението. Уверете се, че сте изтеглили най-новата версия на OVA файла. Можете също да изтеглите OVA по всяко време от раздела Помощ . Щракнете върху Настройки > Помощ > Изтегляне на софтуер за хибридна защита на данни. OVA файлът започва автоматично да се изтегля. Запишете файла на местоположение на машината си.
4	Като опция щракнете върху Вижте ръководството за разполагане на хибридна защита на данни , за да проверите дали има налична по-нова версия на това ръководство.

Създаване на конфигурационен ISO за хостовете на HDS

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт в Partner Hub с пълни администраторски права.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5 по-долу. Тази таблица дава някои възможни променливи на средата:

Описание

Променлива

HTTP прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTPS прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTP прокси с удостоверяване

GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS прокси с удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

1

В командния ред на вашата машина въведете подходящата команда за вашата среда:

В нормални среди:

докер rmi ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер rmi ciscocitg/hds-setup-fedramp: стабилен

Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

2

За да влезете в регистъра на изображения на Docker, въведете следното:

докер вход -u hdscustomersro

3

При подканата за парола въведете този хеш:

dckr_pat_aDP6V4KkrvpBwa

4

Изтеглете най-новото стабилно изображение за вашата среда:

В нормални среди:

докер издърпване ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер издърпване ciscocitg/hds-setup-fedramp: стабилен

5

Когато изтеглянето приключи, въведете подходящата команда за вашата среда:

В нормални среди без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В нормални среди с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В редовни среди с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В среди на FedRAMP без прокси:

докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен

В среди на FedRAMP с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В среди на FedRAMP с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.

6

Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost.

Използвайте уеб браузър, за да отидете на localhost, http://127.0.0.1:8080 и въведете администраторското потребителско име за Partner Hub в подканата.

Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.

7

Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.

8

На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.

9

На страницата Импортиране на ISO имате следните опции:

Не– Ако създавате първия си HDS възел, нямате ISO файл за качване.
Да – Ако вече сте създали HDS възли, тогава изберете своя ISO файл в прегледа и го качете.

10

Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат.

Ако никога не сте качили сертификат преди, качете сертификата X.509, въведете паролата и щракнете върху Продължи.
Ако сертификатът ви е ОК, щракнете върху Продължи.
Ако сертификатът ви е изтекъл или искате да го замените, изберете Не за Продължаване на използването на веригата за сертификати на HDS и частния ключ от предишния ISO?. Качете нов сертификат X.509, въведете паролата и щракнете върху Продължи.

11

Въведете адреса на базата данни и акаунта за HDS, за да получите достъп до ключовия си datastore:

Изберете вашия тип база данни (PostgreSQL или Microsoft SQL Server).

Ако изберете Microsoft SQL Server, получавате поле за тип удостоверяване.
(Само за Microsoft SQL Server ) Изберете вашия тип удостоверяване:
- Базово удостоверяване: Необходимо е име на локален акаунт за SQL Server в полето Потребителско име .
- Удостоверяване на Windows: Имате нужда от акаунт за Windows във формат username@DOMAIN в полето Потребителско име .
Въведете адреса на сървъра с база данни във формуляра : или :.

Пример:
dbhost.example.org:1433 или 198.51.100.17:1433

Можете да използвате IP адрес за базово удостоверяване, ако възлите не могат да използват DNS за решаване на името на хоста.

Ако използвате удостоверяване на Windows, трябва да въведете напълно квалифицирано име на домейн във формат dbhost.example.org:1433
Въведете името на базата данни.
Въведете Потребителско име и Парола на потребител с всички привилегии в базата данни за съхранение на ключа.

12

Изберете режим на свързване с база данни TLS:

Режим	Описание
Предпочитане на TLS (опция по подразбиране)	HDS възлите не изискват TLS да се свърже със сървъра на базата данни. Ако разрешите TLS на сървъра с база данни, възлите правят опит за шифрована връзка.
Изисквайте TLS	HDS възли се свързват само ако сървърът на базата данни може да договори TLS.
Изисквайте TLS и проверете подписвача на сертификати	Този режим не е приложим за бази данни на SQL Server. HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.
Изисквайте TLS и проверете подписалия сертификат и хостовото име	HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Възлите също така проверяват дали името на хоста в сертификата на сървъра съвпада с името на хоста в полето Хост и порт в базата данни . Имената трябва да съвпадат точно или възелът пуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.

Когато качите корневи сертификат (ако е необходимо) и щракнете върху Продължи, инструментът за настройка на хибридна защита на данни тества TLS връзката към сървъра с база данни. Инструментът също така проверява подписалите сертификата и hostname, ако е приложимо. Ако даден тест е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързването възлите на HDS може да са в състояние да установят TLS връзката, дори ако машината с инструмента за настройка на HDS не може да я тества успешно.)

13

На страницата „Системни регистрационни файлове“ конфигурирайте сървъра си за Syslogd:

Въведете URL адреса на сървъра syslog.

Ако сървърът не може да се разрешава чрез DNS от възлите за вашия HDS клъстер, използвайте IP адрес в URL.

Пример:
udp://10.92.43.23:514 показва влизане в хоста Syslogd 10.92.43.23 на UDP порт 514.
Ако настроите сървъра си да използва TLS шифроване, отметнете Конфигуриран ли е вашият сървър syslog за SSL шифроване?.

Ако отметнете това квадратче, трябва да въведете URL адрес на TCP, като например tcp://10.92.43.23:514.
От падащия списък Избор на прекратяване на запис в syslog изберете подходящата настройка за вашия ISO файл: Избор или нов ред се използва за Graylog и Rsyslog TCP
- Нулев байт -- \x00
- Нов ред – \n – Изберете този избор за Graylog и Rsyslog TCP.
Щракнете върху Продължаване.

14

(По избор) Можете да промените стойността по подразбиране за някои параметри на връзката с база данни в Разширени настройки. По принцип този параметър е единственият, който може да искате да промените:

app_datasource_connection_pool_maxРазмер: 10

15

Щракнете върху Продължи на екрана Нулиране на паролата за акаунти за услуги .

Паролите за акаунта за услугата имат деветмесечен живот. Използвайте този екран, когато паролите ви наближават изтичане или искате да ги нулирате, за да invalidate previous ISO files.

16

Щракнете върху Изтегляне на ISO файл. Запишете файла на лесно за намиране място.

17

Направете резервно копие на ISO файла в локалната си система.

Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.

18

За да затворите инструмента за настройка, напишете CTRL+C.

Какво да направите след това

Архивиране на конфигурационния ISO файл. Необходимо е, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, ще загубите и главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.

Никога не разполагаме с копие на този ключ и не можем да ви помогнем, ако го изгубите.

Инсталиране на HDS Host OVA

Използвайте тази процедура, за да създадете виртуална машина от OVA файла.

1	Използвайте клиента VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi.
2	Изберете Файл > Разполагане на OVF шаблон.
3	В съветника укажете местоположението на OVA файла, който сте изтеглили по-рано, след което щракнете върху Напред.
4	На страницата Избор на име и папка въведете име на виртуална машина за възела (например "HDS_Node_1"), изберете местоположение, където може да се намира разполагането на възела на виртуалната машина, след което щракнете върху Напред.
5	На страницата Избор на изчислителен ресурс изберете целевия изчислителен ресурс и след това щракнете върху Напред. Извършва се проверка за валидиране. След като завърши, се показват подробностите за шаблона.
6	Проверете подробностите за шаблона и след това щракнете върху Напред.
7	Ако от вас бъде поискано да изберете конфигурацията на ресурсите на страницата Конфигурация , щракнете върху 4 процесора и след това щракнете върху Напред.
8	На страницата Избор на място за съхранение щракнете върху Напред , за да приемете формата на диска по подразбиране и правилата за съхранение на VM.
9	На страницата Избор на мрежи изберете опцията за мрежа от списъка със записи, за да осигурите желаната свързаност към VM.
10	На страницата Персонализиране на шаблон конфигурирайте следните мрежови настройки: Име на хост – въведете FQDN (име на хост и домейн) или една дума име на хост за възела. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509. За да гарантирате успешна регистрация в облака, използвайте само малки знаци във FQDN или името на хоста, които сте задали за възела. Капитализацията не се поддържа в този момент. Общата дължина на FQDN не трябва да надвишава 64 знака. IP адрес – Въведете IP адреса за вътрешния интерфейс на възела. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. Маска – Въведете адреса на маската на подмрежата с точка и запетая. Например 255.255.255.0. Шлюз – въведете IP адреса на шлюза. Шлюза е мрежов възел, който служи като точка за достъп до друга мрежа. DNS сървъри – Въведете списък с DNS сървъри, разделени със запетая, които обработват преобразуването на имената на домейни в цифрови IP адреси. (Разрешени са до 4 DNS записа.) NTP сървъри – Въведете NTP сървъра на вашата организация или друг външен NTP сървър, който може да се използва във вашата организация. NTP сървърите по подразбиране може да не работят за всички предприятия. Можете също да използвате списък, разделен със запетая, за да въведете няколко NTP сървъра. Разположете всички възли в една и съща подмрежа или VLAN, така че всички възли в клъстера да са достъпни от клиентите във вашата мрежа за административни цели. Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройване на VM на хибридна защита на данни , за да конфигурирате настройките от конзолата за възли. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
11	Щракнете с десния бутон върху възела VM и след това изберете Захранване > Включване. Софтуерът за хибридна защита на данни е инсталиран като гост на VM Host. Вече сте готови да влезете в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да усетите забавяне от няколко минути, преди контейнерите с възли да се появят. На конзолата се появява съобщение за защитна стена на мост по време на първото зареждане, по време на което не можете да влезете.

Настройване на VM на хибридна защита на данни

Използвайте тази процедура, за да влезете за първи път в конзолата на възела на хибридна защита на данни и да зададете данните за вход. Можете също да използвате конзолата, за да конфигурирате мрежовите настройки за възела, ако не сте ги конфигурирали по време на разполагането на OVA.

1	В клиента на VMware vSphere изберете своя възел на хибридна защита на данни VM и изберете раздела Конзола . VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Enter.
2	Използвайте следните данни за влизане и парола по подразбиране, за да влезете и да промените идентификационните данни: Влизане: `администратор` Парола: `cisco` Тъй като влизате във вашия VM за първи път, трябва да промените паролата на администратора.
3	Ако вече сте конфигурирали мрежовите настройки в Инсталиране на HDS Host OVA, пропуснете останалата част от тази процедура. В противен случай в главното меню изберете опцията Редактиране на конфигурацията .
4	Настройте статична конфигурация с IP адрес, маска, шлюз и DNS информация. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.
5	(По избор) Променете името на хоста, домейна или NTP сървъра(ите), ако е необходимо, за да съответстват на мрежовите ви правила. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509.
6	Запишете мрежовата конфигурация и рестартирайте VM, за да влязат в сила промените.

Качване и монтиране на конфигурация ISO на HDS

Използвайте тази процедура, за да конфигурирате виртуалната машина от ISO файла, който сте създали с инструмента за настройка на HDS.

Преди да започнете

Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на база „трябва да знаете“, за достъп от VM на хибридна защита на данни и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до datastore.

1

Качете ISO файла от компютъра си:

В левия навигационен екран на клиента VMware vSphere щракнете върху сървъра ESXi.
В списъка с хардуери на раздела за конфигуриране щракнете върху Място за съхранение.
В списъка Datastores щракнете с десния бутон върху datastore за вашите VMs и щракнете върху Преглед на Datastore.
Щракнете върху иконата Качване на файлове и след това щракнете върху Качване на файл.
Намерете местоположението, където сте изтеглили ISO файла на компютъра си, и щракнете върху Отвори.
Щракнете върху Да , за да приемете предупреждението за операцията за качване/изтегляне, и затворете диалоговия прозорец за данни.

2

Монтиране на ISO файла:

В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
Щракнете върху OK , за да приемете предупреждението за ограничени опции за редактиране.
Щракнете върху CD/DVD диск 1, изберете опцията за монтаж от ISO файл datastore и намерете местоположението, където сте качили конфигурационния ISO файл.
Отметнете Свързан и Свързване при включване.
Запишете промените си и рестартирайте виртуалната машина.

Какво да направите след това

Ако правилата за ИТ изискват, можете по избор да демонтирате ISO файла, след като всички ваши възли поемат промените в конфигурацията. Вижте (По избор) Демонтиране на ISO след конфигуриране на HDS за подробности.

Конфигуриране на HDS възел за интегриране на прокси сървър

Ако мрежовата среда изисква прокси, използвайте тази процедура, за да укажете вида на прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачен проверяващ прокси или HTTPS изричен прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главния сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните всички потенциални проблеми.

Преди да започнете

Вижте Поддръжка на прокси за общ преглед на поддържаните опции за прокси.
Изисквания към прокси сървъра

1	Въведете URL адреса за настройка на HDS възел `https://[HDS Възел IP или FQDN]/настройка` в уеб браузър, въведете администраторски идентификационни данни, които сте настроили за възела и след това щракнете върху Вход.
2	Отидете на Хранилище на доверие & Прокси , след което изберетеопция: Няма прокси сървър – опцията по подразбиране, преди да интегрирате прокси сървър. Не се изисква актуализация на сертификата. Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата. Прокси сървър за прозрачна проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра. Не httpS конфигурация промени са необходими в разполагането на защитата на хибридни данни, обаче HDS възли се нуждаят от главен сертификат, така че те се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS). Изричен прокси сървър – С изричния прокси сървър казвате на клиента (HDS възли) кой прокси сървър да използва, и тази опция поддържа няколко типа удостоверяване. След като изберете тази опция, трябва да въведете следната информация: Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик. Прокси протокол – изберете http (преглежда и управлява всички заявки, които се получават от клиента) или https (осигурява канал към сървъра и клиентът получава и валидира сертификата на сървъра). Изберете опция въз основа на това, което поддържа вашият прокси сървър. Тип удостоверяване – изберете измежду следните типове удостоверяване: Няма – Не се изисква допълнително удостоверяване. Налична за HTTP или HTTPS проксита. Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране. Налична за HTTP или HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата. Предлага се само за HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Изпълнете следващите стъпки за прозрачен проверяващ прокси, HTTP изрично прокси с базово удостоверяване или HTTPS изрично прокси.
3	Щракнете върху Качване на главен сертификат или Сертификат за краен обект и след това навигирайте до изберете главния сертификат запрокси. Сертификатът се качва, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката chevron по името на издателя на сертификата, за да получите повече подробности или щракнете върху Изтрий, ако сте направили грешка и искате да качите повторно файла.
4	Щракнете върху Проверка на прокси връзката, за да тествате мрежовата свързаност между възела и прокси. Ако тестът за връзка е неуспешен, ще видите съобщение за грешка, което показва причината и как можете да коригирате проблема. Ако видите съобщение, което казва, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на блокирано външно DNS разрешаване. Ако мислите, че това е грешка, изпълнете тези стъпки и след това вижте Изключване на режима на блокирано външно разрешаване на DNS.
5	След като тестът за връзка премине, за изрично прокси настроен само на https, включете превключването към Маршрут всички порт 443/444 https заявки от този възел през изрично прокси. Тази настройка изисква 15 секунди, за да влязат в сила.
6	Щракнете върху Инсталиране на всички сертификати в хранилището на гаранти (появява се за HTTPS изрично прокси или прозрачен проверяващ прокси) или Рестартиране (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете върху Инсталиране, ако сте готови. Възелът се рестартира в рамките на няколко минути.
7	След рестартирането на възела влезте отново, ако е необходимо, след което отворете страницата Общ преглед, за да проверите проверките за свързване, за да се уверите, че всички те са в зелено състояние. Проверката на прокси връзката тества само поддомейн от webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират в прокси.

Регистриране на първия възел в клъстера

Тази задача взема генеричния възел, който сте създали в Настройване на хибридна защита на данни VM, регистрира възела с облака на Webex и го превръща във възел на хибридна защита на данни.

Когато регистрирате първия си възел, създавате клъстер, към който е разпределен възелът. Клъстерът съдържа един или повече възли, разгърнати за осигуряване на резерв.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Настройка.
4	На страницата, която се отваря, щракнете върху Добавяне на ресурс.
5	В първото поле на картата Добавяне на възел въведете име за клъстера, на който искате да разпределите вашия възел на хибридна защита на данни. Препоръчваме ви да посочите клъстер въз основа на географското местоположение на клъстера. Примери: „Сан Франциско“ или „Ню Йорк“ или „Далас“
6	Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне в долната част на екрана. Този IP адрес или FQDN трябва да съвпада с IP адреса или името на хоста и домейна, които сте използвали в Настройване на VM на хибридна защита на данни. Появява се съобщение, което показва, че можете да регистрирате възела в Webex.
7	Щракнете върху Към възел. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация в Webex за достъп до вашия възел.
8	Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex.
9	Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. На страницата Хибридна защита на данни новият клъстер, съдържащ възела, който сте регистрирали, се показва под раздела Ресурси . Възелът автоматично ще изтегли най-новия софтуер от облака.

Създаване и регистриране на още възли

За да добавите допълнителни възли към вашия клъстер, просто създавате допълнителни VM и монтирате същия конфигурационен ISO файл, след което регистрирайте възела. Препоръчваме ви да имате поне 3 възела.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталиране на HDS Host OVA.
2	Настройте първоначалната конфигурация на новия VM, като повторите стъпките в Настройване на хибридна защита на данни VM.
3	На новия VM повторете стъпките в Качване и монтиране на ISO на конфигурацията на HDS.
4	Ако настройвате прокси сървър за разполагането си, повторете стъпките в Конфигуриране на възела на HDS за интеграция на прокси сървър , както е необходимо за новия възел.
5	Регистрирайте възела. В https://admin.webex.com изберете Услуги от менюто от лявата страна на екрана. В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Преглед на всички. Показва се страницата с ресурси за хибридна защита на данни. Новосъздаденият клъстер ще се появи на страницата Ресурси . Щракнете върху клъстера, за да видите възлите, разпределени към клъстера. Щракнете върху Добавяне на възел от дясната страна на екрана. Въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне. Отваря се страница със съобщение, което показва, че можете да регистрирате възела си в облака Webex. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация за достъп до вашия възел. Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex. Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. Изскачащото съобщение Добавен възел също се появява в долната част на екрана в Partner Hub. Възелът ви е регистриран.

Управление на организации на клиенти в хибридна защита на данни с много клиенти

Активиране на HDS с много клиенти в Partner Hub

Тази задача гарантира, че всички потребители на клиентските организации могат да започнат да използват HDS за локални ключове за шифроване и други услуги за защита.

Преди да започнете

Уверете се, че сте завършили настройването на своя клъстер на HDS с много клиенти с необходимия брой възли.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките.
4	Щракнете върху Активиране на HDS на картата Статус на HDS .

Добавяне на организации на клиенти в Partner Hub

В тази задача задавате клиентски организации към вашия клъстер на хибридна защита на данни.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	Щракнете върху клъстера, към който искате да бъде разпределен клиент.
5	Отидете в раздела Зададени клиенти .
6	Щракнете върху Добавяне на клиенти.
7	Изберете клиента, който искате да добавите, от падащото меню.
8	Щракнете върху Добавяне, клиентът ще бъде добавен към клъстера.
9	Повторете стъпки 6 до 8, за да добавите множество клиенти към вашия клъстер.
10	Щракнете върху Готово в долната част на екрана, след като сте добавили клиентите.

Какво да направите след това

Изпълнете инструмента за настройка на HDS, както е подробно описано в Създаване на главни ключове на клиенти (CMK) с помощта на инструмента за настройка на HDS , за да завършите процеса на настройка.

Създаване на главни ключове (CMK) за клиента с помощта на инструмента за настройка на хибридни съобщения

Преди да започнете

Разпределете клиенти към съответния клъстер, както е подробно описано в Добавяне на организации на клиенти в Partner Hub. Стартирайте инструмента за настройка на HDS, за да завършите процеса на настройка за новодобавените клиентски организации.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете. Осигурете свързване с вашата база данни, за да извършите управление на CMK.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Създаване на CMK за всички организации или Създаване на CMK – щракнете върху този бутон на банера в горната част на екрана, за да създадете CMK за всички новодобавени организации. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Създаване на CMK , за да създадете CMK за всички новодобавени организации. Щракнете върху ... близо до управлението на CMK в очакване на статуса на определена организация в таблицата и щракнете върху Създаване на CMK , за да създадете CMK за тази организация.
12	След като създаването на CMK е успешно, статусът в таблицата ще се промени от управление на CMK в очакване на управление на CMK.
13	Ако създаването на CMK е неуспешно, ще се покаже грешка.

Премахване на организации на клиенти

Преди да започнете

След като бъдат премахнати, потребителите на организации на клиенти няма да могат да използват HDS за своите нужди от шифроване и ще загубят всички съществуващи места. Преди да премахнете клиентски организации, се свържете със своя партньор в Cisco или мениджър на акаунти.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	В раздела Ресурси щракнете върху клъстера, от който искате да премахнете клиентските организации.
5	На страницата, която се отваря, щракнете върху Зададени клиенти.
6	От списъка с клиентски организации, които се показват, щракнете върху ... от дясната страна на клиентската организация, която искате да премахнете, и щракнете върху Премахване от клъстера.

Какво да направите след това

Завършете процеса на премахване, като анулирате CMK на клиентските организации, както е подробно описано в Анулиране на CMK на клиенти, премахнати от HDS.

Анулиране на CMK на клиенти, премахнати от HDS.

Преди да започнете

Премахнете клиенти от съответния клъстер, както е подробно описано в Премахване на организации на клиенти. Стартирайте инструмента за настройка на HDS, за да завършите процеса на премахване за организациите на клиента, които са премахнати.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Анулиране на CMK за всички организации или Анулиране на CMK – щракнете върху този бутон на банера в горната част на екрана, за да анулирате CMK на всички организации, които са премахнати. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Анулиране на CMK , за да анулирате CMK на всички организации, които са премахнати. Щракнете върху … близо до CMK, за да бъде отменено състоянието на определена организация в таблицата и щракнете върху Анулиране на CMK , за да анулирате CMK за тази конкретна организация.
12	След успешното анулиране на CMK организацията на клиента повече няма да се показва в таблицата.
13	Ако отмяната на CMK е неуспешно, ще се покаже грешка.

Тестване на вашето разполагане на хибридна защита на данни

Използвайте тази процедура, за да тествате сценариите за шифроване на хибридна защита на данни с много клиенти.

Преди да започнете

Настройте своето разполагане на хибридна защита на данни с много клиенти.
Уверете се, че имате достъп до syslog, за да потвърдите, че ключовите заявки се подават към вашето разполагане на хибридна защита на данни с много клиенти.

1

Бутоните за дадено място се задават от създателя на мястото. Влезте в приложението Webex като един от потребителите на организацията на клиентите и след това създайте място.

Ако деактивирате разполагането на хибридна защита на данни, съдържанието в местата, които създават потребителите, вече не е достъпно, след като бъдат заменени кешираните от клиента копия на ключовете за шифроване.

2

Изпратете съобщения до новото място.

3

Проверете изхода на syslog, за да потвърдите, че ключовите заявки се прехвърлят към вашето разполагане на хибридна защита на данни.

За да проверите за потребител, който първо създава защитен канал към KMS, филтрирайте на kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

Трябва да намерите запис като следния (идентификатори, съкратени за четливост):

2020-07-21 17:35:34.562 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-1] - [KMS:ЗАЯВКА] получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: //hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

За да проверите за потребител, който иска съществуващ ключ от KMS, филтрирайте на kms.data.method=retrieve и kms.data.type=KEY:

Трябва да намерите запис, като:

2020-07-21 17:44:19.889 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-31] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ключ, филтрирайте на kms.data.method=create и kms.data.type=KEY_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:21.975 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-33] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ресурсен обект (KRO), когато се създава пространство или друг защитен ресурс, филтрирайте на kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:22.808 (+0000) ИНФОРМАЦИЯ KMS [pool-15-thread-1] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Наблюдение на изправността на хибридна защита на данни

Индикатор за статус в Partner Hub ви показва дали всичко е наред с разполагането на хибридна защита на данни с много клиенти. За по-активно предупреждаване се запишете за известия по имейл. Ще бъдете уведомени, когато има аларми, засягащи услугата, или надстройки на софтуера.

1	В Partner Hub изберете Услуги от менюто от лявата страна на екрана.
2	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките. Показва се страницата с настройки за хибридна защита на данни.
3	В раздела \„Имейл известия\“ въведете един или повече имейл адреси, разделени със запетаи, и натиснете Enter.

Управление на вашето разполагане на HDS

Управление на разполагането на HDS

Използвайте описаните тук задачи, за да управлявате своето разполагане на хибридна защита на данни.

Задаване на график за надстройване на клъстери

Надстройките на софтуера за хибридна защита на данни се извършват автоматично на ниво клъстер, което гарантира, че всички възли винаги изпълняват една и съща софтуерна версия. Надстройванията се извършват съгласно графика за надстройване за клъстера. Когато е налична надстройка на софтуера, имате възможност ръчно да надстроите клъстера преди планираното време за надстройване. Можете да зададете конкретен график за надстройване или да използвате графика по подразбиране от 3:00 ч. дневно в Съединените щати: Америка/Лос Анджелис. Можете също да изберете да отложите предстоящото надстройване, ако е необходимо.

За да зададете графика за надстройване:

1	Влезте в Центъра за партньори.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Настройка
4	На страницата с ресурси за хибридна защита на данни изберете клъстера.
5	Щракнете върху раздела Настройки на клъстера .
6	На страницата с настройки на клъстери под „График за надстройване“ изберете часа и часовата зона за графика за надстройване. Забележка: Под часовата зона се показват следващата налична дата и час на надстройване. Можете да отложите надстройването до следващия ден, ако е необходимо, като щракнете върху Отложи с 24 часа.

Промяна на конфигурацията на възела

От време на време може да се наложи да промените конфигурацията на вашия възел за защита на хибридни данни поради причина като:

Промяна на x.509 сертификати поради изтичане или други причини.

Не поддържаме промяна на CN името на домейн на сертификат. Домейнът трябва да съответства на оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.

Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или обратното. За да превключите средата на базата данни, започнете ново внедряване на Hybrid Data Security.
Създаване на нова конфигурация за подготовка на нов център за данни.

Също така, за целите на защитата, Hybrid Data Security използва пароли за сервизен акаунт, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, ги разполагате на всеки от вашите HDS възли във файла ISO config. Когато паролите на вашата организация са към изтичане, получавате известие от екипа на Webex за нулиране на паролата за вашия машинен акаунт. (Имейлът включва текста „Използвайте API на машинния акаунт, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:

Софтуерно нулиране – И двете стари и нови пароли работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране – Старите пароли спират да работят незабавно.

Ако вашите пароли изтекат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно хардуерно нулиране и подмяна на ISO файла на всички възли.

Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни права на администратор на партньор.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в 1.e. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Имате нужда от ISO, когато правите промени в конфигурацията, включително идентификационни данни на база данни, актуализации на сертификати или промени в правилата за оторизация.

1	Използвайки Docker на локална машина, стартирайте HDS Setup Tool. В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате. За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro` При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa` Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен` Уверете се, че сте изтеглили най-новия инструмент за настройка за тази процедура. Версиите на инструмента, създадени преди 22 февруари 2018 г., нямат екрани за нулиране на парола. Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В нормални среди с HTTPSпрокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате "Express сървър слушане на порт 8080." Използвайте браузър, за да се свържете с localhost, `http://127.0.0.1:8080`. Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Когато получите подкана, въведете идентификационните си данни за влизане за клиент на Partner Hub и след това щракнете върху Приемане , за да продължите. Импортирайте текущия конфигурационен ISO файл. Следвайте подканите, за да завършите инструмента и да изтеглите актуализирания файл. За да затворите инструмента за настройка, напишете `CTRL+C`. Създайте резервно копие на актуализирания файл в друг център за данни.
2	Ако имате работещ само един HDS възел, създайте нов VM възел на хибридна защита на данни и го регистрирайте, като използвате новия конфигурационен ISO файл. За по-подробни инструкции вижте Създаване и регистриране на още възли. Инсталирайте HDS хост OVA. Настройте HDS VM. Монтирайте актуализирания конфигурационен файл. Регистрирайте новия възел в Partner Hub.
3	За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: Изключете виртуалната машина. В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките. Щракнете върху `CD / DVD диск 1 , изберете опцията за монтиране от ISO файл и`прегледайте местоположението, където сте изтеглили новия конфигурационен ISO файл. Поставете отметка на Свързване при включване. Запазете промените си и включете виртуалната машина.
4	Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация.

Изключване на режим на блокирана външна DNS разделителна способност

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. Ако DNS сървърът на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на блокирана външна DNS разделителна способност.

Ако вашите възли са в състояние да разреши публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим чрез повторно изпълнение на теста за прокси връзка на всеки възел.

Преди да започнете

Гарантирайте, че вашите вътрешни DNS сървъри могат да разрешават публични DNS имена, както и че вашите възли могат да комуникират с тях.

1	В уеб браузър отворете интерфейса на възела "Защита на хибридните данни" (IP адрес/настройка например въведете идентификационни данни за администриране, които https://192.0.2.0/setup), сте задали за възела, след което щракнете върху Влизане.
2	Отидете на Общ преглед (страницата по подразбиране). Когато е разрешено, блокирани външна DNS разделителна способност е зададена да .
3	Отидете на страницата Хранилище на доверие & Прокси.
4	Щракнете върху Проверка на прокси връзката. Ако видите съобщение, казващо, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра и ще остане в този режим. В противен случай, след като рестартирате възела и да се върнете към страницата общ преглед, Блокиран външен DNS разделителна способност трябва да бъде зададено на не.

Какво да направите след това

Повторете теста за прокси връзка на всеки възел във вашия клъстер за защита на хибридни данни.

Премахване на възел

Използвайте тази процедура, за да премахнете възел на хибридна защита на данни от облака Webex. След като премахнете възела от клъстера, изтрийте виртуалната машина, за да предотвратите по-нататъшен достъп до вашите данни за защита.

1

Използвайте клиента на VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуалната машина.

2

Премахване на възела:

Влезте в Partner Hub и изберете Услуги.
В картата на хибридна защита на данни щракнете върху Преглед на всички , за да покажете страницата с ресурси за хибридна защита на данни.
Изберете своя клъстер, за да се покаже неговият панел \„Общ преглед\“.
Щракнете върху възела, който искате да премахнете.
Щракнете върху Дерегистриране на този възел на панела, който се появява вдясно
Можете също да дерегистрирате възела, като щракнете върху ... от дясната страна на възела и изберете Премахване на този възел.

3

В клиента vSphere изтрийте VM. (В левия навигационен екран щракнете с десния бутон върху VM и щракнете върху Изтрий.)

Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за защита.

Възстановяване след бедствие с използване на центъра за данни в режим на готовност

Най-критичната услуга, която вашият клъстер на хибридна защита на данни предоставя, е създаването и съхранението на ключове, използвани за шифроване на съобщения и друго съдържание, съхранени в облака на Webex. За всеки потребител в рамките на организацията, който е разпределен към хибридна защита на данни, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът също така е отговорен за връщането на създадените ключове на всички потребители, упълномощени да ги извлекат, например членове на място за разговори.

Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат подходящи резервни копия. Загубата на базата данни за хибридна защита на данни или на конфигурационния ISO, използван за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентското съдържание. За предотвратяване на такава загуба са задължителни следните практики:

Ако при бедствие разполагането на HDS в основния център за данни стане недостъпно, следвайте тази процедура, за да се върнете ръчно към центъра за данни в режим на готовност.

Преди да започнете

Премахнете регистрацията на всички възли от Partner Hub, както е посочено в Премахване на възел. Използвайте най-новия ISO файл, конфигуриран спрямо възлите на клъстера, който преди това е бил активен, за да извършите посочената по-долу процедура за преместване при отказ.

1	Стартирайте инструмента за настройка на HDS и следвайте стъпките, споменати в Създаване на конфигурационен ISO за хостовете на HDS.
2	Завършете процеса на конфигуриране и запишете ISO файла на лесно за намиране място.
3	Направете резервно копие на ISO файла в локалната си система. Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.
4	В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
5	Щракнете върху Редактиране на настройките >CD/DVD диск 1 и изберете Datastore ISO файл. Уверете се, че са отметнати Свързани и Свързване при включване , за да могат актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.
6	Включете възела на HDS и се уверете, че няма аларми поне 15 минути.
7	Регистрирайте възела в Partner Hub. Вижте Регистриране на първия възел в клъстера.
8	Повторете процеса за всеки възел в центъра за данни в режим на готовност.

Какво да направите след това

След отказ, ако основният център за данни се активира отново, премахнете регистрацията на възлите на центъра за данни в режим на готовност и повторете процеса на конфигуриране на ISO и регистриране на възлите на основния център за данни, както е посочено по-горе.

(По избор) Демонтиране на ISO след конфигуриране на HDS

Стандартната конфигурация на HDS работи с монтирания ISO. Но някои клиенти предпочитат да не оставят ISO файловете постоянно монтирани. Можете да разглобите ISO файла, след като всички възли на HDS поемат новата конфигурация.

Все още използвате ISO файловете, за да направите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всички ваши HDS възли. След като всички ваши възли са приели промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.

Преди да започнете

Надстройте всички ваши HDS възли до версия 2021.01.22.4720 или по-нова.

1	Затворете един от възлите си за HDS.
2	В уреда vCenter Server изберете възела на HDS.
3	Изберете Редактиране на настройките > CD/DVD диск и премахнете отметката от Datastore ISO файл.
4	Включете възела на HDS и се уверете, че няма аларми поне 20 минути.
5	Повторете за всеки HDS възел на смяна.

Отстраняване на неизправности в хибридна защита на данни

Преглед на предупрежденията и отстраняване на неизправности

Разполагането на хибридна защита на данни се счита за налично, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че отнема време. Ако потребителите не могат да се свържат с вашия клъстер на хибридна защита на данни, те изпитват следните симптоми:

Не могат да се създават нови места (не могат да се създадат нови ключове)
Неуспешно дешифриране на съобщенията и заглавията на пространството за:
- Нови потребители, добавени към място (не могат да се извлекат ключове)
- Съществуващи потребители в място с помощта на нов клиент (не могат да се извлекат ключовете)
Съществуващите потребители в дадено място ще продължат да се изпълняват успешно, стига клиентите им да имат кеш с ключовете за шифроване

Важно е да наблюдавате правилно своя клъстер на хибридна защита на данни и да обръщате бързо към всички предупреждения, за да избегнете прекъсване на услугата.

Предупреждения

Ако има проблем с настройката на хибридна защита на данни, Partner Hub показва предупреждения до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Предупрежденията обхващат много общи сценарии.

Таблица 1. Общи проблеми и стъпки за тяхното разрешаване
Предупреждение	Действие
Отказ на достъп до локална база данни.	Проверете за грешки в базата данни или проблеми с локалната мрежа.
Неуспешна връзка с локалната база данни.	Проверете дали сървърът с база данни е достъпен и дали са използвани правилните идентификационни данни за акаунта за услуга в конфигурацията на възела.
Неуспешен достъп до услугата в облака.	Проверете дали възлите имат достъп до сървърите на Webex, както е посочено в Изисквания за външна свързаност.
Подновяване на регистрацията за услуги в облака.	Регистрацията в услугите в облака беше прекъсната. Протича подновяване на регистрацията.
Регистрацията на услуги в облака е прекъсната.	Регистрирането в облачни услуги е прекратено. Услугата се затваря.
Услугата все още не е активирана.	Активирайте HDS в Partner Hub.
Конфигурираният домейн не съответства на сертификата на сървъра.	Уверете се, че сертификатът на сървъра ви съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата наскоро е променен и сега е различен от CN, който е бил използван по време на първоначалната настройка.
Неуспешно удостоверяване в услугите в облака.	Проверете за точност и възможно изтичане на идентификационните данни за акаунта за услугата.
Неуспешно отваряне на локалния файл на клавиатурата.	Проверете за целостта и точността на паролата във файла с локалния клавиатура.
Сертификатът за локален сървър е невалиден.	Проверете датата на изтичане на сертификата на сървъра и потвърдете, че той е издаден от надежден сертифициращ орган.
Неуспешно публикуване на метриките.	Проверете достъпа до локалната мрежа до външни облачни услуги.
Директорията /media/configdrive/hds не съществува.	Проверете конфигурацията за монтаж на ISO на виртуалния хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и дали се монтира успешно.
Настройката на организация на клиент не е завършена за добавените организации	Завършете настройката, като създадете CMK за новодобавени организации на клиенти с помощта на инструмента за настройка на хибридни съобщения.
Настройката на организация на клиента не е завършена за премахнатите организации	Завършете настройката чрез анулиране на CMK на организациите на клиенти, които са премахнати с помощта на инструмента за настройка на хибридни телефони (HDS).

Отстраняване на неизправности в хибридна защита на данни

Използвайте следните общи насоки, когато отстранявате проблеми с хибридна защита на данни.

1	Прегледайте Partner Hub за предупреждения и коригирайте всички елементи, които намерите там. Вижте изображението по-долу за справка.
2	Прегледайте изхода на сървъра syslog за активност от разполагането на хибридна защита на данни. Филтрирайте за думи като „Предупреждение“ и „Грешка“, за да помогнете при отстраняване на неизправности.
3	Свържете се с поддръжката на Cisco.

Други бележки

Известни проблеми с хибридната защита на данните

Ако затворите своя клъстер на хибридна защита на данни (като го изтриете в Partner Hub или като затворите всички възли), загубите своя ISO файл за конфигуриране или загубите достъп до базата данни на клавиатурата, потребителите на приложението Webex на клиентските организации вече няма да могат да използват пространства в своя списък "Хора", създадени с ключове от вашия KMS. В момента нямаме заобиколно решение или корекция за този проблем и ви призовавам да не затваряте услугите си за HDS, след като обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за период от време (вероятно един час).

Използване на OpenSSL за генериране на PKCS12 файл

Преди да започнете

OpenSSL е един инструмент, който може да се използва за създаване на PKCS12 файл в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини за това и ние не подкрепяме и не насърчаваме един път над друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като ръководство, за да ви помогнем да създадете файл, който отговаря на изискванията за сертификат X.509 в Изисквания за сертификат X.509. Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижте https://www.openssl.org софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификата на сървъра от вашия сертифициращ орган (CA).

1	Когато получите сертификата на сървъра от вашия CA, запишете го като `hdsnode.pem`.
2	Показване на сертификата като текст и проверете подробностите. `openssl x509 -текст -noout -в hdsnode.pem`
3	Използвайте текстов редактор, за да създадете файл пакет сертификат, наречен `hdsnode-bundle.pem`. Пакетният файл трябва да включва сертификата на сървъра, всички междинни CA сертификати и корневи CA сертификати в следния формат: `-----начало на сертификат----- ### сертификат на сървър. ### -----край на сертификат--------------- начало на сертификат------ ### Междинен CA сертификат. ### -----край на сертификат--------------- начало на сертификат------ ### Корневи CA сертификат. ### -----край на сертификат-----`
4	Създайте .p12 файла с приятелското име `kms-частен-ключ`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверете подробностите за сертификата на сървъра. `openssl pkcs12 -в hdsnode.p12` Въведете парола при подкана да шифровате частния ключ, така че да се показва в изхода. След това се уверете, че частният ключ и първият сертификат включват линиите `friendlyName: kms-частен-ключ`. Пример: bash$ openssl pkcs12 -in hdsnode.p12 Въведете паролата за импортиране: MAC потвърди атрибути OK Bag friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключови атрибути: Въведете фраза за преминаване на PEM: Потвърждаване – Въведете фраза за достъп до PEM: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Какво да направите след това

Върнете се, за да изпълните изискванията за хибридна защита на данни. Ще използвате файла hdsnode.p12 и паролата, която сте задали за него, в Създаване на конфигурационен ISO за организаторите на HDS.

Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато първоначалният сертификат изтече.

Трафик между възлите на HDS и облака

Изходящ трафик за събиране на метрики

Възлите на хибридна защита на данни изпращат определени показатели към облака на Webex. Те включват системни метрики за heap max, използван heap, натоварване на процесора и брой нишки; метрики за синхронните и асинхронните нишки; метрики за предупрежденията, включващи праг на шифроване връзки, латентност или дължина на опашката за заявки; метрики за datastore; и метрики за връзката за шифроване. Възлите изпращат материали за шифрован ключ през нечестотен (отделен от заявката) канал.

Входящ трафик

Възлите на хибридна защита на данни получават следните типове входящ трафик от облака на Webex:

Заявки за шифроване от клиенти, които се маршрутизират от услугата за шифроване
Надстройки до софтуера за възли

Конфигуриране на прокси сървъри за хибридна защита на данните

Websocket не може да се свърже чрез сепия прокси

Прокси сървърите, които инспектират HTTPS трафика, могат да повлияят на създаването на websocket (в к:) връзки, които изискват хибридната защита на данните. Тези раздели дават насоки как да конфигурирате различни версии на Калмар, за да игнорирате wss: трафик за правилното функциониране на услугите.

Калмята 4 и 5

Добавете on_unsupported_protocol директивата към squid.conf:

on_unsupported_protocol тунел

Сепия 3.5.27

Успешно тествахме Hybrid Data Security със следните правила, добавени към squid.conf. Тези правила подлежат на промяна, тъй като разработваме функции и актуализираме webex облака.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump надничане step1 всички ssl_bump stare step2 всички ssl_bump bump step3 всички

Нова и променена информация

Тази таблица обхваща нови функции или функционалности, промени в съществуващото съдържание и всички големи грешки, които са поправени в Ръководство за разполагане за хибридна защита на данните с много клиенти.

Дата	Направени промени
30 януари 2025 г.	Добавена е версия на SQL сървър 2022 към списъка с поддържани SQL сървъри в изискванията за сървър на базата данни.
15 януари 2025 г.	Добавени ограничения на хибридната защита на данните с много клиенти.
08 януари 2025 г.	Добавена е бележка в Извършване на първоначална настройка и изтегляне на инсталационни файлове , в която се посочва, че щракването върху Настройка на HDS картата в Partner Hub е важна стъпка от процеса на инсталиране.
07 януари 2025 г.	Актуализирани изисквания за виртуален хост, Поток от задачи за разполагане на хибридна защита на данни, и Инсталиране на HDS Host OVA , за да се покаже ново изискване на ESXi 7.0.
13 декември 2024 г.	Публикувана за първи път.

Деактивиране на хибридна защита на данни с много клиенти

Поток на задачи за деактивиране на HDS с много клиенти

Изпълнете тези стъпки, за да деактивирате напълно HDS с много клиенти.

Преди да започнете

Тази задача трябва да се изпълнява само от администратор с пълни права на партньор.

1	Премахнете всички клиенти от всичките ви клъстери, както е посочено в Премахване на организации на клиенти.
2	Анулирайте CMK на всички клиенти, както е посочено в Анулиране на CMK на клиенти, премахнати от HDS..
3	Премахнете всички възли от всичките ви клъстери, както е посочено в Премахване на възел.
4	Изтрийте всичките си клъстери от Partner Hub, като използвате един от следните два метода. Щракнете върху клъстера, който искате да изтриете, и изберете Изтриване на този клъстер в горния десен ъгъл на страницата за общ преглед. На страницата „Ресурси“ щракнете върху ... от дясната страна на клъстер и изберете Премахване на клъстер.
5	Щракнете върху раздела Настройки на страницата за общ преглед на хибридната защита на данни и щракнете върху Деактивиране на хибридната защита на данни в картата за статус на HDS.

Първи стъпки с хибридна защита на данните с много клиенти

Общ преглед на хибридна защита на данни с няколко клиента

От първия ден сигурността на данните е основният фокус при проектирането на приложението Webex. Крайъгълният камък на тази защита е цялостното шифроване на съдържание, разрешено от клиентите на приложението Webex, които взаимодействат с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографски ключове, които клиентите използват за динамично криптиране и дешифриране на съобщения и файлове.

По подразбиране всички клиенти на приложението Webex получават цялостно шифроване с динамични ключове, съхранявани в облака KMS, в областта на защитата на Cisco. Хибридната защита на данните премества KMS и други свързани със сигурността функции във вашия корпоративен център за данни, така че никой освен вас не държи ключовете за вашето криптирано съдържание.

Хибридната защита на данните с много клиенти позволява на организациите да използват HDS чрез надежден местен партньор, който може да действа като доставчик на услуги и да управлява локално шифроване и други услуги за защита. Тази настройка позволява на партньорската организация да има пълен контрол върху разполагането и управлението на ключове за шифроване и гарантира, че потребителските данни на клиентските организации са безопасни от външен достъп. Партньорските организации настройват HDS екземпляри и създават HDS клъстери, ако е необходимо. Всеки екземпляр може да поддържа няколко клиентски организации за разлика от нормалното разполагане на HDS, което е ограничено до една организация.

Въпреки че партньорските организации имат контрол върху разполагането и управлението, те нямат достъп до данни и съдържание, генерирани от клиентите. Този достъп е ограничен до клиентски организации и техните потребители.

Това също така позволява по-малките организации да използват HDS, тъй като услугата за управление на ключове и инфраструктурата за сигурност, като центровете за данни, са собственост на доверения местен партньор.

Как хибридната защита на данните с няколко клиента осигурява суверенитет на данните и контрол на данните

Генерираното от потребителите съдържание е защитено от външен достъп, като например доставчици на облачни услуги.
Местните доверени партньори управляват ключовете за шифроване на клиенти, с които вече имат установени отношения.
Опция за местна техническа поддръжка, ако бъде предоставена от партньора.
Поддържа съдържание в Meetings, Messaging и Calling.

Този документ има за цел да помогне на партньорските организации да настройват и управляват клиенти в система за хибридна защита на данните с много клиенти.

Ограничения на хибридната защита на данните с много клиенти

Партньорските организации не трябва да имат съществуващо активно разполагане на HDS в Control Hub.
Организациите на клиенти или клиенти, които желаят да бъдат управлявани от партньор, не трябва да имат съществуващо разполагане на HDS в Control Hub.
След като HDS за множество клиенти бъде разгърнат от партньора, всички потребители на клиентски организации, както и потребители на партньорската организация, започват да използват HDS за множество клиенти за своите услуги за шифроване.

Партньорската организация и клиентските организации, които управляват, ще бъдат на едно и също разполагане на HDS с много клиенти.

Партньорската организация вече няма да използва KMS в облака след разгръщането на HDS с много клиенти.
Няма механизъм за преместване на ключовете обратно към Cloud KMS след разполагане на HDS.
В момента всяко разполагане на HDS с много клиенти може да има само един клъстер, с множество възли под него.
Ролите на администратор имат определени ограничения; вижте раздела по-долу за подробности.

Роли в хибридна защита на данните с няколко клиента

Администратор на партньор с пълни права – може да управлява настройките за всички клиенти, които партньорът управлява. Могат също да възлагат администраторски роли на съществуващи потребители в организацията и да задават конкретни клиенти, които да бъдат управлявани от администратори на партньора.
Администратор на партньор – може да управлява настройките за клиенти, които администраторът е предоставил или които са зададени на потребителя.
Пълен администратор – администратор на партньорската организация, който е упълномощен да изпълнява задачи, като промяна на настройките на организацията, управление на лицензи и задаване на роли.

Цялостно настройване и управление на HDS с много клиенти на всички клиентски организации – изискват се пълен администратор на партньор и права на пълен администратор.
Управление на зададените организации на клиенти – изискват се администратор на партньор и права на пълен администратор.

Архитектура на областта на сигурността

Архитектурата на облака на Webex разделя различните типове услуги в отделни области или домейни на доверие, както е описано по-долу.

За да разберем по-подробно хибридната защита на данните, нека първо разгледаме този случай в облака, където Cisco предоставя всички функции в своите облачни области. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логично и физически отделена от областта на защитата в центъра за данни B. И двете от своя страна са отделени от областта, в която в крайна сметка се съхранява шифровано съдържание, в центъра за данни C.

На тази схема клиентът е приложението Webex, което се изпълнява на лаптопа на потребителя, и е удостоверен с услугата за самоличност. Когато потребителят композира съобщение за изпращане до интервал, се извършват следните стъпки:

Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за шифроване на съобщението. Защитената връзка използва ECDH, а KMS шифрова ключа с помощта на главния ключ AES-256.
Съобщението е шифровано преди да напусне клиента. Клиентът го изпраща на услугата за индексиране, която създава шифровани индекси за търсене, за да подпомогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща на услугата за съответствие за проверки за съответствие.
Шифрованото съобщение се съхранява в областта на мястото за съхранение.

Когато разположите хибридна защита на данни, премествате функциите на областта на защитата (KMS, индексиране и съответствие) в своя локален център за данни. Другите услуги в облака, които съставляват Webex (включително съхранение на самоличност и съдържание), остават в областите на Cisco.

Сътрудничество с други организации

Потребителите във вашата организация могат редовно да използват приложението Webex за сътрудничество с външни участници в други организации. Когато един от вашите потребители поиска ключ за място, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашата KMS изпраща ключа на клиента чрез ECDH защитен канал. Когато обаче друга организация притежава ключа за пространството, вашият KMS маршрутизира заявката към облака Webex чрез отделен ECDH канал, за да получи ключа от съответния KMS и след това връща ключа на вашия потребител в оригиналния канал.

Услугата KMS, изпълнявана в организация А, валидира връзките към KMS в други организации, като използва x.509 PKI сертификати. Вижте Подготовка на средата за подробности относно генерирането на сертификат x.509, който да се използва при вашето разполагане на хибридна защита на данни с много клиенти.

Очаквания за внедряване на хибридна защита на данни

Внедряването на хибридна защита на данни изисква значителна ангажираност и осведоменост за рисковете, които идват от притежаването на ключове за шифроване.

За да разположите хибридна защита на данни, трябва да предоставите:

Защитен център за данни в страна, която е поддържано местоположение за плановете на Cisco Webex Teams.
Оборудването, софтуерът и мрежовият достъп, описани в Подготовка на средата.

Пълната загуба или на конфигурационния ISO, който изграждате за хибридна защита на данни, или на базата данни, която предоставяте, ще доведе до загуба на ключове. Загубата на ключове не позволява на потребителите да дешифрират съдържанието в пространството и други шифровани данни в приложението Webex. Ако това се случи, можете да изградите ново разполагане, но ще се вижда само новото съдържание. За да избегнете загуба на достъп до данни, трябва:

Управлявайте архивирането и възстановяването на базата данни и конфигурационния ISO.
Бъдете готови да извършите бързо възстановяване след бедствие, ако възникне катастрофа, като повреда на диска на базата данни или бедствие на центъра за данни.

Няма механизъм за преместване на ключовете обратно в облака след разполагане на HDS.

Процес на настройка на високо ниво

Този документ обхваща настройката и управлението на разполагането на хибридна защита на данни с много клиенти:

Настройване на хибридна защита на данни – това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данни, изграждане на клъстер на HDS, добавяне на организации на клиенти към клъстера и управление на техните главни ключове на клиенти (CMK). Това ще даде възможност на всички потребители на вашите клиентски организации да използват вашия клъстер на хибридна защита на данни за функции за защита.

Етапите на настройка, активиране и управление са разгледани подробно в следващите три глави.
Поддържайте разполагането на хибридна защита на данни – Облакът на Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да предостави поддръжка от първо ниво за това разполагане и да ангажира поддръжката на Cisco, ако е необходимо. В Partner Hub можете да използвате известия на екрана и да настроите имейл предупреждения.
Разбиране на често срещаните предупреждения, стъпките за отстраняване на неизправности и известни проблеми – ако срещнете проблеми при разполагането или използването на хибридна защита на данни, последната глава от това ръководство и приложението „Известни проблеми“ могат да ви помогнат да определите и коригирате проблема.

Модел на разполагане на хибридна защита на данни

В рамките на вашия корпоративен център за данни разполагате с хибридна защита на данни като един клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака на Webex чрез защитени уеб сокети и защитен HTTP.

По време на процеса на инсталиране ви предоставяме файла OVA, за да настроите виртуалния уред на VMs, които предоставяте. Използвайте инструмента за настройка на HDS, за да създадете персонализиран ISO файл за конфигуриране на клъстери, който да монтирате на всеки възел. Клъстерът на хибридна защита на данни използва предоставения ви сървър Syslogd и базата данни на PostgreSQL или Microsoft SQL Server. (Можете да конфигурирате подробностите за връзката на Syslogd и базата данни в инструмента за настройка на HDS.)

Модел на разполагане на хибридна защита на данни

Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне по три на клъстер. Наличието на множество възли гарантира, че услугата не се прекъсва по време на надстройка на софтуера или друга дейност по поддръжка на даден възел. (Облакът на Webex надгражда само един възел в даден момент.)

Всички възли в клъстера имат достъп до един и същ файл с ключове и регистрационната активност към един и същ syslog сървър. Самите възли са без гражданство и обработват ключови заявки в кръгла форма, както е указано от облака.

Възлите стават активни, когато ги регистрирате в Partner Hub. За да излезете от експлоатация отделен възел, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.

Standby Data Center за възстановяване при бедствия

По време на разгръщането настройвате защитен център за данни в режим на готовност. В случай на бедствие на центъра за данни можете ръчно да не успеете при разполагането си в центъра за данни в режим на готовност.

Базите данни на активните центрове за данни и центровете за данни в режим на готовност са синхронизирани помежду си, което ще сведе до минимум времето, необходимо за извършване на превключването при отказ.

Активните възли на хибридна защита на данни трябва винаги да бъдат в същия център за данни като активния сървър с база данни.

Поддръжка на прокси

Hybrid Data Security поддържа изрични, прозрачни проверяващи и неинспектационни проксита. Можете да свържете тези проксита към разполагането си, така че да можете да подсигурите и наблюдавате трафика от предприятието навън към облака. Можете да използвате администраторски интерфейс на платформа на възлите за управление на сертификати и да проверите цялостното състояние на свързване, след като настроите прокси сървъра на възлите.

Хибридните възли за защита на данните поддържат следните опции за прокси:

Няма прокси сървър – Стойността по подразбиране, ако не използвате конфигурацията за настройка на HDS възел на доверено хранилище и прокси сървър за интегриране на прокси сървър. Не се изисква актуализация на сертификата.
Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси сървъра – възлите не са конфигурирани да използват определен адрес на прокси сървъра. На възлите не са необходими промени в конфигурацията на HTTP или HTTPS. Възлите обаче се нуждаят от главен сертификат, така че да се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS).
Изричен прокси сървър – С изричния прокси сървър казвате на HDS кои прокси сървъри и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
1. Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината.
2. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик.
3. Прокси протокол – в зависимост от това, което поддържа прокси сървърът ви, изберете между следните протоколи:
  - HTTP—Преглежда и контролира всички заявки, които клиентът изпраща.
  - HTTPS—Предоставя канал на сървъра. Клиентът получава и валидира сертификата на сървъра.
4. Тип удостоверяване – изберете измежду следните типове удостоверяване:
  - Няма – Не се изисква допълнително удостоверяване.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
  - Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.
  - Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата.
    
    Предлага се само ако изберете HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.

Пример за хибридни данни сигурност възли и прокси

Тази диаграма показва примерна връзка между защитата на хибридните данни, мрежата и прокси. За прозрачния инспектиращ и HTTPS изричен инспектиращ прокси опции, един и същ главен сертификат трябва да бъде инсталиран на прокси и на хибридните възли за защита на данните.

Блокиран режим на външна DNS разделителна способност (изрични прокси конфигурации)

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. В разполагане с изрични прокси конфигурации, които не позволяват външна DNS разделителна способност за вътрешни клиенти, ако възелът не може да заявка DNS сървъри, тя автоматично преминава в режим блокирани външни DNS резолюция. В този режим може да се процедира регистрация на възли и други тестове за свързване на прокси.

Подготовка на средата

Изисквания за хибридна защита на данните с няколко клиента

Изисквания за лицензи за Cisco Webex

За да разположите хибридна защита на данните с много клиенти:

Партньорски организации: Свържете се със своя партньор в Cisco или мениджър на акаунти и се уверете, че функцията за много клиенти е активирана.
Организации на клиента: Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижте https://www.cisco.com/go/pro-pack.)

Изисквания за закачане на работния плот

Преди да инсталирате възлите на HDS, трябва Docker Desktop, за да изпълните инсталационна програма. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker е Актуализиране и разширяване на нашите абонаментиза продукти".

X.509 Изисквания за сертификата

Веригата на сертификатите трябва да отговаря на следните изисквания:

Таблица 1. X.509 Изисквания за сертификата за разполагане на хибридна защита на данни
Изискване	Подробности
Подписан от надежден сертифициращ орган (CA)	По подразбиране се доверяваме на сертифициращите органи в списъка на Mozilla (с изключение на WoSign и StartCom) на https://wiki.mozilla.org/CA:IncludedCAs.
Носи общо име (CN) име на домейн, което идентифицира вашето разполагане на хибридна защита на данни Не е заместващ сертификат	CN не е нужно да е достъпен или хост на живо. Препоръчваме ви да използвате име, което отразява вашата организация, например `hds.company.com`. CN не трябва да съдържа * (заместващ символ). CN се използва за проверка на възлите на хибридна защита на данни за клиентите на приложението Webex. Всички възли на хибридна защита на данни във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на CN домейна, а не с произволен домейн, дефиниран в полетата x.509v3 SAN. След като сте регистрирали възел с този сертификат, не поддържаме промяна на името на CN домейна.
Подпис, който не е SHA1	Софтуерът KMS не поддържа подписи SHA1 за валидиране на връзки с KMS на други организации.
Форматиран като защитен с парола PKCS #12 файл Използвайте приятелското име на `kms-private-key` , за да маркирате сертификата, частния ключ и всички междинни сертификати за качване.	Можете да използвате конвертор, като OpenSSL, за да промените формата на сертификата си. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS.

Софтуерът KMS не налага използване на ключове или не разширява ограниченията за използване на ключове. Някои сертифициращи органи изискват за всеки сертификат да се прилагат разширени ограничения за използване на ключа, като например удостоверяване на сървъра. Добре е да използвате удостоверяване на сървъра или други настройки.

Изисквания за виртуален организатор

Виртуалните хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер, имат следните изисквания:

Поне два отделни хоста (препоръчва се 3), разположени съвместно в един и същ защитен център за данни
VMware ESXi 7.0 (или по-нова версия) е инсталиран и работи.

Трябва да надстроите, ако имате по-стара версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално място на твърдия диск на сървър

Изисквания към сървъра за база данни

Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.

Има две опции за сървъра с база данни. Изискванията за всеки от тях са, както следва:

Таблица 2. Изисквания за сървъра с база данни по тип база данни
PostgreSQL	Microsoft SQL сървър
PostgreSQL 14, 15 или 16, инсталиран и се изпълнява.	Инсталиран е SQL Server 2016, 2017, 2019 или 2022 (корпоративен или стандартен). SQL Server 2016 изисква Service Pack 2 и Кумулативна актуализация 2 или по-нова версия.
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)	Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)

HDS софтуерът в момента инсталира следните версии на драйвери за комуникация със сървъра с база данни:

PostgreSQL

Microsoft SQL сървър

Postgres JDBC драйвер 42.2.5

SQL Server JDBC драйвер 4.6

Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстера при отказ и Винаги включен групи за наличност).

Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server

Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни на Keystore на Microsoft SQL Server, тогава е необходима следната конфигурация във вашата среда:

Възлите на HDS, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Акаунтът за Windows, който предоставяте на възли на HDS, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възли, трябва да могат да разрешават вашия център за разпределение на ключове (KDC).
Можете да регистрирате екземпляра на базата данни на HDS на Microsoft SQL Server като основно име на услуга (SPN) на Active Directory. Вижте Регистриране на основно име на услуга за Kerberos връзки.

Инструментът за настройка на HDS, HDS стартера и локалния KMS трябва да използват удостоверяване на Windows за достъп до базата данни на Keystore. Те използват подробностите от вашата ISO конфигурация, за да конструират SPN, когато заявяват достъп с удостоверяване на Kerberos.

Изисквания за външна връзка

Конфигурирайте защитната стена, за да разрешите следната свързаност за приложенията на хибридна защита на данни:

Приложение	Протокол	Порт	Посока от приложението	Местоназначение
Възли на хибридна защита на данни	TCP	443	Изходящи HTTPS и ВиК	Сървъри на Webex: .wbx2.com .ciscospark.com Всички организатори на Common Identity Други URL адреси, които са изброени за хибридна защита на данни в таблицата Допълнителни URL адреси за хибридни услуги на Webex на мрежовите изисквания за услугите на Webex
Инструмент за настройка на HDS	TCP	443	Изходящ HTTPS	*.wbx2.com Всички организатори на Common Identity hub.docker.com

Възлите на хибридна защита на данни работят с превод на мрежовия достъп (NAT) или зад защитна стена, при условие че NAT или защитната стена позволяват необходимите изходящи връзки към местоназначенията на домейна в предходната таблица. За връзки, влизащи във входящи възли на хибридна защита на данни, от интернет не трябва да се виждат портове. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите на хибридна защита на данни на TCP портове 443 и 22 за административни цели.

URL адресите за хостовете на Common Identity (CI) са специфични за региона. Това са текущите организатори на CI:

Регион	URL адреси на организатор на Common Identity
Северна и Южна Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейски съюз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com
Сингапур	https://idbroker-sg.webex.com https://identity-sg.webex.com
Обединени арабски емирства	https://idbroker-ae.webex.com https://identity-ae.webex.com

Изисквания към прокси сървъра

Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли hybrid Data Security.
- Прозрачен прокси-Уред за уеб защита cisco (WSA).
- Изрична прокси-Сепия.
  
  Прокси сървърите, които инспектират HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да работите по този проблем, вижте Конфигуриране на прокси сървъри за хибридна защита на данни.
Ние поддържаме следните комбинации от тип удостоверяване за изрични проксита:
- Без удостоверяване с HTTP или HTTPS
- Базово удостоверяване с HTTP или HTTPS
- Смилане на удостоверяване само с HTTPS
За прозрачен проверяващ прокси или HTTPS изрично прокси, трябва да имате копие на главния сертификат на прокси. Инструкциите за разполагане в това ръководство ви казват как да качите копието в магазините за доверие на хибридните възли за защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик на порт 443 да маршрутизира през прокси сървъра.
Прокситата, които инспектират уеб трафика, може да пречат на връзките с уеб гнездото. Ако възникне този проблем, заобикалянето (не инспектирането) на трафика към wbx2.com и ciscospark.com ще реши проблема.

Изпълнете предварителните изисквания за хибридна защита на данни

Използвайте този контролен списък, за да гарантирате, че сте готови да инсталирате и конфигурирате своя клъстер на хибридна защита на данни.

1	Уверете се, че вашата партньорска организация има активирана функция за HDS с няколко клиента и получавате идентификационните данни за акаунт с пълен администратор на партньор и права на пълен администратор. Уверете се, че вашата организация на клиенти на Webex е разрешена за Pro Pack за Cisco Webex Control Hub. Свържете се с вашия партньор в Cisco или мениджър на акаунти за помощ с този процес. Организациите на клиентите не трябва да имат съществуващо разполагане на HDS.
2	Изберете име на домейн за разполагането на HDS (например `hds.company.com`) и получете верига от сертификати, съдържаща сертификат X.509, частен ключ и всички междинни сертификати. Веригата на сертификатите трябва да отговаря на изискванията в X.509 Изисквания за сертификат.
3	Подгответе идентични виртуални хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер. Имате нужда от поне два отделни организатора (препоръчва се 3), разположени съвместно в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален организатор.
4	Подгответе сървъра с база данни, който ще действа като хранилище на данни за ключа за клъстера в съответствие с изискванията за сървъра с база данни. Сървърът на базата данни трябва да бъде разположен съвместно в защитения център за данни с виртуалните хостове. Създайте база данни за съхранение на ключове. (Трябва да създадете тази база данни – не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.) Съберете подробностите, които ще използват възлите за комуникация със сървъра с база данни: име на хост или IP адрес (хост) и порт името на базата с данни (dbname) за съхранение на ключа потребителското име и паролата на потребител с всички привилегии в базата данни за съхранение на ключа
5	За бързо възстановяване след бедствие настройте архивна среда в друг център за данни. Резервната среда отразява производствената среда на VMs и резервен сървър с база данни. Например, ако производството има 3 VMs, работещи с HDS възли, резервната среда трябва да има 3 VMs.
6	Настройте хост на syslog, за да събирате регистрационни файлове от възлите в клъстера. Съберете мрежовия му адрес и порта за syslog (по подразбиране е UDP 514).
7	Създайте правила за защитено архивиране за възлите на хибридна защита на данни, сървъра с база данни и хоста на syslog. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите на хибридна защита на данни. Тъй като възлите на хибридна защита на данни съхраняват ключовете, използвани за шифроване и дешифроване на съдържание, неподдържането на оперативно разполагане ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на това съдържание. Клиентите на приложението Webex кешират ключовете си, така че прекъсването може да не се забележи веднага, но ще стане очевидно с течение на времето. Въпреки че е невъзможно да се предотвратят временните прекъсвания, те са възстановими. Обаче пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. От операторите на възлите на хибридна защита на данни се очаква да поддържат чести резервни копия на базата данни и конфигурационния ISO файл и да бъдат готови да възстановят центъра за данни на хибридна защита на данни, ако възникне катастрофална грешка.
8	Уверете се, че конфигурацията на защитната ви стена позволява свързване за вашите възли на хибридна защита на данни, както е описано в Изисквания за външна свързаност.
9	Инсталирайте Docker ( https://www.docker.com) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова или Mac OSX Yosemite 10.10.3 или по-нова версия) с уеб браузър, който може да получи достъп до нея на http://127.0.0.1:8080. Можете да използвате екземпляр на Docker, за да изтеглите и изпълните инструмента за настройка на HDS, който изгражда информацията за локална конфигурация за всички възли на хибридна защита на данни. Може да ви е необходим лиценз за настолен компютър за docker. Вижте Изисквания за закачане на работния плот за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има възможността за свързване, описана в Изисквания за външна свързаност.
10	Ако интегрирате прокси сървър с хибридна защита на данните, уверете се, че той отговаря на изискванията за прокси сървър.

Настройване на клъстер на хибридна защита на данни

Поток на задачи за разполагане на хибридна защита на данни

Преди да започнете

1	Извършване на първоначална настройка и изтегляне на инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късно използване.
2	Създаване на конфигурационен ISO за хостовете на HDS Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите на хибридна защита на данни.
3	Инсталиране на HDS Host OVA Създайте виртуална машина от OVA файла и изпълнете първоначалната конфигурация, като например мрежови настройки. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
4	Настройване на VM на хибридна защита на данни Влезте в конзолата на VM и задайте данните за вход. Конфигурирайте мрежовите настройки за възела, ако не сте ги конфигурирали към момента на разполагането на OVA.
5	Качване и монтиране на конфигурация ISO на HDS Конфигурирайте VM от ISO конфигурационния файл, който сте създали с инструмента за настройка на HDS.
6	Конфигуриране на HDS възел за интегриране на прокси сървър Ако мрежовата среда изисква конфигурация на прокси сървър, укажете типа прокси сървър, който ще използвате за възела, и добавете прокси сертификата към хранилището на гаранти, ако е необходимо.
7	Регистриране на първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел на хибридна защита на данни.
8	Създаване и регистриране на още възли Завършете настройката на клъстера.
9	Активирайте HDS с много клиенти в Partner Hub. Активирайте HDS и управлявайте организации на клиенти в Partner Hub.

Извършване на първоначална настройка и изтегляне на инсталационни файлове

В тази задача изтегляте OVA файл на вашата машина (а не на сървърите, които сте настроили като възли на хибридна защита на данни). Ще използвате този файл по-късно в процеса на инсталиране.

1	Влезте в Partner Hub и щракнете върху Услуги.
2	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и след това щракнете върху Настройка. Щракването върху Настройка в Partner Hub е критично за процеса на разполагане. Не продължете с инсталирането, без да завършите тази стъпка.
3	Щракнете върху Добавяне на ресурс и щракнете върху Изтегляне на .OVA файл на картата Инсталиране и конфигуриране на софтуера . По-старите версии на софтуерния пакет (OVA) няма да бъдат съвместими с най-новите надстройки на хибридна защита на данни. Това може да доведе до проблеми при надстройване на приложението. Уверете се, че сте изтеглили най-новата версия на OVA файла. Можете също да изтеглите OVA по всяко време от раздела Помощ . Щракнете върху Настройки > Помощ > Изтегляне на софтуер за хибридна защита на данни. OVA файлът започва автоматично да се изтегля. Запишете файла на местоположение на машината си.
4	Като опция щракнете върху Вижте ръководството за разполагане на хибридна защита на данни , за да проверите дали има налична по-нова версия на това ръководство.

Създаване на конфигурационен ISO за хостовете на HDS

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт в Partner Hub с пълни администраторски права.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5 по-долу. Тази таблица дава някои възможни променливи на средата:

Описание

Променлива

HTTP прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTPS прокси без удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT

HTTP прокси с удостоверяване

GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS прокси с удостоверяване

ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT
Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

1

В командния ред на вашата машина въведете подходящата команда за вашата среда:

В нормални среди:

докер rmi ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер rmi ciscocitg/hds-setup-fedramp: стабилен

Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

2

За да влезете в регистъра на изображения на Docker, въведете следното:

докер вход -u hdscustomersro

3

При подканата за парола въведете този хеш:

dckr_pat_aDP6V4KkrvpBwa

4

Изтеглете най-новото стабилно изображение за вашата среда:

В нормални среди:

докер издърпване ciscocitg/hds-setup: стабилен

В среди на FedRAMP:

докер издърпване ciscocitg/hds-setup-fedramp: стабилен

5

Когато изтеглянето приключи, въведете подходящата команда за вашата среда:

В нормални среди без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В нормални среди с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В редовни среди с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В среди на FedRAMP без прокси:

докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен

В среди на FedRAMP с HTTP прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В среди на FedRAMP с HTTPS прокси:

изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.

6

Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost.

Използвайте уеб браузър, за да отидете на localhost, http://127.0.0.1:8080 и въведете администраторското потребителско име за Partner Hub в подканата.

Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.

7

Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.

8

На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.

9

На страницата Импортиране на ISO имате следните опции:

Не– Ако създавате първия си HDS възел, нямате ISO файл за качване.
Да – Ако вече сте създали HDS възли, тогава изберете своя ISO файл в прегледа и го качете.

10

Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат.

Ако никога не сте качили сертификат преди, качете сертификата X.509, въведете паролата и щракнете върху Продължи.
Ако сертификатът ви е ОК, щракнете върху Продължи.
Ако сертификатът ви е изтекъл или искате да го замените, изберете Не за Продължаване на използването на веригата за сертификати на HDS и частния ключ от предишния ISO?. Качете нов сертификат X.509, въведете паролата и щракнете върху Продължи.

11

Въведете адреса на базата данни и акаунта за HDS, за да получите достъп до ключовия си datastore:

Изберете вашия тип база данни (PostgreSQL или Microsoft SQL Server).

Ако изберете Microsoft SQL Server, получавате поле за тип удостоверяване.
(Само за Microsoft SQL Server ) Изберете вашия тип удостоверяване:
- Базово удостоверяване: Необходимо е име на локален акаунт за SQL Server в полето Потребителско име .
- Удостоверяване на Windows: Имате нужда от акаунт за Windows във формат username@DOMAIN в полето Потребителско име .
Въведете адреса на сървъра с база данни във формуляра : или :.

Пример:
dbhost.example.org:1433 или 198.51.100.17:1433

Можете да използвате IP адрес за базово удостоверяване, ако възлите не могат да използват DNS за решаване на името на хоста.

Ако използвате удостоверяване на Windows, трябва да въведете напълно квалифицирано име на домейн във формат dbhost.example.org:1433
Въведете името на базата данни.
Въведете Потребителско име и Парола на потребител с всички привилегии в базата данни за съхранение на ключа.

12

Изберете режим на свързване с база данни TLS:

Режим	Описание
Предпочитане на TLS (опция по подразбиране)	HDS възлите не изискват TLS да се свърже със сървъра на базата данни. Ако разрешите TLS на сървъра с база данни, възлите правят опит за шифрована връзка.
Изисквайте TLS	HDS възли се свързват само ако сървърът на базата данни може да договори TLS.
Изисквайте TLS и проверете подписвача на сертификати	Този режим не е приложим за бази данни на SQL Server. HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.
Изисквайте TLS и проверете подписалия сертификат и хостовото име	HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Възлите също така проверяват дали името на хоста в сертификата на сървъра съвпада с името на хоста в полето Хост и порт в базата данни . Имената трябва да съвпадат точно или възелът пуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.

Когато качите корневи сертификат (ако е необходимо) и щракнете върху Продължи, инструментът за настройка на хибридна защита на данни тества TLS връзката към сървъра с база данни. Инструментът също така проверява подписалите сертификата и hostname, ако е приложимо. Ако даден тест е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързването възлите на HDS може да са в състояние да установят TLS връзката, дори ако машината с инструмента за настройка на HDS не може да я тества успешно.)

13

На страницата „Системни регистрационни файлове“ конфигурирайте сървъра си за Syslogd:

Въведете URL адреса на сървъра syslog.

Ако сървърът не може да се разрешава чрез DNS от възлите за вашия HDS клъстер, използвайте IP адрес в URL.

Пример:
udp://10.92.43.23:514 показва влизане в хоста Syslogd 10.92.43.23 на UDP порт 514.
Ако настроите сървъра си да използва TLS шифроване, отметнете Конфигуриран ли е вашият сървър syslog за SSL шифроване?.

Ако отметнете това квадратче, трябва да въведете URL адрес на TCP, като например tcp://10.92.43.23:514.
От падащия списък Избор на прекратяване на запис в syslog изберете подходящата настройка за вашия ISO файл: Избор или нов ред се използва за Graylog и Rsyslog TCP
- Нулев байт -- \x00
- Нов ред – \n – Изберете този избор за Graylog и Rsyslog TCP.
Щракнете върху Продължаване.

14

(По избор) Можете да промените стойността по подразбиране за някои параметри на връзката с база данни в Разширени настройки. По принцип този параметър е единственият, който може да искате да промените:

app_datasource_connection_pool_maxРазмер: 10

15

Щракнете върху Продължи на екрана Нулиране на паролата за акаунти за услуги .

Паролите за акаунта за услугата имат деветмесечен живот. Използвайте този екран, когато паролите ви наближават изтичане или искате да ги нулирате, за да invalidate previous ISO files.

16

Щракнете върху Изтегляне на ISO файл. Запишете файла на лесно за намиране място.

17

Направете резервно копие на ISO файла в локалната си система.

Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.

18

За да затворите инструмента за настройка, напишете CTRL+C.

Какво да направите след това

Архивиране на конфигурационния ISO файл. Необходимо е, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, ще загубите и главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.

Никога не разполагаме с копие на този ключ и не можем да ви помогнем, ако го изгубите.

Инсталиране на HDS Host OVA

Използвайте тази процедура, за да създадете виртуална машина от OVA файла.

1	Използвайте клиента VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi.
2	Изберете Файл > Разполагане на OVF шаблон.
3	В съветника укажете местоположението на OVA файла, който сте изтеглили по-рано, след което щракнете върху Напред.
4	На страницата Избор на име и папка въведете име на виртуална машина за възела (например "HDS_Node_1"), изберете местоположение, където може да се намира разполагането на възела на виртуалната машина, след което щракнете върху Напред.
5	На страницата Избор на изчислителен ресурс изберете целевия изчислителен ресурс и след това щракнете върху Напред. Извършва се проверка за валидиране. След като завърши, се показват подробностите за шаблона.
6	Проверете подробностите за шаблона и след това щракнете върху Напред.
7	Ако от вас бъде поискано да изберете конфигурацията на ресурсите на страницата Конфигурация , щракнете върху 4 процесора и след това щракнете върху Напред.
8	На страницата Избор на място за съхранение щракнете върху Напред , за да приемете формата на диска по подразбиране и правилата за съхранение на VM.
9	На страницата Избор на мрежи изберете опцията за мрежа от списъка със записи, за да осигурите желаната свързаност към VM.
10	На страницата Персонализиране на шаблон конфигурирайте следните мрежови настройки: Име на хост – въведете FQDN (име на хост и домейн) или една дума име на хост за възела. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509. За да гарантирате успешна регистрация в облака, използвайте само малки знаци във FQDN или името на хоста, които сте задали за възела. Капитализацията не се поддържа в този момент. Общата дължина на FQDN не трябва да надвишава 64 знака. IP адрес – Въведете IP адреса за вътрешния интерфейс на възела. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. Маска – Въведете адреса на маската на подмрежата с точка и запетая. Например 255.255.255.0. Шлюз – въведете IP адреса на шлюза. Шлюза е мрежов възел, който служи като точка за достъп до друга мрежа. DNS сървъри – Въведете списък с DNS сървъри, разделени със запетая, които обработват преобразуването на имената на домейни в цифрови IP адреси. (Разрешени са до 4 DNS записа.) NTP сървъри – Въведете NTP сървъра на вашата организация или друг външен NTP сървър, който може да се използва във вашата организация. NTP сървърите по подразбиране може да не работят за всички предприятия. Можете също да използвате списък, разделен със запетая, за да въведете няколко NTP сървъра. Разположете всички възли в една и съща подмрежа или VLAN, така че всички възли в клъстера да са достъпни от клиентите във вашата мрежа за административни цели. Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройване на VM на хибридна защита на данни , за да конфигурирате настройките от конзолата за възли. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
11	Щракнете с десния бутон върху възела VM и след това изберете Захранване > Включване. Софтуерът за хибридна защита на данни е инсталиран като гост на VM Host. Вече сте готови да влезете в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да усетите забавяне от няколко минути, преди контейнерите с възли да се появят. На конзолата се появява съобщение за защитна стена на мост по време на първото зареждане, по време на което не можете да влезете.

Настройване на VM на хибридна защита на данни

Използвайте тази процедура, за да влезете за първи път в конзолата на възела на хибридна защита на данни и да зададете данните за вход. Можете също да използвате конзолата, за да конфигурирате мрежовите настройки за възела, ако не сте ги конфигурирали по време на разполагането на OVA.

1	В клиента на VMware vSphere изберете своя възел на хибридна защита на данни VM и изберете раздела Конзола . VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Enter.
2	Използвайте следните данни за влизане и парола по подразбиране, за да влезете и да промените идентификационните данни: Влизане: `администратор` Парола: `cisco` Тъй като влизате във вашия VM за първи път, трябва да промените паролата на администратора.
3	Ако вече сте конфигурирали мрежовите настройки в Инсталиране на HDS Host OVA, пропуснете останалата част от тази процедура. В противен случай в главното меню изберете опцията Редактиране на конфигурацията .
4	Настройте статична конфигурация с IP адрес, маска, шлюз и DNS информация. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.
5	(По избор) Променете името на хоста, домейна или NTP сървъра(ите), ако е необходимо, за да съответстват на мрежовите ви правила. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509.
6	Запишете мрежовата конфигурация и рестартирайте VM, за да влязат в сила промените.

Качване и монтиране на конфигурация ISO на HDS

Използвайте тази процедура, за да конфигурирате виртуалната машина от ISO файла, който сте създали с инструмента за настройка на HDS.

Преди да започнете

Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на база „трябва да знаете“, за достъп от VM на хибридна защита на данни и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до datastore.

1

Качете ISO файла от компютъра си:

В левия навигационен екран на клиента VMware vSphere щракнете върху сървъра ESXi.
В списъка с хардуери на раздела за конфигуриране щракнете върху Място за съхранение.
В списъка Datastores щракнете с десния бутон върху datastore за вашите VMs и щракнете върху Преглед на Datastore.
Щракнете върху иконата Качване на файлове и след това щракнете върху Качване на файл.
Намерете местоположението, където сте изтеглили ISO файла на компютъра си, и щракнете върху Отвори.
Щракнете върху Да , за да приемете предупреждението за операцията за качване/изтегляне, и затворете диалоговия прозорец за данни.

2

Монтиране на ISO файла:

В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
Щракнете върху OK , за да приемете предупреждението за ограничени опции за редактиране.
Щракнете върху CD/DVD диск 1, изберете опцията за монтаж от ISO файл datastore и намерете местоположението, където сте качили конфигурационния ISO файл.
Отметнете Свързан и Свързване при включване.
Запишете промените си и рестартирайте виртуалната машина.

Какво да направите след това

Ако правилата за ИТ изискват, можете по избор да демонтирате ISO файла, след като всички ваши възли поемат промените в конфигурацията. Вижте (По избор) Демонтиране на ISO след конфигуриране на HDS за подробности.

Конфигуриране на HDS възел за интегриране на прокси сървър

Ако мрежовата среда изисква прокси, използвайте тази процедура, за да укажете вида на прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачен проверяващ прокси или HTTPS изричен прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главния сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните всички потенциални проблеми.

Преди да започнете

Вижте Поддръжка на прокси за общ преглед на поддържаните опции за прокси.
Изисквания към прокси сървъра

1	Въведете URL адреса за настройка на HDS възел `https://[HDS Възел IP или FQDN]/настройка` в уеб браузър, въведете администраторски идентификационни данни, които сте настроили за възела и след това щракнете върху Вход.
2	Отидете на Хранилище на доверие & Прокси , след което изберетеопция: Няма прокси сървър – опцията по подразбиране, преди да интегрирате прокси сървър. Не се изисква актуализация на сертификата. Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата. Прокси сървър за прозрачна проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра. Не httpS конфигурация промени са необходими в разполагането на защитата на хибридни данни, обаче HDS възли се нуждаят от главен сертификат, така че те се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS). Изричен прокси сървър – С изричния прокси сървър казвате на клиента (HDS възли) кой прокси сървър да използва, и тази опция поддържа няколко типа удостоверяване. След като изберете тази опция, трябва да въведете следната информация: Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик. Прокси протокол – изберете http (преглежда и управлява всички заявки, които се получават от клиента) или https (осигурява канал към сървъра и клиентът получава и валидира сертификата на сървъра). Изберете опция въз основа на това, което поддържа вашият прокси сървър. Тип удостоверяване – изберете измежду следните типове удостоверяване: Няма – Не се изисква допълнително удостоверяване. Налична за HTTP или HTTPS проксита. Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране. Налична за HTTP или HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата. Предлага се само за HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Изпълнете следващите стъпки за прозрачен проверяващ прокси, HTTP изрично прокси с базово удостоверяване или HTTPS изрично прокси.
3	Щракнете върху Качване на главен сертификат или Сертификат за краен обект и след това навигирайте до изберете главния сертификат запрокси. Сертификатът се качва, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката chevron по името на издателя на сертификата, за да получите повече подробности или щракнете върху Изтрий, ако сте направили грешка и искате да качите повторно файла.
4	Щракнете върху Проверка на прокси връзката, за да тествате мрежовата свързаност между възела и прокси. Ако тестът за връзка е неуспешен, ще видите съобщение за грешка, което показва причината и как можете да коригирате проблема. Ако видите съобщение, което казва, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на блокирано външно DNS разрешаване. Ако мислите, че това е грешка, изпълнете тези стъпки и след това вижте Изключване на режима на блокирано външно разрешаване на DNS.
5	След като тестът за връзка премине, за изрично прокси настроен само на https, включете превключването към Маршрут всички порт 443/444 https заявки от този възел през изрично прокси. Тази настройка изисква 15 секунди, за да влязат в сила.
6	Щракнете върху Инсталиране на всички сертификати в хранилището на гаранти (появява се за HTTPS изрично прокси или прозрачен проверяващ прокси) или Рестартиране (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете върху Инсталиране, ако сте готови. Възелът се рестартира в рамките на няколко минути.
7	След рестартирането на възела влезте отново, ако е необходимо, след което отворете страницата Общ преглед, за да проверите проверките за свързване, за да се уверите, че всички те са в зелено състояние. Проверката на прокси връзката тества само поддомейн от webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират в прокси.

Регистриране на първия възел в клъстера

Тази задача взема генеричния възел, който сте създали в Настройване на хибридна защита на данни VM, регистрира възела с облака на Webex и го превръща във възел на хибридна защита на данни.

Когато регистрирате първия си възел, създавате клъстер, към който е разпределен възелът. Клъстерът съдържа един или повече възли, разгърнати за осигуряване на резерв.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Настройка.
4	На страницата, която се отваря, щракнете върху Добавяне на ресурс.
5	В първото поле на картата Добавяне на възел въведете име за клъстера, на който искате да разпределите вашия възел на хибридна защита на данни. Препоръчваме ви да посочите клъстер въз основа на географското местоположение на клъстера. Примери: „Сан Франциско“ или „Ню Йорк“ или „Далас“
6	Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне в долната част на екрана. Този IP адрес или FQDN трябва да съвпада с IP адреса или името на хоста и домейна, които сте използвали в Настройване на VM на хибридна защита на данни. Появява се съобщение, което показва, че можете да регистрирате възела в Webex.
7	Щракнете върху Към възел. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация в Webex за достъп до вашия възел.
8	Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex.
9	Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. На страницата Хибридна защита на данни новият клъстер, съдържащ възела, който сте регистрирали, се показва под раздела Ресурси . Възелът автоматично ще изтегли най-новия софтуер от облака.

Създаване и регистриране на още възли

За да добавите допълнителни възли към вашия клъстер, просто създавате допълнителни VM и монтирате същия конфигурационен ISO файл, след което регистрирайте възела. Препоръчваме ви да имате поне 3 възела.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталиране на HDS Host OVA.
2	Настройте първоначалната конфигурация на новия VM, като повторите стъпките в Настройване на хибридна защита на данни VM.
3	На новия VM повторете стъпките в Качване и монтиране на ISO на конфигурацията на HDS.
4	Ако настройвате прокси сървър за разполагането си, повторете стъпките в Конфигуриране на възела на HDS за интеграция на прокси сървър , както е необходимо за новия възел.
5	Регистрирайте възела. В https://admin.webex.com изберете Услуги от менюто от лявата страна на екрана. В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Преглед на всички. Показва се страницата с ресурси за хибридна защита на данни. Новосъздаденият клъстер ще се появи на страницата Ресурси . Щракнете върху клъстера, за да видите възлите, разпределени към клъстера. Щракнете върху Добавяне на възел от дясната страна на екрана. Въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне. Отваря се страница със съобщение, което показва, че можете да регистрирате възела си в облака Webex. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация за достъп до вашия възел. Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex. Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. Изскачащото съобщение Добавен възел също се появява в долната част на екрана в Partner Hub. Възелът ви е регистриран.

Управление на организации на клиенти в хибридна защита на данни с много клиенти

Активиране на HDS с много клиенти в Partner Hub

Тази задача гарантира, че всички потребители на клиентските организации могат да започнат да използват HDS за локални ключове за шифроване и други услуги за защита.

Преди да започнете

Уверете се, че сте завършили настройването на своя клъстер на HDS с много клиенти с необходимия брой възли.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките.
4	Щракнете върху Активиране на HDS на картата Статус на HDS .

Добавяне на организации на клиенти в Partner Hub

В тази задача задавате клиентски организации към вашия клъстер на хибридна защита на данни.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	Щракнете върху клъстера, към който искате да бъде разпределен клиент.
5	Отидете в раздела Зададени клиенти .
6	Щракнете върху Добавяне на клиенти.
7	Изберете клиента, който искате да добавите, от падащото меню.
8	Щракнете върху Добавяне, клиентът ще бъде добавен към клъстера.
9	Повторете стъпки 6 до 8, за да добавите множество клиенти към вашия клъстер.
10	Щракнете върху Готово в долната част на екрана, след като сте добавили клиентите.

Какво да направите след това

Изпълнете инструмента за настройка на HDS, както е подробно описано в Създаване на главни ключове на клиенти (CMK) с помощта на инструмента за настройка на HDS , за да завършите процеса на настройка.

Създаване на главни ключове (CMK) за клиента с помощта на инструмента за настройка на хибридни съобщения

Преди да започнете

Разпределете клиенти към съответния клъстер, както е подробно описано в Добавяне на организации на клиенти в Partner Hub. Стартирайте инструмента за настройка на HDS, за да завършите процеса на настройка за новодобавените клиентски организации.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете. Осигурете свързване с вашата база данни, за да извършите управление на CMK.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Създаване на CMK за всички организации или Създаване на CMK – щракнете върху този бутон на банера в горната част на екрана, за да създадете CMK за всички новодобавени организации. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Създаване на CMK , за да създадете CMK за всички новодобавени организации. Щракнете върху ... близо до управлението на CMK в очакване на статуса на определена организация в таблицата и щракнете върху Създаване на CMK , за да създадете CMK за тази организация.
12	След като създаването на CMK е успешно, статусът в таблицата ще се промени от управление на CMK в очакване на управление на CMK.
13	Ако създаването на CMK е неуспешно, ще се покаже грешка.

Премахване на организации на клиенти

Преди да започнете

След като бъдат премахнати, потребителите на организации на клиенти няма да могат да използват HDS за своите нужди от шифроване и ще загубят всички съществуващи места. Преди да премахнете клиентски организации, се свържете със своя партньор в Cisco или мениджър на акаунти.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	В раздела Ресурси щракнете върху клъстера, от който искате да премахнете клиентските организации.
5	На страницата, която се отваря, щракнете върху Зададени клиенти.
6	От списъка с клиентски организации, които се показват, щракнете върху ... от дясната страна на клиентската организация, която искате да премахнете, и щракнете върху Премахване от клъстера.

Какво да направите след това

Завършете процеса на премахване, като анулирате CMK на клиентските организации, както е подробно описано в Анулиране на CMK на клиенти, премахнати от HDS.

Анулиране на CMK на клиенти, премахнати от HDS.

Преди да започнете

Премахнете клиенти от съответния клъстер, както е подробно описано в Премахване на организации на клиенти. Стартирайте инструмента за настройка на HDS, за да завършите процеса на премахване за организациите на клиента, които са премахнати.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Анулиране на CMK за всички организации или Анулиране на CMK – щракнете върху този бутон на банера в горната част на екрана, за да анулирате CMK на всички организации, които са премахнати. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Анулиране на CMK , за да анулирате CMK на всички организации, които са премахнати. Щракнете върху … близо до CMK, за да бъде отменено състоянието на определена организация в таблицата и щракнете върху Анулиране на CMK , за да анулирате CMK за тази конкретна организация.
12	След успешното анулиране на CMK организацията на клиента повече няма да се показва в таблицата.
13	Ако отмяната на CMK е неуспешно, ще се покаже грешка.

Тестване на вашето разполагане на хибридна защита на данни

Използвайте тази процедура, за да тествате сценариите за шифроване на хибридна защита на данни с много клиенти.

Преди да започнете

Настройте своето разполагане на хибридна защита на данни с много клиенти.
Уверете се, че имате достъп до syslog, за да потвърдите, че ключовите заявки се подават към вашето разполагане на хибридна защита на данни с много клиенти.

1

Бутоните за дадено място се задават от създателя на мястото. Влезте в приложението Webex като един от потребителите на организацията на клиентите и след това създайте място.

Ако деактивирате разполагането на хибридна защита на данни, съдържанието в местата, които създават потребителите, вече не е достъпно, след като бъдат заменени кешираните от клиента копия на ключовете за шифроване.

2

Изпратете съобщения до новото място.

3

Проверете изхода на syslog, за да потвърдите, че ключовите заявки се прехвърлят към вашето разполагане на хибридна защита на данни.

За да проверите за потребител, който първо създава защитен канал към KMS, филтрирайте на kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

Трябва да намерите запис като следния (идентификатори, съкратени за четливост):

2020-07-21 17:35:34.562 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-1] - [KMS:ЗАЯВКА] получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms: //hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

За да проверите за потребител, който иска съществуващ ключ от KMS, филтрирайте на kms.data.method=retrieve и kms.data.type=KEY:

Трябва да намерите запис, като:

2020-07-21 17:44:19.889 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-31] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ключ, филтрирайте на kms.data.method=create и kms.data.type=KEY_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:21.975 (+0000) ИНФОРМАЦИЯ KMS [pool-14-thread-33] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ресурсен обект (KRO), когато се създава пространство или друг защитен ресурс, филтрирайте на kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:22.808 (+0000) ИНФОРМАЦИЯ KMS [pool-15-thread-1] - [KMS:ЗАЯВКА] е получена, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms: //hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Наблюдение на изправността на хибридна защита на данни

Индикатор за статус в Partner Hub ви показва дали всичко е наред с разполагането на хибридна защита на данни с много клиенти. За по-активно предупреждаване се запишете за известия по имейл. Ще бъдете уведомени, когато има аларми, засягащи услугата, или надстройки на софтуера.

1	В Partner Hub изберете Услуги от менюто от лявата страна на екрана.
2	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките. Показва се страницата с настройки за хибридна защита на данни.
3	В раздела \„Имейл известия\“ въведете един или повече имейл адреси, разделени със запетаи, и натиснете Enter.

Управление на вашето разполагане на HDS

Управление на разполагането на HDS

Използвайте описаните тук задачи, за да управлявате своето разполагане на хибридна защита на данни.

Задаване на график за надстройване на клъстери

Надстройките на софтуера за хибридна защита на данни се извършват автоматично на ниво клъстер, което гарантира, че всички възли винаги изпълняват една и съща софтуерна версия. Надстройванията се извършват съгласно графика за надстройване за клъстера. Когато е налична надстройка на софтуера, имате възможност ръчно да надстроите клъстера преди планираното време за надстройване. Можете да зададете конкретен график за надстройване или да използвате графика по подразбиране от 3:00 ч. дневно в Съединените щати: Америка/Лос Анджелис. Можете също да изберете да отложите предстоящото надстройване, ако е необходимо.

За да зададете графика за надстройване:

1	Влезте в Центъра за партньори.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Настройка
4	На страницата с ресурси за хибридна защита на данни изберете клъстера.
5	Щракнете върху раздела Настройки на клъстера .
6	На страницата с настройки на клъстери под „График за надстройване“ изберете часа и часовата зона за графика за надстройване. Забележка: Под часовата зона се показват следващата налична дата и час на надстройване. Можете да отложите надстройването до следващия ден, ако е необходимо, като щракнете върху Отложи с 24 часа.

Промяна на конфигурацията на възела

От време на време може да се наложи да промените конфигурацията на вашия възел за защита на хибридни данни поради причина като:

Промяна на x.509 сертификати поради изтичане или други причини.

Не поддържаме промяна на CN името на домейн на сертификат. Домейнът трябва да съответства на оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.

Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или обратното. За да превключите средата на базата данни, започнете ново внедряване на Hybrid Data Security.
Създаване на нова конфигурация за подготовка на нов център за данни.

Също така, за целите на защитата, Hybrid Data Security използва пароли за сервизен акаунт, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, ги разполагате на всеки от вашите HDS възли във файла ISO config. Когато паролите на вашата организация са към изтичане, получавате известие от екипа на Webex за нулиране на паролата за вашия машинен акаунт. (Имейлът включва текста „Използвайте API на машинния акаунт, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:

Софтуерно нулиране – И двете стари и нови пароли работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране – Старите пароли спират да работят незабавно.

Ако вашите пароли изтекат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно хардуерно нулиране и подмяна на ISO файла на всички възли.

Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни права на администратор на партньор.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в 1.e. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTP_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTPS прокси без удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_ПРОКСИ=http://СЪРВЪР_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`ГЛОБАЛЕН_АГЕНТ_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT`

Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Имате нужда от ISO, когато правите промени в конфигурацията, включително идентификационни данни на база данни, актуализации на сертификати или промени в правилата за оторизация.

1	Използвайки Docker на локална машина, стартирайте HDS Setup Tool. В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `докер rmi ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер rmi ciscocitg/hds-setup-fedramp: стабилен` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате. За да влезете в регистъра на изображения на Docker, въведете следното: `докер вход -u hdscustomersro` При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwa` Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `докер издърпване ciscocitg/hds-setup: стабилен` В среди на FedRAMP: `докер издърпване ciscocitg/hds-setup-fedramp: стабилен` Уверете се, че сте изтеглили най-новия инструмент за настройка за тази процедура. Версиите на инструмента, създадени преди 22 февруари 2018 г., нямат екрани за нулиране на парола. Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В нормални среди с HTTPSпрокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `докер изпълнение -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:стабилен` В среди на FedRAMP с HTTP прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `изпълнение на докера -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате "Express сървър слушане на порт 8080." Използвайте браузър, за да се свържете с localhost, `http://127.0.0.1:8080`. Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Когато получите подкана, въведете идентификационните си данни за влизане за клиент на Partner Hub и след това щракнете върху Приемане , за да продължите. Импортирайте текущия конфигурационен ISO файл. Следвайте подканите, за да завършите инструмента и да изтеглите актуализирания файл. За да затворите инструмента за настройка, напишете `CTRL+C`. Създайте резервно копие на актуализирания файл в друг център за данни.
2	Ако имате работещ само един HDS възел, създайте нов VM възел на хибридна защита на данни и го регистрирайте, като използвате новия конфигурационен ISO файл. За по-подробни инструкции вижте Създаване и регистриране на още възли. Инсталирайте HDS хост OVA. Настройте HDS VM. Монтирайте актуализирания конфигурационен файл. Регистрирайте новия възел в Partner Hub.
3	За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: Изключете виртуалната машина. В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките. Щракнете върху `CD / DVD диск 1 , изберете опцията за монтиране от ISO файл и`прегледайте местоположението, където сте изтеглили новия конфигурационен ISO файл. Поставете отметка на Свързване при включване. Запазете промените си и включете виртуалната машина.
4	Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация.

Изключване на режим на блокирана външна DNS разделителна способност

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. Ако DNS сървърът на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на блокирана външна DNS разделителна способност.

Ако вашите възли са в състояние да разреши публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим чрез повторно изпълнение на теста за прокси връзка на всеки възел.

Преди да започнете

Гарантирайте, че вашите вътрешни DNS сървъри могат да разрешават публични DNS имена, както и че вашите възли могат да комуникират с тях.

1	В уеб браузър отворете интерфейса на възела "Защита на хибридните данни" (IP адрес/настройка например въведете идентификационни данни за администриране, които https://192.0.2.0/setup), сте задали за възела, след което щракнете върху Влизане.
2	Отидете на Общ преглед (страницата по подразбиране). Когато е разрешено, блокирани външна DNS разделителна способност е зададена да .
3	Отидете на страницата Хранилище на доверие & Прокси.
4	Щракнете върху Проверка на прокси връзката. Ако видите съобщение, казващо, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра и ще остане в този режим. В противен случай, след като рестартирате възела и да се върнете към страницата общ преглед, Блокиран външен DNS разделителна способност трябва да бъде зададено на не.

Какво да направите след това

Повторете теста за прокси връзка на всеки възел във вашия клъстер за защита на хибридни данни.

Премахване на възел

Използвайте тази процедура, за да премахнете възел на хибридна защита на данни от облака Webex. След като премахнете възела от клъстера, изтрийте виртуалната машина, за да предотвратите по-нататъшен достъп до вашите данни за защита.

1

Използвайте клиента на VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуалната машина.

2

Премахване на възела:

Влезте в Partner Hub и изберете Услуги.
В картата на хибридна защита на данни щракнете върху Преглед на всички , за да покажете страницата с ресурси за хибридна защита на данни.
Изберете своя клъстер, за да се покаже неговият панел \„Общ преглед\“.
Щракнете върху възела, който искате да премахнете.
Щракнете върху Дерегистриране на този възел на панела, който се появява вдясно
Можете също да дерегистрирате възела, като щракнете върху ... от дясната страна на възела и изберете Премахване на този възел.

3

В клиента vSphere изтрийте VM. (В левия навигационен екран щракнете с десния бутон върху VM и щракнете върху Изтрий.)

Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за защита.

Възстановяване след бедствие с използване на центъра за данни в режим на готовност

Най-критичната услуга, която вашият клъстер на хибридна защита на данни предоставя, е създаването и съхранението на ключове, използвани за шифроване на съобщения и друго съдържание, съхранени в облака на Webex. За всеки потребител в рамките на организацията, който е разпределен към хибридна защита на данни, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът също така е отговорен за връщането на създадените ключове на всички потребители, упълномощени да ги извлекат, например членове на място за разговори.

Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат подходящи резервни копия. Загубата на базата данни за хибридна защита на данни или на конфигурационния ISO, използван за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентското съдържание. За предотвратяване на такава загуба са задължителни следните практики:

Ако при бедствие разполагането на HDS в основния център за данни стане недостъпно, следвайте тази процедура, за да се върнете ръчно към центъра за данни в режим на готовност.

Преди да започнете

Премахнете регистрацията на всички възли от Partner Hub, както е посочено в Премахване на възел. Използвайте най-новия ISO файл, конфигуриран спрямо възлите на клъстера, който преди това е бил активен, за да извършите посочената по-долу процедура за преместване при отказ.

1	Стартирайте инструмента за настройка на HDS и следвайте стъпките, споменати в Създаване на конфигурационен ISO за хостовете на HDS.
2	Завършете процеса на конфигуриране и запишете ISO файла на лесно за намиране място.
3	Направете резервно копие на ISO файла в локалната си система. Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.
4	В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
5	Щракнете върху Редактиране на настройките >CD/DVD диск 1 и изберете Datastore ISO файл. Уверете се, че са отметнати Свързани и Свързване при включване , за да могат актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.
6	Включете възела на HDS и се уверете, че няма аларми поне 15 минути.
7	Регистрирайте възела в Partner Hub. Вижте Регистриране на първия възел в клъстера.
8	Повторете процеса за всеки възел в центъра за данни в режим на готовност.

Какво да направите след това

След отказ, ако основният център за данни се активира отново, премахнете регистрацията на възлите на центъра за данни в режим на готовност и повторете процеса на конфигуриране на ISO и регистриране на възлите на основния център за данни, както е посочено по-горе.

(По избор) Демонтиране на ISO след конфигуриране на HDS

Стандартната конфигурация на HDS работи с монтирания ISO. Но някои клиенти предпочитат да не оставят ISO файловете постоянно монтирани. Можете да разглобите ISO файла, след като всички възли на HDS поемат новата конфигурация.

Все още използвате ISO файловете, за да направите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всички ваши HDS възли. След като всички ваши възли са приели промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.

Преди да започнете

Надстройте всички ваши HDS възли до версия 2021.01.22.4720 или по-нова.

1	Затворете един от възлите си за HDS.
2	В уреда vCenter Server изберете възела на HDS.
3	Изберете Редактиране на настройките > CD/DVD диск и премахнете отметката от Datastore ISO файл.
4	Включете възела на HDS и се уверете, че няма аларми поне 20 минути.
5	Повторете за всеки HDS възел на смяна.

Отстраняване на неизправности в хибридна защита на данни

Преглед на предупрежденията и отстраняване на неизправности

Разполагането на хибридна защита на данни се счита за налично, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че отнема време. Ако потребителите не могат да се свържат с вашия клъстер на хибридна защита на данни, те изпитват следните симптоми:

Не могат да се създават нови места (не могат да се създадат нови ключове)
Неуспешно дешифриране на съобщенията и заглавията на пространството за:
- Нови потребители, добавени към място (не могат да се извлекат ключове)
- Съществуващи потребители в място с помощта на нов клиент (не могат да се извлекат ключовете)
Съществуващите потребители в дадено място ще продължат да се изпълняват успешно, стига клиентите им да имат кеш с ключовете за шифроване

Важно е да наблюдавате правилно своя клъстер на хибридна защита на данни и да обръщате бързо към всички предупреждения, за да избегнете прекъсване на услугата.

Предупреждения

Ако има проблем с настройката на хибридна защита на данни, Partner Hub показва предупреждения до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Предупрежденията обхващат много общи сценарии.

Таблица 1. Общи проблеми и стъпки за тяхното разрешаване
Предупреждение	Действие
Отказ на достъп до локална база данни.	Проверете за грешки в базата данни или проблеми с локалната мрежа.
Неуспешна връзка с локалната база данни.	Проверете дали сървърът с база данни е достъпен и дали са използвани правилните идентификационни данни за акаунта за услуга в конфигурацията на възела.
Неуспешен достъп до услугата в облака.	Проверете дали възлите имат достъп до сървърите на Webex, както е посочено в Изисквания за външна свързаност.
Подновяване на регистрацията за услуги в облака.	Регистрацията в услугите в облака беше прекъсната. Протича подновяване на регистрацията.
Регистрацията на услуги в облака е прекъсната.	Регистрирането в облачни услуги е прекратено. Услугата се затваря.
Услугата все още не е активирана.	Активирайте HDS в Partner Hub.
Конфигурираният домейн не съответства на сертификата на сървъра.	Уверете се, че сертификатът на сървъра ви съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата наскоро е променен и сега е различен от CN, който е бил използван по време на първоначалната настройка.
Неуспешно удостоверяване в услугите в облака.	Проверете за точност и възможно изтичане на идентификационните данни за акаунта за услугата.
Неуспешно отваряне на локалния файл на клавиатурата.	Проверете за целостта и точността на паролата във файла с локалния клавиатура.
Сертификатът за локален сървър е невалиден.	Проверете датата на изтичане на сертификата на сървъра и потвърдете, че той е издаден от надежден сертифициращ орган.
Неуспешно публикуване на метриките.	Проверете достъпа до локалната мрежа до външни облачни услуги.
Директорията /media/configdrive/hds не съществува.	Проверете конфигурацията за монтаж на ISO на виртуалния хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и дали се монтира успешно.
Настройката на организация на клиент не е завършена за добавените организации	Завършете настройката, като създадете CMK за новодобавени организации на клиенти с помощта на инструмента за настройка на хибридни съобщения.
Настройката на организация на клиента не е завършена за премахнатите организации	Завършете настройката чрез анулиране на CMK на организациите на клиенти, които са премахнати с помощта на инструмента за настройка на хибридни телефони (HDS).

Отстраняване на неизправности в хибридна защита на данни

Използвайте следните общи насоки, когато отстранявате проблеми с хибридна защита на данни.

1	Прегледайте Partner Hub за предупреждения и коригирайте всички елементи, които намерите там. Вижте изображението по-долу за справка.
2	Прегледайте изхода на сървъра syslog за активност от разполагането на хибридна защита на данни. Филтрирайте за думи като „Предупреждение“ и „Грешка“, за да помогнете при отстраняване на неизправности.
3	Свържете се с поддръжката на Cisco.

Други бележки

Известни проблеми с хибридната защита на данните

Ако затворите своя клъстер на хибридна защита на данни (като го изтриете в Partner Hub или като затворите всички възли), загубите своя ISO файл за конфигуриране или загубите достъп до базата данни на клавиатурата, потребителите на приложението Webex на клиентските организации вече няма да могат да използват пространства в своя списък "Хора", създадени с ключове от вашия KMS. В момента нямаме заобиколно решение или корекция за този проблем и ви призовавам да не затваряте услугите си за HDS, след като обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за период от време (вероятно един час).

Използване на OpenSSL за генериране на PKCS12 файл

Преди да започнете

OpenSSL е един инструмент, който може да се използва за създаване на PKCS12 файл в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини за това и ние не подкрепяме и не насърчаваме един път над друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като ръководство, за да ви помогнем да създадете файл, който отговаря на изискванията за сертификат X.509 в Изисквания за сертификат X.509. Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижте https://www.openssl.org софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификата на сървъра от вашия сертифициращ орган (CA).

1	Когато получите сертификата на сървъра от вашия CA, запишете го като `hdsnode.pem`.
2	Показване на сертификата като текст и проверете подробностите. `openssl x509 -текст -noout -в hdsnode.pem`
3	Използвайте текстов редактор, за да създадете файл пакет сертификат, наречен `hdsnode-bundle.pem`. Пакетният файл трябва да включва сертификата на сървъра, всички междинни CA сертификати и корневи CA сертификати в следния формат: `-----начало на сертификат----- ### сертификат на сървър. ### -----край на сертификат--------------- начало на сертификат------ ### Междинен CA сертификат. ### -----край на сертификат--------------- начало на сертификат------ ### Корневи CA сертификат. ### -----край на сертификат-----`
4	Създайте .p12 файла с приятелското име `kms-частен-ключ`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверете подробностите за сертификата на сървъра. `openssl pkcs12 -в hdsnode.p12` Въведете парола при подкана да шифровате частния ключ, така че да се показва в изхода. След това се уверете, че частният ключ и първият сертификат включват линиите `friendlyName: kms-частен-ключ`. Пример: bash$ openssl pkcs12 -in hdsnode.p12 Въведете паролата за импортиране: MAC потвърди атрибути OK Bag friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ключови атрибути: Въведете фраза за преминаване на PEM: Потвърждаване – Въведете фраза за достъп до PEM: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Какво да направите след това

Върнете се, за да изпълните изискванията за хибридна защита на данни. Ще използвате файла hdsnode.p12 и паролата, която сте задали за него, в Създаване на конфигурационен ISO за организаторите на HDS.

Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато първоначалният сертификат изтече.

Трафик между възлите на HDS и облака

Изходящ трафик за събиране на метрики

Възлите на хибридна защита на данни изпращат определени показатели към облака на Webex. Те включват системни метрики за heap max, използван heap, натоварване на процесора и брой нишки; метрики за синхронните и асинхронните нишки; метрики за предупрежденията, включващи праг на шифроване връзки, латентност или дължина на опашката за заявки; метрики за datastore; и метрики за връзката за шифроване. Възлите изпращат материали за шифрован ключ през нечестотен (отделен от заявката) канал.

Входящ трафик

Възлите на хибридна защита на данни получават следните типове входящ трафик от облака на Webex:

Заявки за шифроване от клиенти, които се маршрутизират от услугата за шифроване
Надстройки до софтуера за възли

Конфигуриране на прокси сървъри за хибридна защита на данните

Websocket не може да се свърже чрез сепия прокси

Прокси сървърите, които инспектират HTTPS трафика, могат да повлияят на създаването на websocket (в к:) връзки, които изискват хибридната защита на данните. Тези раздели дават насоки как да конфигурирате различни версии на Калмар, за да игнорирате wss: трафик за правилното функциониране на услугите.

Калмята 4 и 5

Добавете on_unsupported_protocol директивата към squid.conf:

on_unsupported_protocol тунел

Сепия 3.5.27

Успешно тествахме Hybrid Data Security със следните правила, добавени към squid.conf. Тези правила подлежат на промяна, тъй като разработваме функции и актуализираме webex облака.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump надничане step1 всички ssl_bump stare step2 всички ssl_bump bump step3 всички

Нова и променена информация

Тази таблица обхваща нови функции или функционалности, промени в съществуващото съдържание и всички големи грешки, които са поправени в Ръководство за разполагане за хибридна защита на данните с много клиенти.

Дата	Направени промени
04 март 2025 г.	Добавено е Изпълнение на инструмент за настройка на HDS с помощта на раздела Podman Desktop . Добавена е бележка в изискванията за настолен компютър за docker, която предоставя на клиентите алтернативна опция с отворен код. Актуализиран е Създаване на конфигурация ISO за хостовете на HDS и Промяна на конфигурацията на възела с инструкции за използване на Podman Desktop за клиенти без лиценз за Docker Desktop.
30 януари 2025 г.	Добавена е версия на SQL сървър 2022 към списъка с поддържани SQL сървъри в изискванията за сървър на базата данни.
15 януари 2025 г.	Добавени са ограничения на хибридната защита на данните с много клиенти.
08 януари 2025 г.	Добавена е бележка в Извършване на първоначална настройка и изтегляне на инсталационни файлове , в която се посочва, че щракването върху Настройка на HDS картата в Partner Hub е важна стъпка от процеса на инсталиране.
07 януари 2025 г.	Актуализирани изисквания за виртуален хост, Поток от задачи за разполагане на хибридна защита на данни, и Инсталиране на HDS Host OVA , за да се покаже ново изискване на ESXi 7.0.
13 декември 2024 г.	Публикувана за първи път.

Деактивиране на хибридна защита на данни с много клиенти

Поток на задачи за деактивиране на HDS с много клиенти

Изпълнете тези стъпки, за да деактивирате напълно HDS с много клиенти.

Преди да започнете

Тази задача трябва да се изпълнява само от администратор с пълни права на партньор.

1	Премахнете всички клиенти от всичките ви клъстери, както е посочено в Премахване на организации на клиенти.
2	Анулирайте CMK на всички клиенти, както е посочено в Анулиране на CMK на клиенти, премахнати от HDS..
3	Премахнете всички възли от всичките ви клъстери, както е посочено в Премахване на възел.
4	Изтрийте всичките си клъстери от Partner Hub, като използвате един от следните два метода. Щракнете върху клъстера, който искате да изтриете, и изберете Изтриване на този клъстер в горния десен ъгъл на страницата за общ преглед. На страницата „Ресурси“ щракнете върху ... от дясната страна на клъстер и изберете Премахване на клъстер.
5	Щракнете върху раздела Настройки на страницата за общ преглед на хибридната защита на данни и щракнете върху Деактивиране на хибридната защита на данни в картата за статус на HDS.

Първи стъпки с хибридна защита на данните с много клиенти

Общ преглед на хибридна защита на данни с няколко клиента

От първия ден сигурността на данните е основният фокус при проектирането на приложението Webex. Крайъгълният камък на тази защита е цялостното шифроване на съдържание, разрешено от клиентите на приложението Webex, които взаимодействат с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографски ключове, които клиентите използват за динамично криптиране и дешифриране на съобщения и файлове.

По подразбиране всички клиенти на приложението Webex получават цялостно шифроване с динамични ключове, съхранявани в облака KMS, в областта на защитата на Cisco. Хибридната защита на данните премества KMS и други свързани със сигурността функции във вашия корпоративен център за данни, така че никой освен вас не държи ключовете за вашето криптирано съдържание.

Хибридната защита на данните с много клиенти позволява на организациите да използват HDS чрез надежден местен партньор, който може да действа като доставчик на услуги и да управлява локално шифроване и други услуги за защита. Тази настройка позволява на партньорската организация да има пълен контрол върху разполагането и управлението на ключове за шифроване и гарантира, че потребителските данни на клиентските организации са безопасни от външен достъп. Партньорските организации настройват HDS екземпляри и създават HDS клъстери, ако е необходимо. Всеки екземпляр може да поддържа няколко клиентски организации за разлика от нормалното разполагане на HDS, което е ограничено до една организация.

Въпреки че партньорските организации имат контрол върху разполагането и управлението, те нямат достъп до данни и съдържание, генерирани от клиентите. Този достъп е ограничен до клиентски организации и техните потребители.

Това също така позволява по-малките организации да използват HDS, тъй като услугата за управление на ключове и инфраструктурата за сигурност, като центровете за данни, са собственост на доверения местен партньор.

Как хибридната защита на данните с няколко клиента осигурява суверенитет на данните и контрол на данните

Генерираното от потребителите съдържание е защитено от външен достъп, като например доставчици на облачни услуги.
Местните доверени партньори управляват ключовете за шифроване на клиенти, с които вече имат установени отношения.
Опция за местна техническа поддръжка, ако бъде предоставена от партньора.
Поддържа съдържание в Meetings, Messaging и Calling.

Този документ има за цел да помогне на партньорските организации да настройват и управляват клиенти в система за хибридна защита на данните с много клиенти.

Ограничения на хибридната защита на данните с много клиенти

Партньорските организации не трябва да имат съществуващо активно разполагане на HDS в Control Hub.
Организациите на клиенти или клиенти, които желаят да бъдат управлявани от партньор, не трябва да имат съществуващо разполагане на HDS в Control Hub.
След като HDS за множество клиенти бъде разгърнат от партньора, всички потребители на клиентски организации, както и потребители на партньорската организация, започват да използват HDS за множество клиенти за своите услуги за шифроване.

Партньорската организация и клиентските организации, които управляват, ще бъдат на едно и също разполагане на HDS с много клиенти.

Партньорската организация вече няма да използва KMS в облака след разгръщането на HDS с много клиенти.
Няма механизъм за преместване на ключовете обратно към Cloud KMS след разполагане на HDS.
В момента всяко разполагане на HDS с много клиенти може да има само един клъстер, с множество възли под него.
Ролите на администратор имат определени ограничения; вижте раздела по-долу за подробности.

Роли в хибридна защита на данните с няколко клиента

Администратор на партньор с пълни права – може да управлява настройките за всички клиенти, които партньорът управлява. Могат също да възлагат администраторски роли на съществуващи потребители в организацията и да задават конкретни клиенти, които да бъдат управлявани от администратори на партньора.
Администратор на партньор – може да управлява настройките за клиенти, които администраторът е предоставил или които са зададени на потребителя.
Пълен администратор – администратор на партньорската организация, който е упълномощен да изпълнява задачи, като промяна на настройките на организацията, управление на лицензи и задаване на роли.

Цялостно настройване и управление на HDS с много клиенти на всички клиентски организации – изискват се пълен администратор на партньор и права на пълен администратор.
Управление на зададените организации на клиенти – изискват се администратор на партньор и права на пълен администратор.

Архитектура на областта на сигурността

Архитектурата на облака на Webex разделя различните типове услуги в отделни области или домейни на доверие, както е описано по-долу.

За да разберем по-подробно хибридната защита на данните, нека първо разгледаме този случай в облака, където Cisco предоставя всички функции в своите облачни области. Услугата за самоличност, единственото място, където потребителите могат да бъдат пряко свързани с тяхната лична информация, като имейл адрес, е логично и физически отделена от областта на защитата в центъра за данни B. И двете от своя страна са отделени от областта, в която в крайна сметка се съхранява шифровано съдържание, в центъра за данни C.

На тази схема клиентът е приложението Webex, което се изпълнява на лаптопа на потребителя, и е удостоверен с услугата за самоличност. Когато потребителят композира съобщение за изпращане до интервал, се извършват следните стъпки:

Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което иска ключ за шифроване на съобщението. Защитената връзка използва ECDH, а KMS шифрова ключа с помощта на главния ключ AES-256.
Съобщението е шифровано преди да напусне клиента. Клиентът го изпраща на услугата за индексиране, която създава шифровани индекси за търсене, за да подпомогне при бъдещи търсения на съдържанието.
Шифрованото съобщение се изпраща на услугата за съответствие за проверки за съответствие.
Шифрованото съобщение се съхранява в областта на мястото за съхранение.

Когато разположите хибридна защита на данни, премествате функциите на областта на защитата (KMS, индексиране и съответствие) в своя локален център за данни. Другите услуги в облака, които съставляват Webex (включително съхранение на самоличност и съдържание), остават в областите на Cisco.

Сътрудничество с други организации

Потребителите във вашата организация могат редовно да използват приложението Webex за сътрудничество с външни участници в други организации. Когато един от вашите потребители поиска ключ за място, което е собственост на вашата организация (защото е създадено от един от вашите потребители), вашата KMS изпраща ключа на клиента чрез ECDH защитен канал. Когато обаче друга организация притежава ключа за пространството, вашият KMS маршрутизира заявката към облака Webex чрез отделен ECDH канал, за да получи ключа от съответния KMS и след това връща ключа на вашия потребител в оригиналния канал.

Услугата KMS, изпълнявана в организация А, валидира връзките към KMS в други организации, като използва x.509 PKI сертификати. Вижте Подготовка на средата за подробности относно генерирането на сертификат x.509, който да се използва при вашето разполагане на хибридна защита на данни с много клиенти.

Очаквания за внедряване на хибридна защита на данни

Внедряването на хибридна защита на данни изисква значителна ангажираност и осведоменост за рисковете, които идват от притежаването на ключове за шифроване.

За да разположите хибридна защита на данни, трябва да предоставите:

Защитен център за данни в страна, която е поддържано местоположение за плановете на Cisco Webex Teams.
Оборудването, софтуерът и мрежовият достъп, описани в Подготовка на средата.

Пълната загуба или на конфигурационния ISO, който изграждате за хибридна защита на данни, или на базата данни, която предоставяте, ще доведе до загуба на ключове. Загубата на ключове не позволява на потребителите да дешифрират съдържанието в пространството и други шифровани данни в приложението Webex. Ако това се случи, можете да изградите ново разполагане, но ще се вижда само новото съдържание. За да избегнете загуба на достъп до данни, трябва:

Управлявайте архивирането и възстановяването на базата данни и конфигурационния ISO.
Бъдете готови да извършите бързо възстановяване след бедствие, ако възникне катастрофа, като повреда на диска на базата данни или бедствие на центъра за данни.

Няма механизъм за преместване на ключовете обратно в облака след разполагане на HDS.

Процес на настройка на високо ниво

Този документ обхваща настройката и управлението на разполагането на хибридна защита на данни с много клиенти:

Настройване на хибридна защита на данни – това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна защита на данни, изграждане на клъстер на HDS, добавяне на организации на клиенти към клъстера и управление на техните главни ключове на клиенти (CMK). Това ще даде възможност на всички потребители на вашите клиентски организации да използват вашия клъстер на хибридна защита на данни за функции за защита.

Етапите на настройка, активиране и управление са разгледани подробно в следващите три глави.
Поддържайте разполагането на хибридна защита на данни – Облакът на Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да предостави поддръжка от първо ниво за това разполагане и да ангажира поддръжката на Cisco, ако е необходимо. В Partner Hub можете да използвате известия на екрана и да настроите имейл предупреждения.
Разбиране на често срещаните предупреждения, стъпките за отстраняване на неизправности и известни проблеми – ако срещнете проблеми при разполагането или използването на хибридна защита на данни, последната глава от това ръководство и приложението „Известни проблеми“ могат да ви помогнат да определите и коригирате проблема.

Модел на разполагане на хибридна защита на данни

В рамките на вашия корпоративен център за данни разполагате с хибридна защита на данни като един клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака на Webex чрез защитени уеб сокети и защитен HTTP.

По време на процеса на инсталиране ви предоставяме файла OVA, за да настроите виртуалния уред на VMs, които предоставяте. Използвайте инструмента за настройка на HDS, за да създадете персонализиран ISO файл за конфигуриране на клъстери, който да монтирате на всеки възел. Клъстерът на хибридна защита на данни използва предоставения ви сървър Syslogd и базата данни на PostgreSQL или Microsoft SQL Server. (Можете да конфигурирате подробностите за връзката на Syslogd и базата данни в инструмента за настройка на HDS.)

Модел на разполагане на хибридна защита на данни

Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне по три на клъстер. Наличието на множество възли гарантира, че услугата не се прекъсва по време на надстройка на софтуера или друга дейност по поддръжка на даден възел. (Облакът на Webex надгражда само един възел в даден момент.)

Всички възли в клъстера имат достъп до един и същ файл с ключове и регистрационната активност към един и същ syslog сървър. Самите възли са без гражданство и обработват ключови заявки в кръгла форма, както е указано от облака.

Възлите стават активни, когато ги регистрирате в Partner Hub. За да излезете от експлоатация отделен възел, можете да го дерегистрирате и по-късно да го регистрирате отново, ако е необходимо.

Standby Data Center за възстановяване при бедствия

По време на разгръщането настройвате защитен център за данни в режим на готовност. В случай на бедствие на центъра за данни можете ръчно да не успеете при разполагането си в центъра за данни в режим на готовност.

Базите данни на активните центрове за данни и центровете за данни в режим на готовност са синхронизирани помежду си, което ще сведе до минимум времето, необходимо за извършване на превключването при отказ.

Активните възли на хибридна защита на данни трябва винаги да бъдат в същия център за данни като активния сървър с база данни.

Поддръжка на прокси

Hybrid Data Security поддържа изрични, прозрачни проверяващи и неинспектационни проксита. Можете да свържете тези проксита към разполагането си, така че да можете да подсигурите и наблюдавате трафика от предприятието навън към облака. Можете да използвате администраторски интерфейс на платформа на възлите за управление на сертификати и да проверите цялостното състояние на свързване, след като настроите прокси сървъра на възлите.

Хибридните възли за защита на данните поддържат следните опции за прокси:

Няма прокси сървър – Стойността по подразбиране, ако не използвате конфигурацията за настройка на HDS възел на доверено хранилище и прокси сървър за интегриране на прокси сървър. Не се изисква актуализация на сертификата.
Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси сървъра – възлите не са конфигурирани да използват определен адрес на прокси сървъра. На възлите не са необходими промени в конфигурацията на HTTP или HTTPS. Възлите обаче се нуждаят от главен сертификат, така че да се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS).
Изричен прокси сървър – С изричния прокси сървър казвате на HDS кои прокси сървъри и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
1. Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината.
2. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик.
3. Прокси протокол – в зависимост от това, което поддържа прокси сървърът ви, изберете между следните протоколи:
  - HTTP—Преглежда и контролира всички заявки, които клиентът изпраща.
  - HTTPS—Предоставя канал на сървъра. Клиентът получава и валидира сертификата на сървъра.
4. Тип удостоверяване – изберете измежду следните типове удостоверяване:
  - Няма – Не се изисква допълнително удостоверяване.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
  - Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.
  - Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата.
    
    Предлага се само ако изберете HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.

Пример за хибридни данни сигурност възли и прокси

Тази диаграма показва примерна връзка между защитата на хибридните данни, мрежата и прокси. За прозрачния инспектиращ и HTTPS изричен инспектиращ прокси опции, един и същ главен сертификат трябва да бъде инсталиран на прокси и на хибридните възли за защита на данните.

Блокиран режим на външна DNS разделителна способност (изрични прокси конфигурации)

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. В разполагане с изрични прокси конфигурации, които не позволяват външна DNS разделителна способност за вътрешни клиенти, ако възелът не може да заявка DNS сървъри, тя автоматично преминава в режим блокирани външни DNS резолюция. В този режим може да се процедира регистрация на възли и други тестове за свързване на прокси.

Подготовка на средата

Изисквания за хибридна защита на данните с няколко клиента

Изисквания за лицензи за Cisco Webex

За да разположите хибридна защита на данните с много клиенти:

Партньорски организации: Свържете се със своя партньор в Cisco или мениджър на акаунти и се уверете, че функцията за много клиенти е активирана.
Организации на клиента: Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижте https://www.cisco.com/go/pro-pack.)

Изисквания за закачане на работния плот

Преди да инсталирате възлите на HDS, трябва Docker Desktop, за да изпълните инсталационна програма. Docker наскоро актуализира своя модел на лицензиране. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker е Актуализиране и разширяване на нашите абонаментиза продукти".

Клиентите без лиценз за Docker Desktop могат да използват инструмент за управление на контейнери с отворен код като Podman Desktop, за да стартират, управляват и създават контейнери. Вижте Стартиране на инструмент за настройка на HDS с помощта на Podman Desktop за подробности.

X.509 Изисквания за сертификата

Веригата на сертификатите трябва да отговаря на следните изисквания:

Таблица 1. X.509 Изисквания за сертификата за разполагане на хибридна защита на данни
Изискване	Подробности
Подписан от надежден сертифициращ орган (CA)	По подразбиране се доверяваме на сертифициращите органи в списъка на Mozilla (с изключение на WoSign и StartCom) на https://wiki.mozilla.org/CA:IncludedCAs.
Носи общо име (CN) име на домейн, което идентифицира вашето разполагане на хибридна защита на данни Не е заместващ сертификат	CN не е нужно да е достъпен или хост на живо. Препоръчваме ви да използвате име, което отразява вашата организация, например `hds.company.com`. CN не трябва да съдържа * (заместващ символ). CN се използва за проверка на възлите на хибридна защита на данни за клиентите на приложението Webex. Всички възли на хибридна защита на данни във вашия клъстер използват един и същ сертификат. Вашият KMS се идентифицира с помощта на CN домейна, а не с произволен домейн, дефиниран в полетата x.509v3 SAN. След като сте регистрирали възел с този сертификат, не поддържаме промяна на името на CN домейна.
Подпис, който не е SHA1	Софтуерът KMS не поддържа подписи SHA1 за валидиране на връзки с KMS на други организации.
Форматиран като защитен с парола PKCS #12 файл Използвайте приятелското име на `kms-private-key` , за да маркирате сертификата, частния ключ и всички междинни сертификати за качване.	Можете да използвате конвертор, като OpenSSL, за да промените формата на сертификата си. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS.

Софтуерът KMS не налага използване на ключове или не разширява ограниченията за използване на ключове. Някои сертифициращи органи изискват за всеки сертификат да се прилагат разширени ограничения за използване на ключа, като например удостоверяване на сървъра. Добре е да използвате удостоверяване на сървъра или други настройки.

Изисквания за виртуален организатор

Виртуалните хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер, имат следните изисквания:

Поне два отделни хоста (препоръчва се 3), разположени съвместно в един и същ защитен център за данни
VMware ESXi 7.0 (или по-нова версия) е инсталиран и работи.

Трябва да надстроите, ако имате по-стара версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално място на твърдия диск на сървър

Изисквания към сървъра за база данни

Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.

Има две опции за сървъра с база данни. Изискванията за всеки от тях са, както следва:

Таблица 2. Изисквания за сървъра с база данни по тип база данни
PostgreSQL	Microsoft SQL сървър
PostgreSQL 14, 15 или 16, инсталиран и се изпълнява.	Инсталиран е SQL Server 2016, 2017, 2019 или 2022 (корпоративен или стандартен). SQL Server 2016 изисква Service Pack 2 и Кумулативна актуализация 2 или по-нова версия.
Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)	Минимум 8 vCPU, 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не е превишено (препоръчва се 2 TB, ако искате да стартирате базата данни дълго време, без да е необходимо да увеличавате мястото за съхранение)

HDS софтуерът в момента инсталира следните версии на драйвери за комуникация със сървъра с база данни:

PostgreSQL

Microsoft SQL сървър

Postgres JDBC драйвер 42.2.5

SQL Server JDBC драйвер 4.6

Тази версия на драйвера поддържа SQL Server Always On ( Винаги включен екземпляр на клъстера при отказ и Винаги включен групи за наличност).

Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server

Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни на Keystore на Microsoft SQL Server, тогава е необходима следната конфигурация във вашата среда:

Възлите на HDS, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Акаунтът за Windows, който предоставяте на възли на HDS, трябва да има достъп за четене/запис до базата данни.
DNS сървърите, които предоставяте на HDS възли, трябва да могат да разрешават вашия център за разпределение на ключове (KDC).
Можете да регистрирате екземпляра на базата данни на HDS на Microsoft SQL Server като основно име на услуга (SPN) на Active Directory. Вижте Регистриране на основно име на услуга за Kerberos връзки.

Инструментът за настройка на HDS, HDS стартера и локалния KMS трябва да използват удостоверяване на Windows за достъп до базата данни на Keystore. Те използват подробностите от вашата ISO конфигурация, за да конструират SPN, когато заявяват достъп с удостоверяване на Kerberos.

Изисквания за външна връзка

Конфигурирайте защитната стена, за да разрешите следната свързаност за приложенията на хибридна защита на данни:

Приложение	Протокол	Порт	Посока от приложението	Местоназначение
Възли на хибридна защита на данни	TCP	443	Изходящи HTTPS и ВиК	Сървъри на Webex: .wbx2.com .ciscospark.com Всички организатори на Common Identity Други URL адреси, които са изброени за хибридна защита на данни в таблицата Допълнителни URL адреси за хибридни услуги на Webex на мрежовите изисквания за услугите на Webex
Инструмент за настройка на HDS	TCP	443	Изходящ HTTPS	*.wbx2.com Всички организатори на Common Identity hub.docker.com

Възлите на хибридна защита на данни работят с превод на мрежовия достъп (NAT) или зад защитна стена, при условие че NAT или защитната стена позволяват необходимите изходящи връзки към местоназначенията на домейна в предходната таблица. За връзки, влизащи във входящи възли на хибридна защита на данни, от интернет не трябва да се виждат портове. В рамките на вашия център за данни клиентите се нуждаят от достъп до възлите на хибридна защита на данни на TCP портове 443 и 22 за административни цели.

URL адресите за хостовете на Common Identity (CI) са специфични за региона. Това са текущите организатори на CI:

Регион	URL адреси на организатор на Common Identity
Северна и Южна Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейски съюз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com
Сингапур	https://idbroker-sg.webex.com https://identity-sg.webex.com
Обединени арабски емирства	https://idbroker-ae.webex.com https://identity-ae.webex.com

Изисквания към прокси сървъра

Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли hybrid Data Security.
- Прозрачен прокси-Уред за уеб защита cisco (WSA).
- Изрична прокси-Сепия.
  
  Прокси сървърите, които инспектират HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да работите по този проблем, вижте Конфигуриране на прокси сървъри за хибридна защита на данни.
Ние поддържаме следните комбинации от тип удостоверяване за изрични проксита:
- Без удостоверяване с HTTP или HTTPS
- Базово удостоверяване с HTTP или HTTPS
- Смилане на удостоверяване само с HTTPS
За прозрачен проверяващ прокси или HTTPS изрично прокси, трябва да имате копие на главния сертификат на прокси. Инструкциите за разполагане в това ръководство ви казват как да качите копието в магазините за доверие на хибридните възли за защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик на порт 443 да маршрутизира през прокси сървъра.
Прокситата, които инспектират уеб трафика, може да пречат на връзките с уеб гнездото. Ако възникне този проблем, заобикалянето (без проверка) на трафика към wbx2.com и ciscospark.com ще реши проблема.

Изпълнете предварителните изисквания за хибридна защита на данни

Използвайте този контролен списък, за да гарантирате, че сте готови да инсталирате и конфигурирате своя клъстер на хибридна защита на данни.

1	Уверете се, че вашата партньорска организация има активирана функция за HDS с няколко клиента и получавате идентификационните данни за акаунт с пълен администратор на партньора и права на пълен администратор. Уверете се, че вашата организация на клиенти на Webex е разрешена за Pro Pack за Cisco Webex Control Hub. Свържете се с вашия партньор в Cisco или мениджър на акаунти за помощ с този процес. Организациите на клиентите не трябва да имат съществуващо разполагане на HDS.
2	Изберете име на домейн за разполагането на HDS (например `hds.company.com`) и получете верига от сертификати, съдържаща сертификат X.509, частен ключ и всички междинни сертификати. Веригата на сертификатите трябва да отговаря на изискванията в X.509 Изисквания за сертификат.
3	Подгответе идентични виртуални хостове, които ще настроите като възли на хибридна защита на данни във вашия клъстер. Имате нужда от поне два отделни организатора (препоръчва се 3), разположени съвместно в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален организатор.
4	Подгответе сървъра с база данни, който ще действа като хранилище на данни за ключа за клъстера в съответствие с изискванията за сървъра с база данни. Сървърът на базата данни трябва да бъде разположен съвместно в защитения център за данни с виртуалните хостове. Създайте база данни за съхранение на ключове. (Трябва да създадете тази база данни – не използвайте базата данни по подразбиране. Приложенията на HDS, когато са инсталирани, създават схемата на базата с данни.) Съберете подробностите, които ще използват възлите за комуникация със сървъра с база данни: име на хост или IP адрес (хост) и порт името на базата с данни (dbname) за съхранение на ключа потребителското име и паролата на потребител с всички привилегии в базата данни за съхранение на ключа
5	За бързо възстановяване след бедствие настройте архивна среда в друг център за данни. Резервната среда отразява производствената среда на VMs и резервен сървър с база данни. Например, ако производството има 3 VMs, работещи с HDS възли, резервната среда трябва да има 3 VMs.
6	Настройте хост на syslog, за да събирате регистрационни файлове от възлите в клъстера. Съберете мрежовия му адрес и порта за syslog (по подразбиране е UDP 514).
7	Създайте правила за защитено архивиране за възлите на хибридна защита на данни, сървъра с база данни и хоста на syslog. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и конфигурационния ISO файл, генериран за възлите на хибридна защита на данни. Тъй като възлите на хибридна защита на данни съхраняват ключовете, използвани за шифроване и дешифроване на съдържание, неподдържането на оперативно разполагане ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на това съдържание. Клиентите на приложението Webex кешират ключовете си, така че прекъсването може да не се забележи веднага, но ще стане очевидно с течение на времето. Въпреки че е невъзможно да се предотвратят временните прекъсвания, те са възстановими. Обаче пълната загуба (няма налични резервни копия) на базата данни или конфигурационния ISO файл ще доведе до невъзстановими клиентски данни. От операторите на възлите на хибридна защита на данни се очаква да поддържат чести резервни копия на базата данни и конфигурационния ISO файл и да бъдат готови да възстановят центъра за данни на хибридна защита на данни, ако възникне катастрофална грешка.
8	Уверете се, че конфигурацията на защитната ви стена позволява свързване за вашите възли на хибридна защита на данни, както е описано в Изисквания за външна свързаност.
9	Инсталирайте Docker ( https://www.docker.com) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-битова или Mac OSX Yosemite 10.10.3 или по-нова версия) с уеб браузър, който може да получи достъп до нея на http://127.0.0.1:8080. Можете да използвате екземпляр на Docker, за да изтеглите и изпълните инструмента за настройка на HDS, който изгражда информацията за локална конфигурация за всички възли на хибридна защита на данни. Може да ви е необходим лиценз за настолен компютър за docker. Вижте Изисквания за закачане на работния плот за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има възможността за свързване, описана в Изисквания за външна свързаност.
10	Ако интегрирате прокси сървър с хибридна защита на данните, уверете се, че той отговаря на изискванията за прокси сървър.

Настройване на клъстер на хибридна защита на данни

Поток на задачи за разполагане на хибридна защита на данни

Преди да започнете

1	Извършване на първоначалната настройка и изтегляне на инсталационни файлове Изтеглете OVA файла на вашата локална машина за по-късно използване.
2	Създаване на конфигурационен ISO за хостовете на HDS Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите на хибридна защита на данни.
3	Инсталиране на HDS Host OVA Създайте виртуална машина от OVA файла и изпълнете първоначалната конфигурация, като например мрежови настройки. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
4	Настройване на VM на хибридна защита на данни Влезте в конзолата на VM и задайте данните за вход. Конфигурирайте мрежовите настройки за възела, ако не сте ги конфигурирали към момента на разполагането на OVA.
5	Качване и монтиране на конфигурация ISO на HDS Конфигурирайте VM от ISO конфигурационния файл, който сте създали с инструмента за настройка на HDS.
6	Конфигуриране на HDS възел за интегриране на прокси сървър Ако мрежовата среда изисква конфигурация на прокси сървър, укажете типа прокси сървър, който ще използвате за възела, и добавете прокси сертификата към хранилището на гаранти, ако е необходимо.
7	Регистриране на първия възел в клъстера Регистрирайте VM с облака на Cisco Webex като възел на хибридна защита на данни.
8	Създаване и регистриране на още възли Завършете настройката на клъстера.
9	Активирайте HDS с много клиенти в Partner Hub. Активирайте HDS и управлявайте организации на клиенти в Partner Hub.

Извършване на първоначалната настройка и изтегляне на инсталационни файлове

В тази задача изтегляте OVA файл на вашата машина (а не на сървърите, които сте настроили като възли на хибридна защита на данни). Ще използвате този файл по-късно в процеса на инсталиране.

1	Влезте в Partner Hub и щракнете върху Услуги.
2	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и след това щракнете върху Настройка. Щракването върху Настройка в Partner Hub е критично за процеса на разполагане. Не продължете с инсталирането, без да завършите тази стъпка.
3	Щракнете върху Добавяне на ресурс и щракнете върху Изтегляне на .OVA файл на картата Инсталиране и конфигуриране на софтуера . По-старите версии на софтуерния пакет (OVA) няма да бъдат съвместими с най-новите надстройки на хибридна защита на данни. Това може да доведе до проблеми при надстройване на приложението. Уверете се, че сте изтеглили най-новата версия на OVA файла. Можете също да изтеглите OVA по всяко време от раздела Помощ . Щракнете върху Настройки > Помощ > Изтегляне на софтуер за хибридна защита на данни. OVA файлът започва автоматично да се изтегля. Запишете файла на местоположение на машината си.
4	Като опция щракнете върху Вижте ръководството за разполагане на хибридна защита на данни , за да проверите дали има налична по-нова версия на това ръководство.

Създаване на конфигурационен ISO за хостовете на HDS

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт в Partner Hub с пълни администраторски права.

Ако нямате лиценз за Docker Desktop, можете да използвате Podman Desktop, за да изпълните инструмента за настройка на HDS за стъпки 1 до 5 в процедурата по-долу. Вижте Стартиране на инструмент за настройка на HDS с помощта на Podman Desktop за подробности.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5 по-долу. Тази таблица дава някои възможни променливи на средата:

Описание

Променлива

HTTP прокси без удостоверяване

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

HTTPS прокси без удостоверяване

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

HTTP прокси с удостоверяване

GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS прокси с удостоверяване

GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

1

В командния ред на вашата машина въведете подходящата команда за вашата среда:

В нормални среди:

docker rmi ciscocitg/hds-setup:stable

В среди на FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

2

За да влезете в регистъра на изображения на Docker, въведете следното:

docker login -u hdscustomersro

3

При подканата за парола въведете този хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Изтеглете най-новото стабилно изображение за вашата среда:

В нормални среди:

docker pull ciscocitg/hds-setup:stable

В среди на FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Когато изтеглянето приключи, въведете подходящата команда за вашата среда:

В нормални среди без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В нормални среди с HTTP прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В редовни среди с HTTPS прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В среди на FedRAMP без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

В среди на FedRAMP с HTTP прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В среди на FedRAMP с HTTPS прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.

6

Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost.

Използвайте уеб браузър, за да отидете на localhost, http://127.0.0.1:8080 и въведете администраторското потребителско име за Partner Hub в подканата.

Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.

7

Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.

8

На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.

9

На страницата Импортиране на ISO имате следните опции:

Не– Ако създавате първия си HDS възел, нямате ISO файл за качване.
Да – Ако вече сте създали HDS възли, тогава изберете своя ISO файл в прегледа и го качете.

10

Проверете дали вашият сертификат X.509 отговаря на изискванията в X.509 Изисквания за сертификат.

Ако никога не сте качили сертификат преди, качете сертификата X.509, въведете паролата и щракнете върху Продължи.
Ако сертификатът ви е ОК, щракнете върху Продължи.
Ако сертификатът ви е изтекъл или искате да го замените, изберете Не за Продължаване на използването на веригата за сертификати на HDS и частния ключ от предишния ISO?. Качете нов сертификат X.509, въведете паролата и щракнете върху Продължи.

11

Въведете адреса на базата данни и акаунта за HDS, за да получите достъп до ключовия си datastore:

Изберете вашия тип база данни (PostgreSQL или Microsoft SQL Server).

Ако изберете Microsoft SQL Server, получавате поле за тип удостоверяване.
(Само за Microsoft SQL Server ) Изберете вашия тип удостоверяване:
- Базово удостоверяване: Необходимо е име на локален акаунт за SQL Server в полето Потребителско име .
- Удостоверяване на Windows: Имате нужда от акаунт за Windows във формат username@DOMAIN в полето Потребителско име .
Въведете адреса на сървъра с база данни във формуляра : или :.

Пример:
dbhost.example.org:1433 или 198.51.100.17:1433

Можете да използвате IP адрес за базово удостоверяване, ако възлите не могат да използват DNS за решаване на името на хоста.

Ако използвате удостоверяване на Windows, трябва да въведете напълно квалифицирано име на домейн във формат dbhost.example.org:1433
Въведете името на базата данни.
Въведете Потребителско име и Парола на потребител с всички привилегии в базата данни за съхранение на ключа.

12

Изберете режим на свързване с база данни TLS:

Режим	Описание
Предпочитане на TLS (опция по подразбиране)	HDS възлите не изискват TLS да се свърже със сървъра на базата данни. Ако разрешите TLS на сървъра с база данни, възлите правят опит за шифрована връзка.
Изисквайте TLS	HDS възли се свързват само ако сървърът на базата данни може да договори TLS.
Изисквайте TLS и проверете подписвача на сертификати	Този режим не е приложим за бази данни на SQL Server. HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.
Изисквайте TLS и проверете подписалия сертификат и хостовото име	HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяването на TLS връзка възелът сравнява подписващия на сертификата от сървъра на базата данни с органа за сертифициране в корневи сертификат в базата данни. Ако не съвпадат, възелът изпуска връзката. Възлите също така проверяват дали името на хоста в сертификата на сървъра съвпада с името на хоста в полето Хост и порт в базата данни . Имената трябва да съвпадат точно или възелът пуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.

Когато качите корневи сертификат (ако е необходимо) и щракнете върху Продължи, инструментът за настройка на хибридна защита на данни тества TLS връзката към сървъра с база данни. Инструментът също така проверява подписалите сертификата и hostname, ако е приложимо. Ако даден тест е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързването възлите на HDS може да са в състояние да установят TLS връзката, дори ако машината с инструмента за настройка на HDS не може да я тества успешно.)

13

На страницата „Системни регистрационни файлове“ конфигурирайте сървъра си за Syslogd:

Въведете URL адреса на сървъра syslog.

Ако сървърът не може да се разрешава чрез DNS от възлите за вашия HDS клъстер, използвайте IP адрес в URL.

Пример:
udp://10.92.43.23:514 показва влизане в хоста Syslogd 10.92.43.23 на UDP порт 514.
Ако настроите сървъра си да използва TLS шифроване, отметнете Конфигуриран ли е вашият сървър syslog за SSL шифроване?.

Ако отметнете това квадратче, трябва да въведете URL адрес на TCP, например tcp://10.92.43.23:514.
От падащия списък Избор на прекратяване на запис в syslog изберете подходящата настройка за вашия ISO файл: Избор или нов ред се използва за Graylog и Rsyslog TCP
- Нулев байт -- \x00
- Нов ред – \n – Изберете този избор за Graylog и Rsyslog TCP.
Щракнете върху Продължаване.

14

(По избор) Можете да промените стойността по подразбиране за някои параметри на връзката с база данни в Разширени настройки. По принцип този параметър е единственият, който може да искате да промените:

app_datasource_connection_pool_maxSize: 10

15

Щракнете върху Продължи на екрана Нулиране на паролата за акаунти за услуги .

Паролите за акаунта за услугата имат деветмесечен живот. Използвайте този екран, когато паролите ви наближават изтичане или искате да ги нулирате, за да invalidate previous ISO files.

16

Щракнете върху Изтегляне на ISO файл. Запишете файла на лесно за намиране място.

17

Направете резервно копие на ISO файла в локалната си система.

Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.

18

За да затворите инструмента за настройка, въведете CTRL+C.

Какво да направите след това

Архивиране на конфигурационния ISO файл. Необходимо е, за да създадете повече възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, ще загубите и главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.

Никога не разполагаме с копие на този ключ и не можем да ви помогнем, ако го изгубите.

Инсталиране на HDS Host OVA

Използвайте тази процедура, за да създадете виртуална машина от OVA файла.

1	Използвайте клиента VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi.
2	Изберете Файл > Разполагане на OVF шаблон.
3	В съветника укажете местоположението на OVA файла, който сте изтеглили по-рано, след което щракнете върху Напред.
4	На страницата Избор на име и папка въведете име на виртуална машина за възела (например "HDS_Node_1"), изберете местоположение, където може да се намира разполагането на възела на виртуалната машина, след което щракнете върху Напред.
5	На страницата Избор на изчислителен ресурс изберете целевия изчислителен ресурс и след това щракнете върху Напред. Извършва се проверка за валидиране. След като завърши, се показват подробностите за шаблона.
6	Проверете подробностите за шаблона и след това щракнете върху Напред.
7	Ако от вас бъде поискано да изберете конфигурацията на ресурсите на страницата Конфигурация , щракнете върху 4 процесора и след това щракнете върху Напред.
8	На страницата Избор на място за съхранение щракнете върху Напред , за да приемете формата на диска по подразбиране и правилата за съхранение на VM.
9	На страницата Избор на мрежи изберете опцията за мрежа от списъка със записи, за да осигурите желаната свързаност към VM.
10	На страницата Персонализиране на шаблон конфигурирайте следните мрежови настройки: Име на хост – въведете FQDN (име на хост и домейн) или една дума име на хост за възела. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509. За да гарантирате успешна регистрация в облака, използвайте само малки знаци във FQDN или името на хоста, които сте задали за възела. Капитализацията не се поддържа в този момент. Общата дължина на FQDN не трябва да надвишава 64 знака. IP адрес – Въведете IP адреса за вътрешния интерфейс на възела. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. Маска – Въведете адреса на маската на подмрежата с точка и запетая. Например 255.255.255.0. Шлюз – въведете IP адреса на шлюза. Шлюза е мрежов възел, който служи като точка за достъп до друга мрежа. DNS сървъри – Въведете списък с DNS сървъри, разделени със запетая, които обработват преобразуването на имената на домейни в цифрови IP адреси. (Разрешени са до 4 DNS записа.) NTP сървъри – Въведете NTP сървъра на вашата организация или друг външен NTP сървър, който може да се използва във вашата организация. NTP сървърите по подразбиране може да не работят за всички предприятия. Можете също да използвате списък, разделен със запетая, за да въведете няколко NTP сървъра. Разположете всички възли в една и съща подмрежа или VLAN, така че всички възли в клъстера да са достъпни от клиентите във вашата мрежа за административни цели. Ако предпочитате, можете да пропуснете конфигурацията на мрежовите настройки и да следвате стъпките в Настройване на VM на хибридна защита на данни , за да конфигурирате настройките от конзолата за възли. Опцията за конфигуриране на мрежовите настройки по време на разполагането на OVA е тествана с ESXi 7.0. Опцията може да не е налична в по-ранни версии.
11	Щракнете с десния бутон върху възела VM и след това изберете Захранване > Включване. Софтуерът за хибридна защита на данни е инсталиран като гост на VM Host. Вече сте готови да влезете в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Може да усетите забавяне от няколко минути, преди контейнерите с възли да се появят. На конзолата се появява съобщение за защитна стена на мост по време на първото зареждане, по време на което не можете да влезете.

Настройване на VM на хибридна защита на данни

Използвайте тази процедура, за да влезете за първи път в конзолата на възела на хибридна защита на данни и да зададете данните за вход. Можете също да използвате конзолата, за да конфигурирате мрежовите настройки за възела, ако не сте ги конфигурирали по време на разполагането на OVA.

1	В клиента на VMware vSphere изберете своя възел на хибридна защита на данни VM и изберете раздела Конзола . VM се зарежда и се появява подкана за влизане. Ако подканата за влизане не се покаже, натиснете Enter.
2	Използвайте следните данни за влизане и парола по подразбиране, за да влезете и да промените идентификационните данни: Влизане: `admin` Парола: `cisco` Тъй като влизате във вашия VM за първи път, трябва да промените паролата на администратора.
3	Ако вече сте конфигурирали мрежовите настройки в Инсталиране на HDS Host OVA, пропуснете останалата част от тази процедура. В противен случай в главното меню изберете опцията Редактиране на конфигурацията .
4	Настройте статична конфигурация с IP адрес, маска, шлюз и DNS информация. Възелът трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.
5	(По избор) Променете името на хоста, домейна или NTP сървъра(ите), ако е необходимо, за да съответстват на мрежовите ви правила. Не е необходимо да задавате домейна да съвпада с домейна, който сте използвали, за да получите сертификата X.509.
6	Запишете мрежовата конфигурация и рестартирайте VM, за да влязат в сила промените.

Качване и монтиране на конфигурация ISO на HDS

Използвайте тази процедура, за да конфигурирате виртуалната машина от ISO файла, който сте създали с инструмента за настройка на HDS.

Преди да започнете

Тъй като ISO файлът съдържа главния ключ, той трябва да бъде изложен само на база „трябва да знаете“, за достъп от VM на хибридна защита на данни и всички администратори, които може да се наложи да направят промени. Уверете се, че само тези администратори имат достъп до datastore.

1

Качете ISO файла от компютъра си:

В левия навигационен екран на клиента VMware vSphere щракнете върху сървъра ESXi.
В списъка с хардуери на раздела за конфигуриране щракнете върху Място за съхранение.
В списъка Datastores щракнете с десния бутон върху datastore за вашите VMs и щракнете върху Преглед на Datastore.
Щракнете върху иконата Качване на файлове и след това щракнете върху Качване на файл.
Намерете местоположението, където сте изтеглили ISO файла на компютъра си, и щракнете върху Отвори.
Щракнете върху Да , за да приемете предупреждението за операцията за качване/изтегляне, и затворете диалоговия прозорец за данни.

2

Монтиране на ISO файла:

В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
Щракнете върху OK , за да приемете предупреждението за ограничени опции за редактиране.
Щракнете върху CD/DVD Drive 1, изберете опцията за монтаж от ISO файл datastore и намерете местоположението, където сте качили конфигурационния ISO файл.
Отметнете Свързан и Свързване при включване.
Запишете промените си и рестартирайте виртуалната машина.

Какво да направите след това

Ако правилата за ИТ изискват, можете по избор да демонтирате ISO файла, след като всички ваши възли поемат промените в конфигурацията. Вижте (По избор) Демонтиране на ISO след конфигуриране на HDS за подробности.

Конфигуриране на HDS възел за интегриране на прокси сървър

Ако мрежовата среда изисква прокси, използвайте тази процедура, за да укажете вида на прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачен проверяващ прокси или HTTPS изричен прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главния сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните всички потенциални проблеми.

Преди да започнете

Вижте Поддръжка на прокси за общ преглед на поддържаните опции за прокси.
Изисквания към прокси сървъра

1	Въведете URL адреса за настройка на възела на HDS `https://[HDS Node IP or FQDN]/setup` в уеб браузър, въведете данните за вход на администратор, които сте настроили за възела, след което щракнете върху Влизане.
2	Отидете на Хранилище на доверие & Прокси , след което изберетеопция: Няма прокси сървър – опцията по подразбиране, преди да интегрирате прокси сървър. Не се изисква актуализация на сертификата. Прозрачен прокси сървър без проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра и не трябва да изискват промени, за да работят с прокси сървър без проверка. Не се изисква актуализация на сертификата. Прокси сървър за прозрачна проверка – възлите не са конфигурирани да използват определен адрес на прокси сървъра. Не httpS конфигурация промени са необходими в разполагането на защитата на хибридни данни, обаче HDS възли се нуждаят от главен сертификат, така че те се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS). Изричен прокси сървър – С изричния прокси сървър казвате на клиента (HDS възли) кой прокси сървър да използва, и тази опция поддържа няколко типа удостоверяване. След като изберете тази опция, трябва да въведете следната информация: Прокси IP/FQDN – адрес, който може да се използва за свързване с прокси машината. Прокси порт – номер на порт, който прокси сървърът използва за слушане за прокси трафик. Прокси протокол – изберете http (преглежда и управлява всички заявки, които се получават от клиента) или https (осигурява канал към сървъра и клиентът получава и валидира сертификата на сървъра). Изберете опция въз основа на това, което поддържа вашият прокси сървър. Тип удостоверяване – изберете измежду следните типове удостоверяване: Няма – Не се изисква допълнително удостоверяване. Налична за HTTP или HTTPS проксита. Основни—Използва се за HTTP потребителски агент, за да предостави потребителско име и парола при подаване на заявка. Използва Base64 кодиране. Налична за HTTP или HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Обобщаване – използва се за потвърждаване на акаунта, преди да се изпрати чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата. Предлага се само за HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Изпълнете следващите стъпки за прозрачен проверяващ прокси, HTTP изрично прокси с базово удостоверяване или HTTPS изрично прокси.
3	Щракнете върху Качване на главен сертификат или Сертификат за краен обект и след това навигирайте до изберете главния сертификат запрокси. Сертификатът се качва, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката chevron по името на издателя на сертификата, за да получите повече подробности или щракнете върху Изтрий, ако сте направили грешка и искате да качите повторно файла.
4	Щракнете върху Проверка на прокси връзката, за да тествате мрежовата свързаност между възела и прокси. Ако тестът за връзка е неуспешен, ще видите съобщение за грешка, което показва причината и как можете да коригирате проблема. Ако видите съобщение, което казва, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на блокирано външно DNS разрешаване. Ако мислите, че това е грешка, изпълнете тези стъпки и след това вижте Изключване на режима на блокирано външно разрешаване на DNS.
5	След като тестът за връзка премине, за изрично прокси настроен само на https, включете превключването към Маршрут всички порт 443/444 https заявки от този възел през изрично прокси. Тази настройка изисква 15 секунди, за да влязат в сила.
6	Щракнете върху Инсталиране на всички сертификати в хранилището на гаранти (появява се за HTTPS изрично прокси или прозрачен проверяващ прокси) или Рестартиране (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете върху Инсталиране, ако сте готови. Възелът се рестартира в рамките на няколко минути.
7	След рестартирането на възела влезте отново, ако е необходимо, след което отворете страницата Общ преглед, за да проверите проверките за свързване, за да се уверите, че всички те са в зелено състояние. Проверката на прокси връзката тества само поддомейн от webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират в прокси.

Регистриране на първия възел в клъстера

Тази задача взема генеричния възел, който сте създали в Настройване на хибридна защита на данни VM, регистрира възела с облака на Webex и го превръща във възел на хибридна защита на данни.

Когато регистрирате първия си възел, създавате клъстер, към който е разпределен възелът. Клъстерът съдържа един или повече възли, разгърнати за осигуряване на резерв.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Настройка.
4	На страницата, която се отваря, щракнете върху Добавяне на ресурс.
5	В първото поле на картата Добавяне на възел въведете име за клъстера, на който искате да разпределите вашия възел на хибридна защита на данни. Препоръчваме ви да посочите клъстер въз основа на географското местоположение на клъстера. Примери: „Сан Франциско“ или „Ню Йорк“ или „Далас“
6	Във второто поле въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне в долната част на екрана. Този IP адрес или FQDN трябва да съвпада с IP адреса или името на хоста и домейна, които сте използвали в Настройване на VM на хибридна защита на данни. Появява се съобщение, което показва, че можете да регистрирате възела в Webex.
7	Щракнете върху Към възел. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация в Webex за достъп до вашия възел.
8	Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex.
9	Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. На страницата Хибридна защита на данни новият клъстер, съдържащ възела, който сте регистрирали, се показва под раздела Ресурси . Възелът автоматично ще изтегли най-новия софтуер от облака.

Създаване и регистриране на още възли

За да добавите допълнителни възли към вашия клъстер, просто създавате допълнителни VM и монтирате същия конфигурационен ISO файл, след което регистрирайте възела. Препоръчваме ви да имате поне 3 възела.

Преди да започнете

След като започнете да регистрирате възел, трябва да го завършите в рамките на 60 минути, или трябва да започнете отначало.
Погрижете се всички блокери на изскачащите прозорци във вашия браузър да са деактивирани или да разрешите изключение за admin.webex.com.

1	Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталиране на HDS Host OVA.
2	Настройте първоначалната конфигурация на новия VM, като повторите стъпките в Настройване на хибридна защита на данни VM.
3	На новия VM повторете стъпките в Качване и монтиране на ISO на конфигурацията на HDS.
4	Ако настройвате прокси сървър за разполагането си, повторете стъпките в Конфигуриране на възела на HDS за интеграция на прокси сървър , както е необходимо за новия възел.
5	Регистрирайте възела. В https://admin.webex.com изберете Услуги от менюто от лявата страна на екрана. В раздела „Услуги в облака“ намерете картата „Хибридна защита на данни“ и щракнете върху Преглед на всички. Показва се страницата с ресурси за хибридна защита на данни. Новосъздаденият клъстер ще се появи на страницата Ресурси . Щракнете върху клъстера, за да видите възлите, разпределени към клъстера. Щракнете върху Добавяне на възел от дясната страна на екрана. Въведете вътрешния IP адрес или напълно квалифицирано име на домейн (FQDN) на вашия възел и щракнете върху Добавяне. Отваря се страница със съобщение, което показва, че можете да регистрирате възела си в облака Webex. След няколко секунди ще бъдете пренасочени към тестовете за свързване на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата \„Разрешаване на достъп до възел на хибридна защита на данни\“. Там потвърждавате, че искате да дадете разрешения на вашата организация за достъп до вашия възел. Отметнете квадратчето Разрешаване на достъп до вашия възел на хибридна защита на данни и след това щракнете върху Продължи. Вашият акаунт е потвърден и съобщението \„Завършване на регистрацията\“ показва, че възелът вече е регистриран в облака на Webex. Щракнете върху връзката или затворете раздела, за да се върнете към страницата на Partner Hub за хибридна защита на данни. Изскачащото съобщение Добавен възел също се появява в долната част на екрана в Partner Hub. Възелът ви е регистриран.

Управление на организации на клиенти в хибридна защита на данни с много клиенти

Активиране на HDS с много клиенти в Partner Hub

Тази задача гарантира, че всички потребители на клиентските организации могат да започнат да използват HDS за локални ключове за шифроване и други услуги за защита.

Преди да започнете

Уверете се, че сте завършили настройването на своя клъстер на HDS с много клиенти с необходимия брой възли.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките.
4	Щракнете върху Активиране на HDS на картата Статус на HDS .

Добавяне на организации на клиенти в Partner Hub

В тази задача задавате клиентски организации към вашия клъстер на хибридна защита на данни.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	Щракнете върху клъстера, към който искате да бъде разпределен клиент.
5	Отидете в раздела Зададени клиенти .
6	Щракнете върху Добавяне на клиенти.
7	Изберете клиента, който искате да добавите, от падащото меню.
8	Щракнете върху Добавяне, клиентът ще бъде добавен към клъстера.
9	Повторете стъпки 6 до 8, за да добавите множество клиенти към вашия клъстер.
10	Щракнете върху Готово в долната част на екрана, след като сте добавили клиентите.

Какво да направите след това

Изпълнете инструмента за настройка на HDS, както е подробно описано в Създаване на главни ключове на клиенти (CMK) с помощта на инструмента за настройка на HDS , за да завършите процеса на настройка.

Създаване на главни ключове (CMK) за клиента с помощта на инструмента за настройка на хибридни съобщения

Преди да започнете

Разпределете клиенти към съответния клъстер, както е подробно описано в Добавяне на организации на клиенти в Partner Hub. Стартирайте инструмента за настройка на HDS, за да завършите процеса на настройка за новодобавените клиентски организации.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS прокси без удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `docker rmi ciscocitg/hds-setup:stable` В среди на FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `docker login -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `docker pull ciscocitg/hds-setup:stable` В среди на FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTP прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете. Осигурете свързване с вашата база данни, за да извършите управление на CMK.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Създаване на CMK за всички организации или Създаване на CMK – щракнете върху този бутон на банера в горната част на екрана, за да създадете CMK за всички новодобавени организации. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Създаване на CMK , за да създадете CMK за всички новодобавени организации. Щракнете върху ... близо до управлението на CMK в очакване на статуса на определена организация в таблицата и щракнете върху Създаване на CMK , за да създадете CMK за тази организация.
12	След като създаването на CMK е успешно, статусът в таблицата ще се промени от управление на CMK в очакване на управление на CMK.
13	Ако създаването на CMK е неуспешно, ще се покаже грешка.

Премахване на организации на клиенти

Преди да започнете

След като бъдат премахнати, потребителите на организации на клиенти няма да могат да използват HDS за своите нужди от шифроване и ще загубят всички съществуващи места. Преди да премахнете клиентски организации, се свържете със своя партньор в Cisco или мениджър на акаунти.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Преглед на всички.
4	В раздела Ресурси щракнете върху клъстера, от който искате да премахнете клиентските организации.
5	На страницата, която се отваря, щракнете върху Зададени клиенти.
6	От списъка с клиентски организации, които се показват, щракнете върху ... от дясната страна на клиентската организация, която искате да премахнете, и щракнете върху Премахване от клъстера.

Какво да направите след това

Завършете процеса на премахване, като анулирате CMK на клиентските организации, както е подробно описано в Анулиране на CMK на клиенти, премахнати от HDS.

Анулиране на CMK на клиенти, премахнати от HDS.

Преди да започнете

Премахнете клиенти от съответния клъстер, както е подробно описано в Премахване на организации на клиенти. Стартирайте инструмента за настройка на HDS, за да завършите процеса на премахване за организациите на клиента, които са премахнати.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS прокси без удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `docker rmi ciscocitg/hds-setup:stable` В среди на FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `docker login -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `docker pull ciscocitg/hds-setup:stable` В среди на FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В редовни среди с HTTPS прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTP прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080` и въведете администраторското потребителско име за Partner Hub в подканата. Инструментът използва този първи запис на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато бъдете подканени, въведете идентификационните си данни за влизане от администратор на Partner Hub и след това щракнете върху Влизане , за да позволите достъп до необходимите услуги за хибридна защита на данни.
8	На страницата „Преглед на инструмента за настройка“ щракнете върху Първи стъпки.
9	На страницата Импортиране на ISO щракнете върху Да.
10	Изберете своя ISO файл в браузъра и го качете.
11	Отидете в раздела Управление на CMK на клиент , където ще намерите следните три начина за управление на CMK на клиент. Анулиране на CMK за всички организации или Анулиране на CMK – щракнете върху този бутон на банера в горната част на екрана, за да анулирате CMK на всички организации, които са премахнати. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Анулиране на CMK , за да анулирате CMK на всички организации, които са премахнати. Щракнете върху … близо до CMK, за да бъде отменено състоянието на определена организация в таблицата и щракнете върху Анулиране на CMK , за да анулирате CMK за тази конкретна организация.
12	След успешното анулиране на CMK организацията на клиента повече няма да се показва в таблицата.
13	Ако отмяната на CMK е неуспешно, ще се покаже грешка.

Тестване на вашето разполагане на хибридна защита на данни

Използвайте тази процедура, за да тествате сценариите за шифроване на хибридна защита на данни с много клиенти.

Преди да започнете

Настройте своето разполагане на хибридна защита на данни с много клиенти.
Уверете се, че имате достъп до syslog, за да потвърдите, че ключовите заявки се подават към вашето разполагане на хибридна защита на данни с много клиенти.

1

Бутоните за дадено място се задават от създателя на мястото. Влезте в приложението Webex като един от потребителите на организацията на клиентите и след това създайте място.

Ако деактивирате разполагането на хибридна защита на данни, съдържанието в местата, които създават потребителите, вече не е достъпно, след като бъдат заменени кешираните от клиента копия на ключовете за шифроване.

2

Изпратете съобщения до новото място.

3

Проверете изхода на syslog, за да потвърдите, че ключовите заявки се прехвърлят към вашето разполагане на хибридна защита на данни.

За да проверите за потребител, първо да установи защитен канал към KMS, филтрирайте на kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

Трябва да намерите запис като следния (идентификатори, съкратени за четливост):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

За да проверите за потребител, който иска съществуващ ключ от KMS, филтрирайте на kms.data.method=retrieve и kms.data.type=KEY:

Трябва да намерите запис, като:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ключ, филтрирайте kms.data.method=create и kms.data.type=KEY_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

За да проверите за потребител, който е поискал създаването на нов KMS ресурсен обект (KRO), когато се създава пространство или друг защитен ресурс, филтрирайте kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

Трябва да намерите запис, като:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Наблюдение на изправността на хибридна защита на данни

Индикатор за статус в Partner Hub ви показва дали всичко е наред с разполагането на хибридна защита на данни с много клиенти. За по-активно предупреждаване се запишете за известия по имейл. Ще бъдете уведомени, когато има аларми, засягащи услугата, или надстройки на софтуера.

1	В Partner Hub изберете Услуги от менюто от лявата страна на екрана.
2	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Редактиране на настройките. Показва се страницата с настройки за хибридна защита на данни.
3	В раздела \„Имейл известия\“ въведете един или повече имейл адреси, разделени със запетаи, и натиснете Enter.

Управление на вашето разполагане на HDS

Управление на разполагането на HDS

Използвайте описаните тук задачи, за да управлявате своето разполагане на хибридна защита на данни.

Задаване на график за надстройване на клъстери

Надстройките на софтуера за хибридна защита на данни се извършват автоматично на ниво клъстер, което гарантира, че всички възли винаги изпълняват една и съща софтуерна версия. Надстройванията се извършват съгласно графика за надстройване за клъстера. Когато е налична надстройка на софтуера, имате възможност ръчно да надстроите клъстера преди планираното време за надстройване. Можете да зададете конкретен график за надстройване или да използвате графика по подразбиране от 3:00 ч. дневно в Съединените щати: Америка/Лос Анджелис. Можете също да изберете да отложите предстоящото надстройване, ако е необходимо.

За да зададете графика за надстройване:

1	Влезте в Центъра за партньори.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В раздела „Услуги в облака“ намерете „Хибридна защита на данни“ и щракнете върху Настройка
4	На страницата с ресурси за хибридна защита на данни изберете клъстера.
5	Щракнете върху раздела Настройки на клъстера .
6	На страницата с настройки на клъстери под „График за надстройване“ изберете часа и часовата зона за графика за надстройване. Забележка: Под часовата зона се показват следващата налична дата и час на надстройване. Можете да отложите надстройването до следващия ден, ако е необходимо, като щракнете върху Отложи с 24 часа.

Промяна на конфигурацията на възела

От време на време може да се наложи да промените конфигурацията на вашия възел за защита на хибридни данни поради причина като:

Промяна на x.509 сертификати поради изтичане или други причини.

Не поддържаме промяна на CN името на домейн на сертификат. Домейнът трябва да съответства на оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.

Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или обратното. За да превключите средата на базата данни, започнете ново внедряване на Hybrid Data Security.
Създаване на нова конфигурация за подготовка на нов център за данни.

Също така, за целите на защитата, Hybrid Data Security използва пароли за сервизен акаунт, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, ги разполагате на всеки от вашите HDS възли във файла ISO config. Когато паролите на вашата организация са към изтичане, получавате известие от екипа на Webex за нулиране на паролата за вашия машинен акаунт. (Имейлът включва текста „Използвайте API на машинния акаунт, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:

Софтуерно нулиране – И двете стари и нови пароли работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Твърдо нулиране – Старите пароли спират да работят незабавно.

Ако вашите пароли изтекат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно хардуерно нулиране и подмяна на ISO файла на всички възли.

Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационните данни за акаунт за Partner Hub с пълни права на администратор на партньор.

Ако нямате лиценз за Docker Desktop, можете да използвате Podman Desktop, за да изпълните инструмента за настройка на HDS за стъпки 1.a до 1.e в процедурата по-долу. Вижте Стартиране на инструмент за настройка на HDS с помощта на Podman Desktop за подробности.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в 1.e. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS прокси без удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Имате нужда от ISO, когато правите промени в конфигурацията, включително идентификационни данни на база данни, актуализации на сертификати или промени в правилата за оторизация.

1	Използвайки Docker на локална машина, стартирайте HDS Setup Tool. В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `docker rmi ciscocitg/hds-setup:stable` В среди на FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате. За да влезете в регистъра на изображения на Docker, въведете следното: `docker login -u hdscustomersro` При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `docker pull ciscocitg/hds-setup:stable` В среди на FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable` Уверете се, че сте изтеглили най-новия инструмент за настройка за тази процедура. Версиите на инструмента, създадени преди 22 февруари 2018 г., нямат екрани за нулиране на парола. Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В нормални среди с HTTPSпрокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTP прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“. Използвайте браузър, за да се свържете с localhost, `http://127.0.0.1:8080`. Инструментът за настройка не поддържа свързване с localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080 , за да се свържете с localhost. Когато получите подкана, въведете идентификационните си данни за влизане за клиент на Partner Hub и след това щракнете върху Приемане , за да продължите. Импортирайте текущия конфигурационен ISO файл. Следвайте подканите, за да завършите инструмента и да изтеглите актуализирания файл. За да затворите инструмента за настройка, въведете `CTRL+C`. Създайте резервно копие на актуализирания файл в друг център за данни.
2	Ако имате работещ само един HDS възел, създайте нов VM възел на хибридна защита на данни и го регистрирайте, като използвате новия конфигурационен ISO файл. За по-подробни инструкции вижте Създаване и регистриране на още възли. Инсталирайте HDS хост OVA. Настройте HDS VM. Монтирайте актуализирания конфигурационен файл. Регистрирайте новия възел в Partner Hub.
3	За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: Изключете виртуалната машина. В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките. Щракнете върху `CD/DVD Drive 1`, изберете опцията за монтаж от ISO файл и намерете местоположението, където сте изтеглили новия конфигурационен ISO файл. Поставете отметка на Свързване при включване. Запазете промените си и включете виртуалната машина.
4	Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация.

Изключване на режим на блокирана външна DNS разделителна способност

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. Ако DNS сървърът на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на блокирана външна DNS разделителна способност.

Ако вашите възли са в състояние да разреши публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим чрез повторно изпълнение на теста за прокси връзка на всеки възел.

Преди да започнете

Гарантирайте, че вашите вътрешни DNS сървъри могат да разрешават публични DNS имена, както и че вашите възли могат да комуникират с тях.

1	В уеб браузър отворете интерфейса на възела "Защита на хибридните данни" (IP адрес/настройка например въведете идентификационни данни за администриране, които https://192.0.2.0/setup), сте задали за възела, след което щракнете върху Влизане.
2	Отидете на Общ преглед (страницата по подразбиране). Когато е разрешено, блокирани външна DNS разделителна способност е зададена да .
3	Отидете на страницата Хранилище на доверие & Прокси.
4	Щракнете върху Проверка на прокси връзката. Ако видите съобщение, казващо, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра и ще остане в този режим. В противен случай, след като рестартирате възела и да се върнете към страницата общ преглед, Блокиран външен DNS разделителна способност трябва да бъде зададено на не.

Какво да направите след това

Повторете теста за прокси връзка на всеки възел във вашия клъстер за защита на хибридни данни.

Премахване на възел

Използвайте тази процедура, за да премахнете възел на хибридна защита на данни от облака Webex. След като премахнете възела от клъстера, изтрийте виртуалната машина, за да предотвратите по-нататъшен достъп до вашите данни за защита.

1

Използвайте клиента на VMware vSphere на вашия компютър, за да влезете във виртуалния хост на ESXi и да изключите виртуалната машина.

2

Премахване на възела:

Влезте в Partner Hub и изберете Услуги.
В картата на хибридна защита на данни щракнете върху Преглед на всички , за да покажете страницата с ресурси за хибридна защита на данни.
Изберете своя клъстер, за да се покаже неговият панел \„Общ преглед\“.
Щракнете върху възела, който искате да премахнете.
Щракнете върху Дерегистриране на този възел на панела, който се появява вдясно
Можете също да дерегистрирате възела, като щракнете върху ... от дясната страна на възела и изберете Премахване на този възел.

3

В клиента vSphere изтрийте VM. (В левия навигационен екран щракнете с десния бутон върху VM и щракнете върху Изтрий.)

Ако не изтриете VM, не забравяйте да демонтирате конфигурационния ISO файл. Без ISO файла не можете да използвате VM за достъп до вашите данни за защита.

Възстановяване след бедствие с използване на центъра за данни в режим на готовност

Най-критичната услуга, която вашият клъстер на хибридна защита на данни предоставя, е създаването и съхранението на ключове, използвани за шифроване на съобщения и друго съдържание, съхранени в облака на Webex. За всеки потребител в рамките на организацията, който е разпределен към хибридна защита на данни, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът също така е отговорен за връщането на създадените ключове на всички потребители, упълномощени да ги извлекат, например членове на място за разговори.

Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, наложително е клъстерът да продължи да работи и да се поддържат подходящи резервни копия. Загубата на базата данни за хибридна защита на данни или на конфигурационния ISO, използван за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентското съдържание. За предотвратяване на такава загуба са задължителни следните практики:

Ако при бедствие разполагането на HDS в основния център за данни стане недостъпно, следвайте тази процедура, за да се върнете ръчно към центъра за данни в режим на готовност.

Преди да започнете

Премахнете регистрацията на всички възли от Partner Hub, както е посочено в Премахване на възел. Използвайте най-новия ISO файл, конфигуриран спрямо възлите на клъстера, който преди това е бил активен, за да извършите посочената по-долу процедура за преместване при отказ.

1	Стартирайте инструмента за настройка на HDS и следвайте стъпките, споменати в Създаване на конфигурационен ISO за хостовете на HDS.
2	Завършете процеса на конфигуриране и запишете ISO файла на лесно за намиране място.
3	Направете резервно копие на ISO файла в локалната си система. Поддържайте архивното копие защитено. Този файл съдържа главен ключ за шифроване за съдържанието на базата с данни. Ограничете достъпа само до онези администратори на хибридна защита на данни, които трябва да направят промени в конфигурацията.
4	В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
5	Щракнете върху Редактиране на настройките >CD/DVD диск 1 и изберете Datastore ISO файл. Уверете се, че са отметнати Свързани и Свързване при включване , за да могат актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.
6	Включете възела на HDS и се уверете, че няма аларми поне 15 минути.
7	Регистрирайте възела в Partner Hub. Вижте Регистриране на първия възел в клъстера.
8	Повторете процеса за всеки възел в центъра за данни в режим на готовност.

Какво да направите след това

След отказ, ако основният център за данни се активира отново, премахнете регистрацията на възлите на центъра за данни в режим на готовност и повторете процеса на конфигуриране на ISO и регистриране на възлите на основния център за данни, както е посочено по-горе.

(По избор) Демонтиране на ISO след конфигуриране на HDS

Стандартната конфигурация на HDS работи с монтирания ISO. Но някои клиенти предпочитат да не оставят ISO файловете постоянно монтирани. Можете да разглобите ISO файла, след като всички възли на HDS поемат новата конфигурация.

Все още използвате ISO файловете, за да направите промени в конфигурацията. Когато създавате нов ISO или актуализирате ISO чрез инструмента за настройка, трябва да монтирате актуализирания ISO на всички ваши HDS възли. След като всички ваши възли са приели промените в конфигурацията, можете да демонтирате ISO отново с тази процедура.

Преди да започнете

Надстройте всички ваши HDS възли до версия 2021.01.22.4720 или по-нова.

1	Затворете един от възлите си за HDS.
2	В уреда vCenter Server изберете възела на HDS.
3	Изберете Редактиране на настройките > CD/DVD диск и премахнете отметката от Datastore ISO файл.
4	Включете възела на HDS и се уверете, че няма аларми поне 20 минути.
5	Повторете за всеки HDS възел на смяна.

Отстраняване на неизправности в хибридна защита на данни

Преглед на предупрежденията и отстраняване на неизправности

Разполагането на хибридна защита на данни се счита за налично, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че отнема време. Ако потребителите не могат да се свържат с вашия клъстер на хибридна защита на данни, те изпитват следните симптоми:

Не могат да се създават нови места (не могат да се създадат нови ключове)
Неуспешно дешифриране на съобщенията и заглавията на пространството за:
- Нови потребители, добавени към място (не могат да се извлекат ключове)
- Съществуващи потребители в място с помощта на нов клиент (не могат да се извлекат ключовете)
Съществуващите потребители в дадено място ще продължат да се изпълняват успешно, стига клиентите им да имат кеш с ключовете за шифроване

Важно е да наблюдавате правилно своя клъстер на хибридна защита на данни и да обръщате бързо към всички предупреждения, за да избегнете прекъсване на услугата.

Предупреждения

Ако има проблем с настройката на хибридна защита на данни, Partner Hub показва предупреждения до администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Предупрежденията обхващат много общи сценарии.

Таблица 1. Общи проблеми и стъпки за тяхното разрешаване
Предупреждение	Действие
Отказ на достъп до локална база данни.	Проверете за грешки в базата данни или проблеми с локалната мрежа.
Неуспешна връзка с локалната база данни.	Проверете дали сървърът с база данни е достъпен и дали са използвани правилните идентификационни данни за акаунта за услуга в конфигурацията на възела.
Неуспешен достъп до услугата в облака.	Проверете дали възлите имат достъп до сървърите на Webex, както е посочено в Изисквания за външна свързаност.
Подновяване на регистрацията за услуги в облака.	Регистрацията в услугите в облака беше прекъсната. Протича подновяване на регистрацията.
Регистрацията на услуги в облака е прекъсната.	Регистрирането в облачни услуги е прекратено. Услугата се затваря.
Услугата все още не е активирана.	Активирайте HDS в Partner Hub.
Конфигурираният домейн не съответства на сертификата на сървъра.	Уверете се, че сертификатът на сървъра ви съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата наскоро е променен и сега е различен от CN, който е бил използван по време на първоначалната настройка.
Неуспешно удостоверяване в услугите в облака.	Проверете за точност и възможно изтичане на идентификационните данни за акаунта за услугата.
Неуспешно отваряне на локалния файл на клавиатурата.	Проверете за целостта и точността на паролата във файла с локалния клавиатура.
Сертификатът за локален сървър е невалиден.	Проверете датата на изтичане на сертификата на сървъра и потвърдете, че той е издаден от надежден сертифициращ орган.
Неуспешно публикуване на метриките.	Проверете достъпа до локалната мрежа до външни облачни услуги.
Директорията /media/configdrive/hds не съществува.	Проверете конфигурацията за монтаж на ISO на виртуалния хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и дали се монтира успешно.
Настройката на организация на клиент не е завършена за добавените организации	Завършете настройката, като създадете CMK за новодобавени организации на клиенти с помощта на инструмента за настройка на хибридни съобщения.
Настройката на организация на клиента не е завършена за премахнатите организации	Завършете настройката чрез анулиране на CMK на организациите на клиенти, които са премахнати с помощта на инструмента за настройка на хибридни телефони (HDS).

Отстраняване на неизправности в хибридна защита на данни

Използвайте следните общи насоки, когато отстранявате проблеми с хибридна защита на данни.

1	Прегледайте Partner Hub за предупреждения и коригирайте всички елементи, които намерите там. Вижте изображението по-долу за справка.
2	Прегледайте изхода на сървъра syslog за активност от разполагането на хибридна защита на данни. Филтрирайте за думи като „Предупреждение“ и „Грешка“, за да помогнете при отстраняване на неизправности.
3	Свържете се с поддръжката на Cisco.

Други бележки

Известни проблеми с хибридната защита на данните

Ако затворите своя клъстер на хибридна защита на данни (като го изтриете в Partner Hub или като затворите всички възли), загубите своя ISO файл за конфигуриране или загубите достъп до базата данни на клавиатурата, потребителите на приложението Webex на клиентските организации вече няма да могат да използват пространства в своя списък "Хора", създадени с ключове от вашия KMS. В момента нямаме заобиколно решение или корекция за този проблем и ви призовавам да не затваряте услугите си за HDS, след като обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка към KMS, поддържа тази връзка за период от време (вероятно един час).

Стартирайте инструмента за настройка на HDS с помощта на Podman Desktop

Podman е безплатен инструмент за управление на контейнери с отворен код, който предоставя начин за изпълнение, управление и създаване на контейнери. Podman Desktop може да бъде изтеглен от https://podman-desktop.io/downloads.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него изтеглете и стартирайте Podman на тази машина. Процесът на настройка изисква идентификационните данни на акаунт в контролния център с пълни права на администратор за вашата организация.

Ако инструментът за настройка на HDS се изпълнява зад прокси сървър във вашата среда, осигурете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата за закачване на контейнера за закачване в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS прокси без удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Конфигурационният ISO файл, който генерирате, съдържа главния ключ, шифрован в базата данни на PostgreSQL или Microsoft SQL Server. Трябва ви най-новото копие на този файл по всяко време, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификата
- Промени в правилата за упълномощаване
Ако планирате да шифровате връзките с бази данни, настройте разполагането на вашия PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридна защита на данни създава ISO файл. След това използвайте ISO, за да конфигурирате своя хост на хибридна защита на данни.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Какво да направите след това

Изпълнете останалите стъпки в Създаване на конфигурация на ISO за хостовете на HDS или Промяна на конфигурацията на възела , за да създадете или промените конфигурацията на ISO.

Използване на OpenSSL за генериране на PKCS12 файл

Преди да започнете

OpenSSL е един инструмент, който може да се използва за създаване на PKCS12 файл в правилния формат за зареждане в инструмента за настройка на HDS. Има и други начини за това и ние не подкрепяме и не насърчаваме един път над друг.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като ръководство, за да ви помогнем да създадете файл, който отговаря на изискванията за сертификат X.509 в Изисквания за сертификат X.509. Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижте https://www.openssl.org софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификата на сървъра от вашия сертифициращ орган (CA).

1	Когато получите сертификата на сървъра от вашия CA, запишете го като `hdsnode.pem`.
2	Показване на сертификата като текст и проверете подробностите. `openssl x509 -text -noout -in hdsnode.pem`
3	Използвайте текстов редактор, за да създадете файл с пакет сертификати, наречен `hdsnode-bundle.pem`. Пакетният файл трябва да включва сертификата на сървъра, всички междинни CA сертификати и корневи CA сертификати в следния формат: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Създайте .p12 файла с приятелското име `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверете подробностите за сертификата на сървъра. `openssl pkcs12 -in hdsnode.p12` Въведете парола при подкана да шифровате частния ключ, така че да се показва в изхода. След това се уверете, че частният ключ и първият сертификат включват линиите `friendlyName: kms-private-key`. Пример: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Какво да направите след това

Върнете се, за да изпълните изискванията за хибридна защита на данни. Ще използвате hdsnode.p12 файла и паролата, която сте задали за него, в Създаване на конфигурационен ISO за хостовете на HDS.

Можете да използвате повторно тези файлове, за да поискате нов сертификат, когато първоначалният сертификат изтече.

Трафик между възлите на HDS и облака

Изходящ трафик за събиране на метрики

Възлите на хибридна защита на данни изпращат определени показатели към облака на Webex. Те включват системни метрики за heap max, използван heap, натоварване на процесора и брой нишки; метрики за синхронните и асинхронните нишки; метрики за предупрежденията, включващи праг на шифроване връзки, латентност или дължина на опашката за заявки; метрики за datastore; и метрики за връзката за шифроване. Възлите изпращат материали за шифрован ключ през нечестотен (отделен от заявката) канал.

Входящ трафик

Възлите на хибридна защита на данни получават следните типове входящ трафик от облака на Webex:

Заявки за шифроване от клиенти, които се маршрутизират от услугата за шифроване
Надстройки до софтуера за възли

Конфигуриране на прокси сървъри за хибридна защита на данните

Websocket не може да се свърже чрез сепия прокси

Прокси сървърите, които инспектират HTTPS трафика, могат да повлияят на създаването на websocket (wss:) връзки, които изискват хибридната защита на данните. Тези раздели дават насоки как да конфигурирате различни версии на Squid, за да игнорирате wss: трафика за правилна работа на услугите.

Калмята 4 и 5

Добавяне на on_unsupported_protocol директивата към squid.conf:

on_unsupported_protocol tunnel all

Сепия 3.5.27

Успешно тествахме хибридната защита на данни със следните правила, добавени към squid.conf. Тези правила подлежат на промяна, тъй като разработваме функции и актуализираме webex облака.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Нова и променена информация

Тази таблица обхваща нови функции или функционалности, промени в съществуващото съдържание и всички основни грешки, които са били коригирани в Ръководството за внедряване на хибридна защита на данни с множество наематели.

Дата	Направени промени
8 май 2025 г.	Добавено Преместване на съществуващото внедряване на HDS с един клиент на партньорска организация в Control Hub към настройка на HDS с много клиент в секцията Partner Hub. Актуализиран е изходът на системния лог, за да се подобри четимостта в раздела „Тестване на внедряването на хибридна защита на данните“. Актуализирани са изискванията за виртуален хост, потокът от задачи за внедряване на хибридна защита на даннии инсталирането на HDS Host OVA, за да се добави поддръжка за ESXi 8.0.
4 март 2025 г.	Добавено е стартиране на инструмента за настройка на HDS, използвайки раздела Podman Desktop. Добавена е бележка в Изисквания за Docker Desktop, предоставяща на клиентите алтернативна опция с отворен код. Актуализирано Създаване на ISO файл с конфигурация за HDS хостовете и Промяна на конфигурацията на възела с инструкции за използване на Podman Desktop за клиенти без лиценз за Docker Desktop.
30 януари 2025 г.	Добавен е SQL сървър версия 2022 към списъка с поддържани SQL сървъри в Изисквания към сървъра за бази данни.
15 януари 2025 г.	Добавени са ограничения на многонаемателската хибридна сигурност на данните.
8 януари 2025 г.	Добавена е бележка в Извършване на първоначална настройка и изтегляне на инсталационни файлове, в която се посочва, че щракването върху Настройка на HDS картата в Partner Hub е важна стъпка от процеса на инсталиране.
7 януари 2025 г.	Актуализирани са изискванията за виртуален хост, потокът от задачи за внедряване на хибридна защита на даннии инсталирането на OVA на HDS хост, за да се покаже новото изискване на ESXi 7.0.
13 декември 2024 г.	Първо публикувано.

Деактивиране на хибридната защита на данните за многоклиентски системи

Поток от задачи за деактивиране на многонаемателски HDS

Следвайте тези стъпки, за да деактивирате напълно Multi-Tenant HDS.

Преди да започнете

Тази задача трябва да се изпълнява само от пълен администратор на партньор.

1	Премахнете всички клиенти от всички ваши клъстери, както е посочено в Премахване на организации на наематели.
2	Отменете CMK-тата на всички клиенти, както е посочено в Отменете CMK-тата на наематели, премахнати от HDS..
3	Премахнете всички възли от всички ваши клъстери, както е посочено в Премахване на възел.
4	Изтрийте всичките си клъстери от Partner Hub, като използвате един от следните два метода. Щракнете върху клъстера, който искате да изтриете, и изберете Изтрий този клъстер в горния десен ъгъл на страницата с общ преглед. На страницата „Ресурси“ щракнете върху … от дясната страна на клъстер и изберете „Премахване на клъстер“.
5	Щракнете върху раздела Настройки на страницата с общ преглед на хибридната защита на данните и щракнете върху Деактивиране на HDS на картата „Състояние на HDS“.

Започнете с многонаемателска хибридна сигурност на данните

Преглед на защитата на данните при хибридни системи с множество наематели

От първия ден сигурността на данните е основният фокус при проектирането на приложението Webex. Крайъгълният камък на тази сигурност е цялостното криптиране на съдържание, активирано от клиенти на Webex App, взаимодействащи с услугата за управление на ключове (KMS). KMS отговаря за създаването и управлението на криптографски ключове, които клиентите използват за динамично криптиране и дешифриране на съобщения и файлове.

По подразбиране всички клиенти на Webex App получават криптиране от край до край с динамични ключове, съхранявани в облачната KMS система в областта на сигурността на Cisco. Хибридната защита на данните премества KMS и други свързани със сигурността функции във вашия корпоративен център за данни, така че никой освен вас не държи ключовете за вашето криптирано съдържание.

Многонаемателската хибридна сигурност на данните позволява на организациите да използват HDS чрез надежден локален партньор, който може да действа като доставчик на услуги и да управлява локално криптиране и други услуги за сигурност. Тази настройка позволява на партньорската организация да има пълен контрол върху внедряването и управлението на ключове за криптиране и гарантира, че потребителските данни на организациите на клиентите са защитени от външен достъп. Партньорските организации настройват HDS инстанции и създават HDS клъстери, когато е необходимо. Всеки екземпляр може да поддържа множество клиентски организации, за разлика от обикновеното внедряване на HDS, което е ограничено до една организация.

Въпреки че партньорските организации имат контрол върху внедряването и управлението, те нямат достъп до данни и съдържание, генерирани от клиентите. Този достъп е ограничен до организациите клиенти и техните потребители.

Това позволява и на по-малките организации да използват HDS, тъй като услугата за управление на ключове и инфраструктурата за сигурност, като например центровете за данни, са собственост на доверен местен партньор.

Как хибридната сигурност на данните за многоклиентски системи осигурява суверенитет на данните и контрол върху тях

Съдържанието, генерирано от потребителите, е защитено от външен достъп, като например доставчици на облачни услуги.
Местни доверени партньори управляват ключовете за криптиране на клиенти, с които вече имат установени взаимоотношения.
Възможност за локална техническа поддръжка, ако такава е осигурена от партньора.
Поддържа съдържание за срещи, съобщения и обаждания.

Този документ е насочен към подпомагане на партньорските организации при настройването и управлението на клиенти в рамките на хибридна система за сигурност на данните с множество наематели.

Ограничения на сигурността на данните при многонаемателски хибридни системи

Партньорските организации не трябва да имат активно внедряване на HDS в Control Hub.
Организациите наематели или клиенти, които желаят да бъдат управлявани от партньор, не трябва да имат съществуващо внедряване на HDS в Control Hub.
След като партньорът внедри Multi-Tenant HDS, всички потребители на клиентски организации, както и потребителите на партньорската организация, започват да използват Multi-Tenant HDS за своите услуги за криптиране.

Партньорската организация и клиентските организации, които управляват, ще бъдат в едно и също внедряване на Multi-Tenant HDS.

Партньорската организация вече няма да използва облачна KMS след внедряването на Multi-Tenant HDS.
Няма механизъм за преместване на ключове обратно в Cloud KMS след внедряване на HDS.
В момента всяко внедряване на Multi-Tenant HDS може да има само един клъстер с множество възли под него.
Администраторските роли имат определени ограничения; вижте раздела по-долу за подробности.

Роли в многонаемателската хибридна сигурност на данните

Пълен администратор на партньор - Може да управлява настройките за всички клиенти, които партньорът управлява. Могат също да възлагат администраторски роли на съществуващи потребители в организацията и да задават конкретни клиенти, които да бъдат управлявани от администратори на партньора.
Администратор на партньор - Може да управлява настройките за клиенти, които администраторът е осигурил или които са били присвоени на потребителя.
Пълен администратор - Администратор на партньорската организация, който е упълномощен да изпълнява задачи като промяна на настройките на организацията, управление на лицензи и присвояване на роли.

Цялостна настройка и управление на многонаемателски HDS за всички организации на клиенти - Изисква се пълни администраторски права на партньор и пълни администраторски права.
Управление на назначени организации наематели - Изисква се администратор на партньор и пълни администраторски права.

Архитектура на сферата на сигурността

Облачната архитектура на Webex разделя различните видове услуги в отделни области или доверителни домейни, както е показано по-долу.

***Сфери на разделение (без хибридна сигурност на данните)***

За да разберем по-добре хибридната сигурност на данните, нека първо разгледаме този случай с чист облак, където Cisco предоставя всички функции в своите облачни сфери. Услугата за идентификация, единственото място, където потребителите могат да бъдат директно свързани с личната си информация, като например имейл адрес, е логически и физически отделена от сферата на сигурност в център за данни B. И двете от своя страна са отделни от сферата, където в крайна сметка се съхранява криптирано съдържание, в център за данни C.

На тази диаграма клиентът е приложението Webex, работещо на лаптопа на потребителя, и е удостоверено с услугата за удостоверяване. Когато потребителят състави съобщение за изпращане до пространство, се извършват следните стъпки:

Клиентът установява защитена връзка с услугата за управление на ключове (KMS), след което изисква ключ за криптиране на съобщението. Защитената връзка използва ECDH, а KMS криптира ключа с помощта на главен ключ AES-256.
Съобщението се криптира, преди да напусне клиента. Клиентът го изпраща към услугата за индексиране, която създава криптирани индекси за търсене, за да подпомогне бъдещите търсения на съдържанието.
Криптираното съобщение се изпраща до службата за съответствие за проверки за съответствие.
Криптираното съобщение се съхранява в хранилището.

Когато внедрявате хибридна защита на данни, премествате функциите на областта на сигурност (KMS, индексиране и съответствие) във вашия локален център за данни. Другите облачни услуги, които съставляват Webex (включително съхранението на самоличност и съдържание), остават в сферата на Cisco.

Сътрудничество с други организации

Потребителите във вашата организация може редовно да използват приложението Webex, за да си сътрудничат с външни участници в други организации. Когато един от вашите потребители поиска ключ за пространство, собственост на вашата организация (защото е създадено от един от вашите потребители), вашата KMS система изпраща ключа на клиента по защитен канал на ECDH. Когато обаче друга организация притежава ключа за пространството, вашата KMS система пренасочва заявката към облака Webex през отделен ECDH канал, за да получи ключа от съответната KMS система, след което връща ключа на вашия потребител по оригиналния канал.

Услугата KMS, работеща в организация A, валидира връзките към KMS системи в други организации, използвайки сертификати x.509 PKI. Вижте Подготовка на вашата среда за подробности относно генерирането на сертификат x.509, който да се използва с вашето внедряване на хибридна защита на данни с множество наематели.

Очаквания за внедряване на хибридна сигурност на данните

Внедряването на хибридна сигурност на данните изисква значителен ангажимент и осъзнаване на рисковете, свързани с притежаването на ключове за криптиране.

За да внедрите хибридна сигурност на данните, трябва да предоставите:

Сигурен център за данни в държава, която е поддържано местоположение за плановете на Cisco Webex Teams.
Оборудването, софтуерът и мрежовият достъп, описани в Подгответе вашата среда.

Пълната загуба на ISO файла с конфигурацията, който създавате за Hybrid Data Security, или на предоставената от вас база данни ще доведе до загуба на ключовете. Загубата на ключ не позволява на потребителите да декриптират съдържанието на пространството и други криптирани данни в приложението Webex. Ако това се случи, можете да изградите ново внедряване, но ще бъде видимо само ново съдържание. За да избегнете загуба на достъп до данни, трябва:

Управлявайте архивирането и възстановяването на базата данни и ISO файла с конфигурацията.
Бъдете готови да извършите бързо възстановяване след бедствие, ако възникне катастрофа, като например повреда на диска на базата данни или бедствие в центъра за данни.

Няма механизъм за преместване на ключове обратно в облака след внедряване на HDS.

Процес на настройка на високо ниво

Този документ обхваща настройката и управлението на внедряване на хибридна защита на данни с множество наематели:

Настройка на хибридна сигурност на данните— Това включва подготовка на необходимата инфраструктура и инсталиране на софтуер за хибридна сигурност на данните, изграждане на HDS клъстер, добавяне на организации-наематели към клъстера и управление на техните основни ключове на клиентите (CMK). Това ще позволи на всички потребители на вашите клиентски организации да използват вашия клъстер за хибридна сигурност на данни за функции за сигурност.

Фазите на настройка, активиране и управление са разгледани подробно в следващите три глави.
Поддържайте внедряването си за хибридна сигурност на данните— Облакът Webex автоматично предоставя текущи надстройки. Вашият ИТ отдел може да осигури поддръжка от първо ниво за това внедряване и да ангажира поддръжка от Cisco, ако е необходимо. Можете да използвате екранни известия и да настроите имейл известия в Partner Hub.
Разберете често срещаните предупреждения, стъпките за отстраняване на неизправности и известните проблеми— Ако срещнете проблеми с внедряването или използването на Hybrid Data Security, последната глава на това ръководство и приложението „Известни проблеми“ могат да ви помогнат да определите и отстраните проблема.

Модел за внедряване на хибридна сигурност на данните

В рамките на вашия корпоративен център за данни, вие внедрявате Hybrid Data Security като един клъстер от възли на отделни виртуални хостове. Възлите комуникират с облака Webex чрез защитени уеб сокети и защитен HTTP.

По време на инсталационния процес ви предоставяме OVA файла, за да настроите виртуалното устройство на предоставените от вас виртуални машини. Използвате инструмента за настройка на HDS, за да създадете персонализиран ISO файл за конфигурация на клъстера, който монтирате на всеки възел. Клъстерът за хибридна сигурност на данни използва предоставения от вас Syslogd сървър и база данни PostgreSQL или Microsoft SQL Server. (Конфигурирате Syslogd и подробностите за връзката с базата данни в инструмента за настройка на HDS.)

Модел за внедряване на хибридна сигурност на данните

Минималният брой възли, които можете да имате в клъстер, е два. Препоръчваме поне три на клъстер. Наличието на множество възли гарантира, че услугата няма да бъде прекъсната по време на надстройка на софтуера или друга дейност по поддръжка на даден възел. (Облакът Webex надгражда само един възел наведнъж.)

Всички възли в клъстера имат достъп до едно и също хранилище за ключови данни и регистрират активността си на един и същ syslog сървър. Самите възли са без състояние и обработват ключови заявки по кръгов начин, както е указано от облака.

Възлите стават активни, когато ги регистрирате в Partner Hub. За да извадите отделен възел от експлоатация, можете да го отпишете и по-късно да го регистрирате отново, ако е необходимо.

Резервен център за данни за възстановяване след бедствия

По време на внедряването, вие създавате защитен резервен център за данни. В случай на бедствие в център за данни, можете ръчно да прехвърлите внедряването си към резервния център за данни при неуспешно изпълнение.

Преди превключване при срив, център за данни A има активни HDS възли и основната база данни PostgreSQL или Microsoft SQL Server, докато B има копие на ISO файла с допълнителни конфигурации, виртуални машини, регистрирани в организацията, и резервна база данни. След превключване на резервни копия, център за данни B има активни HDS възли и основната база данни, докато A има нерегистрирани виртуални машини и копие на ISO файла, а базата данни е в режим на готовност. — ***Ръчно превключване към резервен център за данни***

Базите данни на активните и резервните центрове за данни са синхронизирани помежду си, което ще минимизира времето, необходимо за извършване на резервно превключване.

Активните възли за хибридна сигурност на данните трябва винаги да са в същия център за данни като активния сървър на базата данни.

Поддръжка на прокси

Hybrid Data Security поддържа изрични, прозрачни проверяващи и неинспектационни проксита. Можете да свържете тези проксита към разполагането си, така че да можете да подсигурите и наблюдавате трафика от предприятието навън към облака. Можете да използвате администраторски интерфейс на платформа на възлите за управление на сертификати и да проверите цялостното състояние на свързване, след като настроите прокси сървъра на възлите.

Хибридните възли за защита на данните поддържат следните опции за прокси:

Без прокси—По подразбиране, ако не използвате хранилището за доверени данни за настройката на HDS възела & Конфигурация на прокси за интегриране на прокси. Не се изисква актуализация на сертификата.
Прозрачен неинспектиращ прокси сървър— Възлите не са конфигурирани да използват специфичен адрес на прокси сървър и не би трябвало да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата.
Прозрачно тунелиране или проверка на прокси сървър— Възлите не са конфигурирани да използват конкретен адрес на прокси сървър. На възлите не са необходими промени в конфигурацията на HTTP или HTTPS. Възлите обаче се нуждаят от главен сертификат, така че да се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS).
Изричен прокси сървър— С изричен прокси сървър, вие казвате на HDS възлите кой прокси сървър и схема за удостоверяване да използват. За да конфигурирате изрично прокси, трябва да въведете следната информация на всеки възел:
1. Прокси IP/FQDN—Адрес, който може да се използва за достигане до прокси машината.
2. Прокси порт— Номер на порт, който прокси сървърът използва, за да слуша проксиран трафик.
3. Прокси протокол— В зависимост от това какво поддържа вашият прокси сървър, изберете между следните протоколи:
  - HTTP—Преглежда и контролира всички заявки, които клиентът изпраща.
  - HTTPS—Предоставя канал на сървъра. Клиентът получава и валидира сертификата на сървъра.
4. Тип удостоверяване— Изберете измежду следните типове удостоверяване:
  - Няма—Не се изисква допълнително удостоверяване.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
  - Basic—Използва се от HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране.
    
    Налично, ако изберете или HTTP Или HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.
  - Дайджест—Използва се за потвърждаване на акаунта преди изпращане на чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата.
    
    Предлага се само ако изберете HTTPS като протокол за прокси.
    
    Изисква да въведете потребителското име и паролата на всеки възел.

Пример за хибридни данни сигурност възли и прокси

Тази диаграма показва примерна връзка между защитата на хибридните данни, мрежата и прокси. За прозрачния инспектиращ и HTTPS изричен инспектиращ прокси опции, един и същ главен сертификат трябва да бъде инсталиран на прокси и на хибридните възли за защита на данните.

Блокиран режим на външна DNS разделителна способност (изрични прокси конфигурации)

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. В разполагане с изрични прокси конфигурации, които не позволяват външна DNS разделителна способност за вътрешни клиенти, ако възелът не може да заявка DNS сървъри, тя автоматично преминава в режим блокирани външни DNS резолюция. В този режим може да се процедира регистрация на възли и други тестове за свързване на прокси.

Подготовка на средата

Изисквания за сигурност на данните за многонаемателни хибридни системи

Изисквания за лиценз на Cisco Webex

За да внедрите хибридна защита на данни за множество наематели:

Партньорски организации: Свържете се с вашия партньор на Cisco или мениджър на клиенти и се уверете, че функцията „Много наематели“ е активирана.
Организации наематели: Трябва да имате Pro Pack за Cisco Webex Control Hub. (Вижте https://www.cisco.com/go/pro-pack.)

Изисквания за Docker Desktop

Преди да инсталирате HDS възлите си, трябва да стартирате инсталационна програма в Docker Desktop. Docker наскоро актуализира своя лицензионен модел. Вашата организация може да изисква платен абонамент за Docker Desktop. За подробности вижте публикацията в блога на Docker, " Docker е Актуализиране и разширяване на нашите абонаментиза продукти".

Клиенти без лиценз за Docker Desktop могат да използват инструмент за управление на контейнери с отворен код, като Podman Desktop, за да стартират, управляват и създават контейнери. Вижте Стартиране на инструмента за настройка на HDS с помощта на Podman Desktop за подробности.

Изисквания за сертификат X.509

Веригата от сертификати трябва да отговаря на следните изисквания:

Таблица 1. Изисквания за сертификат X.509 за внедряване на хибридна сигурност на данните
Изискване	Подробности
Подписано от надежден сертифициращ орган (CA)	По подразбиране се доверяваме на CAs в списъка на Mozilla (с изключение на WoSign и StartCom) на https://wiki.mozilla.org/CA:IncludedCAs.
Носи домейн с общо име (CN), който идентифицира вашето внедряване на хибридна сигурност на данни Не е сертификат със заместващ знак	Не е необходимо CN да е достъпен или да е активен хост. Препоръчваме ви да използвате име, което отразява вашата организация, например `hds.company.com`. Комбинираното предложение не трябва да съдържа * (заместващ знак). CN се използва за проверка на възлите на Hybrid Data Security към клиенти на Webex App. Всички възли за хибридна защита на данни във вашия клъстер използват един и същ сертификат. Вашата KMS система се идентифицира с CN домейна, а не с домейн, дефиниран в полетата x.509v3 SAN. След като регистрирате възел с този сертификат, не поддържаме промяна на името на домейна CN.
Подпис, различен от SHA1	Софтуерът KMS не поддържа SHA1 подписи за валидиране на връзки към KMS системи на други организации.
Форматиран като защитен с парола PKCS #12 файл Използвайте приятелското име `kms-private-key`, за да маркирате сертификата, частния ключ и всички междинни сертификати за качване.	Можете да използвате конвертор като OpenSSL, за да промените формата на вашия сертификат. Ще трябва да въведете паролата, когато стартирате инструмента за настройка на HDS.

Софтуерът KMS не налага налага използването на ключове или разширени ограничения за използване на ключове. Някои сертифициращи органи изискват към всеки сертификат да се прилагат разширени ограничения за използване на ключове, като например удостоверяване на сървъра. Допустимо е да използвате удостоверяване на сървъра или други настройки.

Изисквания за виртуален хост

Виртуалните хостове, които ще настроите като възли за хибридна сигурност на данни във вашия клъстер, имат следните изисквания:

Поне два отделни хоста (препоръчително 3), разположени в един и същ защитен център за данни
Инсталиран и работещ VMware ESXi 7.0 или 8.0.

Трябва да надстроите, ако имате по-ранна версия на ESXi.
Минимум 4 vCPU, 8 GB основна памет, 30 GB локално дисково пространство на сървър

Изисквания за сървъра на базата данни

Създайте нова база данни за съхранение на ключове. Не използвайте базата данни по подразбиране. След инсталирането на HDS приложенията създават схемата на базата данни.

Има две опции за сървър на база данни. Изискванията за всеки от тях са следните:

Таблица 2. Изисквания към сървъра за бази данни според типа на базата данни
PostgreSQL	Microsoft SQL Server
PostgreSQL 14, 15 или 16, инсталиран и работещ.	Инсталиран е SQL Server 2016, 2017, 2019 или 2022 (Enterprise или Standard). SQL Server 2016 изисква Service Pack 2 и Cumulative Update 2 или по-нова версия.
Минимум 8 виртуални процесора (vCPU), 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не се превишава допустимото количество памет (препоръчва се 2 TB, ако искате да използвате базата данни за дълго време, без да е необходимо да увеличавате паметта).	Минимум 8 виртуални процесора (vCPU), 16 GB основна памет, достатъчно място на твърдия диск и наблюдение, за да се гарантира, че не се превишава допустимото количество памет (препоръчва се 2 TB, ако искате да използвате базата данни за дълго време, без да е необходимо да увеличавате паметта).

Софтуерът HDS в момента инсталира следните версии на драйвери за комуникация със сървъра на базата данни:

PostgreSQL

Microsoft SQL Server

JDBC драйвер за Postgres 42.2.5

JDBC драйвер за SQL Server 4.6

Тази версия на драйвера поддържа SQL Server Always On ( Always On Failover Cluster Instances и Always On availability groups).

Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server

Ако искате HDS възлите да използват удостоверяване на Windows, за да получат достъп до вашата база данни за хранилище на ключове в Microsoft SQL Server, тогава ви е необходима следната конфигурация във вашата среда:

HDS възлите, инфраструктурата на Active Directory и MS SQL Server трябва да бъдат синхронизирани с NTP.
Акаунтът в Windows, който предоставяте на HDS възлите, трябва да има read/write достъп до базата данни.
DNS сървърите, които предоставяте на HDS възлите, трябва да могат да разрешават вашия център за разпространение на ключове (KDC).
Можете да регистрирате екземпляра на базата данни HDS на вашия Microsoft SQL Server като име на принципал на услугата (SPN) в Active Directory. Вижте Регистриране на име на принципал на услуга за Kerberos връзки.

Инструментът за настройка на HDS, програмата за стартиране на HDS и локалната KMS система трябва да използват удостоверяване на Windows за достъп до базата данни за хранилище на ключове. Те използват данните от вашата ISO конфигурация, за да изградят SPN, когато изискват достъп с Kerberos удостоверяване.

Изисквания за външна свързаност

Конфигурирайте защитната си стена, за да разрешите следната свързаност за HDS приложенията:

Приложение	Протокол	Порт	Упътване от приложението	Местоназначение
Хибридни възли за сигурност на данните	TCP	443	Изходящ HTTPS и WSS	Webex сървъри: .wbx2.com .ciscospark.com Всички хостове на Common Identity Други URL адреси, които са изброени за хибридна сигурност на данни в таблицата Допълнителни URL адреси за хибридни услуги на Webex на Мрежови изисквания за услуги на Webex
Инструмент за настройка на HDS	TCP	443	Изходящ HTTPS	*.wbx2.com Всички хостове на Common Identity hub.docker.com

Възлите за хибридна сигурност на данните работят с транслация на мрежовия достъп (NAT) или зад защитна стена, стига NAT или защитната стена да позволяват необходимите изходящи връзки към местоназначенията на домейна в предходната таблица. За връзки, водещи към възлите за хибридна сигурност на данните, не трябва да се виждат портове от интернет. Във вашия център за данни, клиентите се нуждаят от достъп до възлите за хибридна сигурност на данните на TCP портове 443 и 22 за административни цели.

URL адресите за хостовете с обща идентичност (CI) са специфични за региона. Това са текущите CI хостове:

Регион	URL адреси на хостове за обща идентичност
Северна и Южна Америка	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Европейски съюз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com
Сингапур	https://idbroker-sg.webex.com https://identity-sg.webex.com
Обединени арабски емирства	https://idbroker-ae.webex.com https://identity-ae.webex.com

Изисквания към прокси сървъра

Ние официално поддържаме следните прокси решения, които могат да се интегрират с вашите възли hybrid Data Security.
- Прозрачен прокси-Уред за уеб защита cisco (WSA).
- Изрична прокси-Сепия.
  
  Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки. За да заобиколите този проблем, вижте Конфигуриране на Squid прокси сървъри за хибридна сигурност на данните.
Ние поддържаме следните комбинации от тип удостоверяване за изрични проксита:
- Без удостоверяване с HTTP или HTTPS
- Базово удостоверяване с HTTP или HTTPS
- Смилане на удостоверяване само с HTTPS
За прозрачен проверяващ прокси или HTTPS изрично прокси, трябва да имате копие на главния сертификат на прокси. Инструкциите за разполагане в това ръководство ви казват как да качите копието в магазините за доверие на хибридните възли за защита на данните.
Мрежата, хостваща HDS възлите, трябва да бъде конфигурирана да принуди изходящия TCP трафик на порт 443 да маршрутизира през прокси сървъра.
Прокситата, които инспектират уеб трафика, може да пречат на връзките с уеб гнездото. Ако възникне този проблем, заобикалянето (неинспектирането) на трафика към wbx2.com и ciscospark.com ще реши проблема.

Изпълнете предварителните изисквания за хибридна сигурност на данните

Използвайте този контролен списък, за да се уверите, че сте готови да инсталирате и конфигурирате вашия клъстер за хибридна защита на данни.

1	Уверете се, че вашата партньорска организация е активирала функцията Multi-Tenant HDS и вземете идентификационните данни на акаунт с пълни администраторски права на партньора и пълни администраторски права. Уверете се, че вашата организация на клиенти на Webex е активирана за Pro Pack за Cisco Webex Control Hub. Свържете се с вашия партньор на Cisco или мениджър клиенти за помощ с този процес. Организациите на клиентите не трябва да имат съществуващо внедряване на HDS.
2	Изберете име на домейн за вашето HDS внедряване (например, `hds.company.com`) и получете верига от сертификати, съдържаща X.509 сертификат, частен ключ и всички междинни сертификати. Веригата от сертификати трябва да отговаря на изискванията в X.509 Изисквания за сертификати.
3	Подгответе идентични виртуални хостове, които ще настроите като възли за хибридна сигурност на данни във вашия клъстер. Необходими са ви поне два отделни хоста (препоръчително 3), разположени в един и същ защитен център за данни, които отговарят на изискванията в Изисквания за виртуален хост.
4	Подгответе сървъра на базата данни, който ще действа като хранилище за ключови данни за клъстера, съгласно изискванията за сървъра на базата данни. Сървърът на базата данни трябва да бъде разположен в защитения център за данни заедно с виртуалните хостове. Създайте база данни за съхранение на ключове. (Трябва да създадете тази база данни – не използвайте базата данни по подразбиране.) Приложенията на HDS, когато бъдат инсталирани, създават схемата на базата данни.) Съберете данните, които възлите ще използват за комуникация със сървъра на базата данни: името на хоста или IP адреса (хост) и порта името на базата данни (dbname) за съхранение на ключове потребителското име и паролата на потребител с всички привилегии в базата данни за съхранение на ключове
5	За бързо възстановяване след бедствие, създайте резервна среда в различен център за данни. Резервната среда отразява производствената среда на виртуални машини и резервен сървър на база данни. Например, ако в производствената среда има 3 виртуални машини, работещи с HDS възли, средата за архивиране трябва да има 3 виртуални машини.
6	Настройте хост за системен лог, който да събира лог файлове от възлите в клъстера. Съберете неговия мрежов адрес и системен порт (по подразбиране е UDP 514).
7	Създайте политика за сигурно архивиране за възлите на хибридната защита на данните, сървъра на базата данни и хоста на syslog. Като минимум, за да предотвратите невъзстановима загуба на данни, трябва да архивирате базата данни и ISO файла с конфигурацията, генериран за възлите на Hybrid Data Security. Тъй като възлите за хибридна сигурност на данните съхраняват ключовете, използвани за криптиране и декриптиране на съдържание, невъзможността за поддържане на оперативно внедряване ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на това съдържание. Клиентите на Webex App кешират ключовете си, така че прекъсването може да не е веднага забележимо, но ще стане очевидно с течение на времето. Въпреки че временните прекъсвания са невъзможни за предотвратяване, те са възстановими. Пълната загуба (без налични резервни копия) на базата данни или на ISO файла с конфигурацията обаче ще доведе до невъзстановими клиентски данни. Очаква се операторите на възлите на Hybrid Data Security да поддържат чести резервни копия на базата данни и ISO файла с конфигурацията и да бъдат готови да възстановят центъра за данни на Hybrid Data Security, ако възникне катастрофална повреда.
8	Уверете се, че конфигурацията на вашата защитна стена позволява свързване за вашите възли за хибридна сигурност на данни, както е посочено в Изисквания за външна свързаност.
9	Инсталирайте Docker ( https://www.docker.com) на всяка локална машина, работеща с поддържана операционна система (Microsoft Windows 10 Professional или Enterprise 64-bit, или Mac OSX Yosemite 10.10.3 или по-нова версия) с уеб браузър, който може да го достъпва на http://127.0.0.1:8080. Използвате екземпляра на Docker, за да изтеглите и стартирате инструмента за настройка на HDS, който изгражда локалната информация за конфигурацията за всички възли на Hybrid Data Security. Може да ви е необходим лиценз за Docker Desktop. Вижте Изисквания за Docker Desktop за повече информация. За да инсталирате и стартирате инструмента за настройка на HDS, локалната машина трябва да има свързаността, описана в Изисквания за външна свързаност.
10	Ако интегрирате прокси с Hybrid Data Security, уверете се, че той отговаря на изискванията за прокси сървър.

Създаване на хибриден клъстер за сигурност на данни

Поток на задачи за внедряване на хибридна сигурност на данни

Преди да започнете

1	Извършете първоначална настройка и изтеглете инсталационните файлове Изтеглете OVA файла на локалната си машина за по-късна употреба.
2	Създайте ISO файл с конфигурация за HDS хостовете Използвайте инструмента за настройка на HDS, за да създадете ISO конфигурационен файл за възлите на Hybrid Data Security.
3	Инсталирайте HDS Host OVA Създайте виртуална машина от OVA файла и извършете първоначална конфигурация, като например мрежови настройки. Опцията за конфигуриране на мрежови настройки по време на внедряване на OVA е тествана с ESXi 7.0 и 8.0. Опцията може да не е налична в по-ранни версии.
4	Настройване на виртуална машина за хибридна защита на данни Влезте в конзолата на виртуалната машина и задайте идентификационните данни за вход. Конфигурирайте мрежовите настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.
5	Качете и монтирайте ISO файла с конфигурацията на HDS Конфигурирайте виртуалната машина от ISO конфигурационния файл, който сте създали с инструмента за настройка на HDS.
6	Конфигуриране на HDS възел за интегриране на прокси сървър Ако мрежовата среда изисква конфигурация на прокси сървър, укажете типа прокси сървър, който ще използвате за възела, и добавете сертификата за прокси сървър към хранилището за доверени сертификати, ако е необходимо.
7	Регистрирайте първия възел в клъстера Регистрирайте виртуалната машина в облака Cisco Webex като възел за хибридна сигурност на данни.
8	Създаване и регистриране на още възли Завършете настройката на клъстера.
9	Активирайте Multi-Tenant HDS в Partner Hub. Активирайте HDS и управлявайте организациите на наематели в Partner Hub.

Извършете първоначална настройка и изтеглете инсталационните файлове

В тази задача изтегляте OVA файл на вашата машина (не на сървърите, които сте настроили като възли за хибридна сигурност на данните). Ще използвате този файл по-късно в процеса на инсталиране.

1	Влезте в Центъра за партньори и след това щракнете върху Услуги.
2	В секцията „Облачни услуги“ намерете картата „Хибридна сигурност на данните“ и след това щракнете върху Настройка. Щракването върху Настройка в Центъра за партньори е от решаващо значение за процеса на внедряване. Не продължавайте с инсталацията, без да завършите тази стъпка.
3	Щракнете върху Добавяне на ресурс и щракнете върху Изтегляне на .OVA файл в картата Инсталиране и конфигуриране на софтуер. По-старите версии на софтуерния пакет (OVA) няма да са съвместими с най-новите актуализации на Hybrid Data Security. Това може да доведе до проблеми при надграждане на приложението. Уверете се, че сте изтеглили най-новата версия на OVA файла. Можете също да изтеглите OVA по всяко време от секцията Помощ. Кликнете върху Настройки > Помощ > Изтеглете софтуера за хибридна сигурност на данните. OVA файлът автоматично започва да се изтегля. Запазете файла на място на вашата машина.
4	По желание щракнете върху Вижте ръководството за внедряване на хибридна защита на данни, за да проверите дали има налична по-нова версия на това ръководство.

Създайте ISO файл с конфигурация за HDS хостовете

Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO файла, за да конфигурирате вашия хост за хибридна сигурност на данните.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни за акаунт в Partner Hub с пълни администраторски права.

Ако нямате лиценз за Docker Desktop, можете да използвате Podman Desktop, за да стартирате инструмента за настройка на HDS за стъпки от 1 до 5 в процедурата по-долу. Вижте Стартиране на инструмента за настройка на HDS с помощта на Podman Desktop за подробности.

Ако инструментът за настройка на HDS работи зад прокси сървър във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато стартирате контейнера на Docker в стъпка 5 по-долу. Тази таблица дава някои възможни променливи на средата:

Описание

Променлива

HTTP прокси без удостоверяване

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

HTTPS прокси без удостоверяване

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

HTTP прокси с удостоверяване

GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

HTTPS прокси с удостоверяване

GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO файлът с конфигурацията, който генерирате, съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Нуждаете се от най-новото копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификати
- Промени в политиката за оторизация
Ако планирате да криптирате връзките към базата данни, настройте внедряването на PostgreSQL или SQL Server за TLS.

1

В командния ред на вашата машина въведете подходящата команда за вашата среда:

В нормални среди:

docker rmi ciscocitg/hds-setup:stable

В среди на FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.

2

За да влезете в регистъра на изображения на Docker, въведете следното:

docker login -u hdscustomersro

3

При подканата за парола въведете този хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Изтеглете най-новото стабилно изображение за вашата среда:

В нормални среди:

docker pull ciscocitg/hds-setup:stable

В среди на FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Когато изтеглянето приключи, въведете подходящата команда за вашата среда:

В нормални среди без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

В нормални среди с HTTP прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В обикновени среди с HTTPS прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

В среди на FedRAMP без прокси:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

В среди на FedRAMP с HTTP прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

В среди на FedRAMP с HTTPS прокси:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.

6

Инструментът за настройка не поддържа свързване към localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080, за да се свържете с localhost.

Използвайте уеб браузър, за да отидете на localhost, http://127.0.0.1:8080, и въведете потребителско име на администратор за Partner Hub при подканата.

Инструментът използва това първо въвеждане на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.

7

Когато получите подкана, въведете вашите администраторски идентификационни данни за вход в Partner Hub и след това щракнете върху Вход, за да разрешите достъп до необходимите услуги за хибридна сигурност на данните.

8

На страницата с общ преглед на инструмента за настройка щракнете върху Първи стъпки.

9

На страницата ISO импортиране имате следните опции:

Не— Ако създавате първия си HDS възел, нямате ISO файл за качване.
Да— Ако вече сте създали HDS възли, тогава избирате вашия ISO файл в прегледа и го качвате.

10

Проверете дали вашият X.509 сертификат отговаря на изискванията в X.509 Certificate Requirements.

Ако никога преди не сте качвали сертификат, качете сертификата X.509, въведете паролата и щракнете върху „ Продължи“.
Ако сертификатът ви е наред, щракнете върху Продължи.
Ако вашият сертификат е изтекъл или искате да го замените, изберете Не за Да продължите ли да използвате веригата от сертификати на HDS и частния ключ от предишния ISO?. Качете нов X.509 сертификат, въведете паролата и щракнете върху Продължи.

11

Въведете адреса на базата данни и акаунта за HDS, за да получите достъп до вашето хранилище за ключове:

Изберете вашия тип база данни (PostgreSQL или Microsoft SQL Server).

Ако изберете Microsoft SQL Server, ще получите поле „Тип на удостоверяване“.
(само за Microsoft SQL Server ) Изберете вашия тип удостоверяване:
- Основно удостоверяване: Трябва да въведете име на локален SQL Server акаунт в полето Потребителско име.
- Удостоверяване на Windows: Необходим ви е акаунт в Windows във формат username@DOMAIN в полето Потребителско име.
Въведете адреса на сървъра на базата данни във формата : или :.

Пример:
dbhost.example.org:1433 или 198.51.100.17:1433

Можете да използвате IP адрес за основно удостоверяване, ако възлите не могат да използват DNS за разрешаване на името на хоста.

Ако използвате удостоверяване на Windows, трябва да въведете напълно квалифицирано име на домейн във формат dbhost.example.org:1433
Въведете името на базата данни.
Въведете потребителско име и парола на потребител с всички привилегии върху базата данни за съхранение на ключове.

12

Изберете TLS режим на свързване към база данни:

Режим	Описание
Предпочитам TLS (опция по подразбиране)	HDS възлите не изискват TLS да се свърже със сървъра на базата данни. Ако активирате TLS на сървъра на базата данни, възлите ще се опитат да установят криптирана връзка.
Изисквайте TLS	HDS възли се свързват само ако сървърът на базата данни може да договори TLS.
Изисквайте TLS и проверете подписвача на сертификати	Този режим не е приложим за бази данни на SQL Server. HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяване на TLS връзка, възелът сравнява подписващия сертификата от сървъра на базата данни със сертифициращия орган в коренния сертификат на базата данни. Ако не съвпадат, възелът изпуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.
Изисквайте TLS и проверете подписалия сертификат и хостовото име	HDS възли се свързват само ако сървърът на базата данни може да договори TLS. След установяване на TLS връзка, възелът сравнява подписващия сертификата от сървъра на базата данни със сертифициращия орган в коренния сертификат на базата данни. Ако не съвпадат, възелът изпуска връзката. Възлите също така проверяват дали името на хоста в сертификата на сървъра съвпада с името на хоста в полето Хост и порт на базата данни. Имената трябва да съвпадат точно или възелът пуска връзката. Използвайте контролата за главен сертификат на базата данни под падащото, за да качите главния сертификат за тази опция.

Когато качите главния сертификат (ако е необходимо) и щракнете върху „ Продължи“, инструментът за настройка на HDS тества TLS връзката със сървъра на базата данни. Инструментът също така проверява подписалите сертификата и hostname, ако е приложимо. Ако даден тест е неуспешен, инструментът показва съобщение за грешка, описващо проблема. Можете да изберете дали да игнорирате грешката и да продължите с настройката. (Поради разликите в свързаността, HDS възлите може да са в състояние да установят TLS връзката, дори ако машината с HDS Setup Tool не може да я тества успешно.)

13

На страницата „Системни дневници“ конфигурирайте вашия Syslogd сървър:

Въведете URL адреса на syslog сървъра.

Ако сървърът не е DNS-разрешим от възлите за вашия HDS клъстер, използвайте IP адрес в URL адреса.

Пример:
udp://10.92.43.23:514 показва регистриране към Syslogd хост 10.92.43.23 на UDP порт 514.
Ако сте настроили сървъра си да използва TLS криптиране, проверете Конфигуриран ли е вашият syslog сървър за SSL криптиране?.

Ако поставите отметка в това квадратче, уверете се, че въвеждате TCP URL адрес, като например tcp://10.92.43.23:514.
От падащото меню Изберете прекратяване на syslog записа изберете подходящата настройка за вашия ISO файл: За Graylog и Rsyslog TCP се използва Choose или Newline
- Нулев байт -- \x00
- Нов ред -- \n—Изберете тази опция за Graylog и Rsyslog TCP.
Щракнете върху Продължаване.

14

(По избор) Можете да промените стойността по подразбиране за някои параметри на връзката с базата данни в Разширени настройки. Обикновено този параметър е единственият, който може да искате да промените:

app_datasource_connection_pool_maxSize: 10

15

Щракнете върху Продължи на екрана Нулиране на паролата за сервизни акаунти.

Паролите за сервизни акаунти имат деветмесечен срок на валидност. Използвайте този екран, когато паролите ви наближават срок на валидност или искате да ги нулирате, за да анулирате предишни ISO файлове.

16

Кликнете върху Изтегляне на ISO файл. Запазете файла на място, което е лесно за намиране.

17

Направете резервно копие на ISO файла на вашата локална система.

Пазете резервното копие сигурно. Този файл съдържа главен ключ за криптиране на съдържанието на базата данни. Ограничете достъпа само до администраторите на хибридна сигурност на данни, които трябва да правят промени в конфигурацията.

18

За да затворите инструмента за настройка, въведете CTRL+C.

Какво да направите след това

Направете резервно копие на ISO файла с конфигурацията. Нужен ви е, за да създадете още възли за възстановяване или да направите промени в конфигурацията. Ако загубите всички копия на ISO файла, ще загубите и главния ключ. Възстановяването на ключовете от вашата база данни PostgreSQL или Microsoft SQL Server не е възможно.

Никога нямаме копие на този ключ и не можем да ви помогнем, ако го загубите.

Инсталирайте HDS Host OVA

Използвайте тази процедура, за да създадете виртуална машина от OVA файла.

1	Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi.
2	Изберете Файл > Разгръщане на OVF шаблон.
3	В съветника посочете местоположението на OVA файла, който сте изтеглили по-рано, и след това щракнете върху Напред.
4	На страницата Изберете име и папка въведете име на виртуална машина за възела (например "HDS_Node_1"), изберете местоположение, където може да се намира внедряването на възела на виртуалната машина, и след това щракнете върху Напред.
5	На страницата Изберете изчислителен ресурс изберете целевия изчислителен ресурс и след това щракнете върху Напред. Извършва се проверка за валидиране. След като приключи, се показват подробностите за шаблона.
6	Проверете данните на шаблона и след това щракнете върху Напред.
7	Ако бъдете помолени да изберете конфигурацията на ресурсите на страницата Конфигурация, щракнете върху 4 CPU и след това щракнете върху Напред.
8	На страницата Избор на място за съхранение щракнете върху Напред, за да приемете формата на диска по подразбиране и политиката за съхранение на виртуална машина.
9	На страницата Избор на мрежи изберете опцията за мрежа от списъка със записи, за да осигурите желаната свързаност на виртуалната машина.
10	На страницата Персонализиране на шаблон конфигурирайте следните мрежови настройки: Име на хост— Въведете FQDN (име на хост и домейн) или еднословно име на хост за възела. Не е необходимо да задавате домейна така, че да съответства на домейна, който сте използвали за получаване на сертификата X.509. За да осигурите успешна регистрация в облака, използвайте само малки букви в FQDN или името на хоста, което сте задали за възела. Капитализацията не се поддържа в този момент. Общата дължина на FQDN не трябва да надвишава 64 знака. IP адрес— Въведете IP адреса за вътрешния интерфейс на възела. Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа. Маска— Въведете адреса на подмрежовата маска в десетично-точков формат. Например, 255.255.255.0. Шлюз— Въведете IP адреса на шлюза. Шлюзът е мрежов възел, който служи като точка за достъп до друга мрежа. DNS сървъри— Въведете списък с DNS сървъри, разделени със запетаи, които обработват преобразуването на имена на домейни в числови IP адреси. (Разрешени са до 4 DNS записа.) NTP сървъри— Въведете NTP сървъра на вашата организация или друг външен NTP сървър, който може да се използва във вашата организация. NTP сървърите по подразбиране може да не работят за всички предприятия. Можете също да използвате списък, разделен със запетаи, за да въведете множество NTP сървъри. Разположете всички възли в една и съща подмрежа или VLAN, така че всички възли в клъстер да са достъпни от клиенти във вашата мрежа за административни цели. Ако предпочитате, можете да пропуснете конфигурирането на мрежовите настройки и да следвате стъпките в Настройка на хибридната виртуална машина за защита на данни, за да конфигурирате настройките от конзолата на възела. Опцията за конфигуриране на мрежови настройки по време на внедряване на OVA е тествана с ESXi 7.0 и 8.0. Опцията може да не е налична в по-ранни версии.
11	Щракнете с десния бутон върху виртуалната машина на възела и след това изберете Захранване > Включване. Софтуерът за хибридна сигурност на данни е инсталиран като гост на виртуалната машина. Вече сте готови да влезете в конзолата и да конфигурирате възела. Съвети за отстраняване на неизправности Възможно е да има забавяне от няколко минути, преди контейнерите с възли да се появят. По време на първото зареждане на конзолата се появява съобщение за защитната стена на моста, по време на което не можете да влезете.

Настройване на виртуална машина за хибридна защита на данни

Използвайте тази процедура, за да влезете за първи път в конзолата за виртуална машина на възела Hybrid Data Security и да зададете идентификационните данни за влизане. Можете също да използвате конзолата, за да конфигурирате мрежовите настройки за възела, ако не сте ги конфигурирали по време на внедряването на OVA.

1	В клиента на VMware vSphere изберете вашия възел Hybrid Data Security VM и изберете раздела Console. Виртуалната машина се стартира и се появява подкана за вход. Ако подканата за вход не се покаже, натиснете Enter.
2	Използвайте следните потребителски данни и парола по подразбиране, за да влезете и да промените идентификационните данни: Вход: `admin` Парола: `cisco` Тъй като влизате във виртуалната си машина за първи път, е необходимо да промените администраторската парола.
3	Ако вече сте конфигурирали мрежовите настройки в Инсталиране на HDS Host OVA, пропуснете останалата част от тази процедура. В противен случай, в главното меню изберете опцията Редактиране на конфигурация.
4	Настройте статична конфигурация с IP адрес, маска, шлюз и DNS информация. Вашият възел трябва да има вътрешен IP адрес и DNS име. DHCP не се поддържа.
5	(По избор) Променете името на хоста, домейна или NTP сървъра(ите), ако е необходимо, за да съответстват на политиката на вашата мрежа. Не е необходимо да задавате домейна така, че да съответства на домейна, който сте използвали за получаване на сертификата X.509.
6	Запазете мрежовата конфигурация и рестартирайте виртуалната машина, за да влязат в сила промените.

Качете и монтирайте ISO файла с конфигурацията на HDS

Използвайте тази процедура, за да конфигурирате виртуалната машина от ISO файла, който сте създали с инструмента за настройка на HDS.

Преди да започнете

Тъй като ISO файлът съдържа главния ключ, той трябва да бъде достъпен само въз основа на „необходимост за информация“ за достъп на виртуалните машини за хибридна сигурност на данните и всички администратори, които може да се нуждаят от промени. Уверете се, че само тези администратори имат достъп до хранилището за данни.

1

Качете ISO файла от вашия компютър:

В левия навигационен панел на клиента VMware vSphere щракнете върху ESXi сървъра.
В списъка с хардуер в раздела „Конфигурация“ щракнете върху „ Памет“ .
В списъка с хранилища за данни щракнете с десния бутон върху хранилището за данни за вашите виртуални машини и щракнете върху Преглед на хранилището за данни.
Щракнете върху иконата за качване на файлове и след това щракнете върху Качване на файл.
Отидете до мястото, където сте изтеглили ISO файла на компютъра си, и щракнете върху Отвори.
Кликнете върху Да, за да приемете upload/download предупреждение за операция и затворете диалоговия прозорец на хранилището за данни.

2

Монтирайте ISO файла:

В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
Щракнете върху OK, за да приемете предупреждението за ограничени опции за редактиране.
Щракнете върху CD/DVD Drive 1, изберете опцията за монтиране от ISO файл на хранилище за данни и отидете до мястото, където сте качили ISO файла с конфигурацията.
Проверете Свързано и Свързване при включване.
Запазете промените си и рестартирайте виртуалната машина.

Какво да направите след това

Ако вашата ИТ политика го изисква, можете по желание да демонтирате ISO файла, след като всички ваши възли приемат промените в конфигурацията. Вижте (По избор) Демонтиране на ISO след HDS конфигурация за подробности.

Конфигуриране на HDS възел за интегриране на прокси сървър

Ако мрежовата среда изисква прокси, използвайте тази процедура, за да укажете вида на прокси, който искате да интегрирате с Hybrid Data Security. Ако изберете прозрачен проверяващ прокси или HTTPS изричен прокси, можете да използвате интерфейса на възела, за да качите и инсталирате главния сертификат. Можете също да проверите прокси връзката от интерфейса и да отстраните всички потенциални проблеми.

Преди да започнете

Вижте Поддръжка на прокси за общ преглед на поддържаните опции за прокси.
Изисквания към прокси сървъра

1	Въведете URL адреса за настройка на HDS възел `https://[HDS Node IP or FQDN]/setup` в уеб браузър, въведете администраторските идентификационни данни, които сте задали за възела, и след това щракнете върху Вход.
2	Отидете на Хранилище на доверие & Прокси , след което изберетеопция: Без прокси— Опцията по подразбиране, преди да интегрирате прокси. Не се изисква актуализация на сертификата. Прозрачен неинспектиращ прокси сървър— Възлите не са конфигурирани да използват специфичен адрес на прокси сървър и не би трябвало да изискват никакви промени, за да работят с неинспектиращ прокси сървър. Не се изисква актуализация на сертификата. Прозрачен инспектиращ прокси сървър— Възлите не са конфигурирани да използват конкретен адрес на прокси сървър. Не httpS конфигурация промени са необходими в разполагането на защитата на хибридни данни, обаче HDS възли се нуждаят от главен сертификат, така че те се доверяват на прокси. Проверяващите пълномощници обикновено се използват от It за прилагане на политики, на които могат да бъдат посетени уебсайтовете и кои видове съдържание не са разрешени. Този тип прокси дешифрира целия ви трафик (дори HTTPS). Изричен прокси сървър— С изричен прокси сървър, вие казвате на клиента (HDS възлите) кой прокси сървър да използва и тази опция поддържа няколко типа удостоверяване. След като изберете тази опция, трябва да въведете следната информация: Прокси IP/FQDN—Адрес, който може да се използва за достигане до прокси машината. Прокси порт— Номер на порт, който прокси сървърът използва, за да слуша проксиран трафик. Прокси протокол— Изберете http (преглежда и контролира всички заявки, получени от клиента) или https (предоставя канал към сървъра, а клиентът получава и валидира сертификата на сървъра). Изберете опция въз основа на това, което поддържа вашият прокси сървър. Тип удостоверяване— Изберете измежду следните типове удостоверяване: Няма—Не се изисква допълнително удостоверяване. Налична за HTTP или HTTPS проксита. Basic—Използва се от HTTP потребителски агент за предоставяне на потребителско име и парола при отправяне на заявка. Използва Base64 кодиране. Налична за HTTP или HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Дайджест—Използва се за потвърждаване на акаунта преди изпращане на чувствителна информация. Прилага хеш функция на потребителското име и паролата преди изпращане по мрежата. Предлага се само за HTTPS проксита. Ако изберете тази опция, трябва да въведете и потребителското име и паролата. Изпълнете следващите стъпки за прозрачен проверяващ прокси, HTTP изрично прокси с базово удостоверяване или HTTPS изрично прокси.
3	Щракнете върху Качване на главен сертификат или Сертификат за краен обект и след това навигирайте до изберете главния сертификат запрокси. Сертификатът се качва, но все още не е инсталиран, защото трябва да рестартирате възела, за да инсталирате сертификата. Щракнете върху стрелката chevron по името на издателя на сертификата, за да получите повече подробности или щракнете върху Изтрий, ако сте направили грешка и искате да качите повторно файла.
4	Щракнете върху Проверка на прокси връзката, за да тествате мрежовата свързаност между възела и прокси. Ако тестът за връзка е неуспешен, ще видите съобщение за грешка, което показва причината и как можете да коригирате проблема. Ако видите съобщение, което казва, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра. Това условие се очаква в много изрични прокси конфигурации. Можете да продължите с настройката и възелът ще функционира в режим на блокирано външно DNS разрешаване. Ако смятате, че това е грешка, изпълнете тези стъпки и след това вижте Изключване на режима за разрешаване на блокирани външни DNS адреси.
5	След като тестът за връзка премине, за изрично прокси настроен само на https, включете превключването към Маршрут всички порт 443/444 https заявки от този възел през изрично прокси. Тази настройка изисква 15 секунди, за да влязат в сила.
6	Щракнете върху Инсталиране на всички сертификати в хранилището на гаранти (появява се за HTTPS изрично прокси или прозрачен проверяващ прокси) или Рестартиране (появява се за HTTP изрично прокси), прочетете подканата и след това щракнете върху Инсталиране, ако сте готови. Възелът се рестартира в рамките на няколко минути.
7	След рестартирането на възела влезте отново, ако е необходимо, след което отворете страницата Общ преглед, за да проверите проверките за свързване, за да се уверите, че всички те са в зелено състояние. Проверката на прокси връзката тества само поддомейн от webex.com. Ако има проблеми със свързването, често срещан проблем е, че някои от облачните домейни, изброени в инструкциите за инсталиране, се блокират в прокси.

Регистрирайте първия възел в клъстера

Тази задача взема общия възел, който създадохте в Настройка на виртуалната машина за хибридна сигурност на данни, регистрира възела в облака Webex и го превръща във възел за хибридна сигурност на данни.

Когато регистрирате първия си възел, създавате клъстер, към който е присвоен възелът. Клъстерът съдържа един или повече възли, разположени за осигуряване на резервиране.

Преди да започнете

След като започнете регистрацията на възел, трябва да я завършите в рамките на 60 минути или ще трябва да започнете отначало.
Уверете се, че всички блокери на изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В секцията „Облачни услуги“ намерете картата „Хибридна сигурност на данните“ и щракнете върху „Настройка“.
4	На страницата, която се отваря, щракнете върху Добавяне на ресурс.
5	В първото поле на картата Добавяне на възел въведете име за клъстера, към който искате да присвоите вашия възел за хибридна защита на данни. Препоръчваме да наименувате клъстер въз основа на географското местоположение на възлите на клъстера. Примери: „Сан Франциско“, „Ню Йорк“ или „Далас“
6	Във второто поле въведете вътрешния IP адрес или пълното име на домейн (FQDN) на вашия възел и щракнете върху Добавяне в долната част на екрана. Този IP адрес или FQDN трябва да съвпада с IP адреса или името на хоста и домейна, които сте използвали в Настройка на виртуалната машина за хибридна сигурност на данни. Появява се съобщение, което показва, че можете да регистрирате възела си в Webex.
7	Кликнете върху Отиди на възел. След няколко минути ще бъдете пренасочени към тестовете за свързаност на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата „Разрешаване на достъп до хибриден възел за защита на данни“. Там потвърждавате, че искате да предоставите разрешения на вашата Webex организация за достъп до вашия възел.
8	Поставете отметка в квадратчето Разрешаване на достъп до вашия хибриден възел за сигурност на данни и след това щракнете върху Продължи. Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака Webex.
9	Щракнете върху връзката или затворете раздела, за да се върнете към страницата „Хибридна сигурност на данните“ на Partner Hub. На страницата Хибридна сигурност на данни новият клъстер, съдържащ регистрирания от вас възел, се показва в раздела Ресурси. Възелът автоматично ще изтегли най-новия софтуер от облака.

Създаване и регистриране на още възли

За да добавите допълнителни възли към вашия клъстер, просто създавате допълнителни виртуални машини и монтирате същия ISO файл с конфигурацията, след което регистрирате възела. Препоръчваме ви да имате поне 3 възела.

Преди да започнете

След като започнете регистрацията на възел, трябва да я завършите в рамките на 60 минути или ще трябва да започнете отначало.
Уверете се, че всички блокери на изскачащи прозорци във вашия браузър са деактивирани или че сте разрешили изключение за admin.webex.com.

1	Създайте нова виртуална машина от OVA, като повторите стъпките в Инсталиране на HDS Host OVA.
2	Настройте първоначалната конфигурация на новата виртуална машина, като повторите стъпките в Настройка на хибридната виртуална машина за сигурност на данните.
3	На новата виртуална машина повторете стъпките в Качване и монтиране на ISO файл с конфигурация на HDS.
4	Ако настройвате прокси за вашето внедряване, повторете стъпките в Конфигуриране на HDS възела за интеграция на прокси, както е необходимо за новия възел.
5	Регистрирайте възела. В https://admin.webex.comизберете Услуги от менюто от лявата страна на екрана. В секцията „Облачни услуги“ намерете картата „Хибридна сигурност на данните“ и щракнете върху „ Виж всички“ . Появява се страницата „Ресурси за хибридна сигурност на данни“. Новосъздаденият клъстер ще се появи на страницата Ресурси. Щракнете върху клъстера, за да видите възлите, присвоени на клъстера. Кликнете върху Добавяне на възел от дясната страна на екрана. Въведете вътрешния IP адрес или пълното име на домейн (FQDN) на вашия възел и щракнете върху Добавяне. Отваря се страница със съобщение, което показва, че можете да регистрирате вашия възел в облака Webex. След няколко минути ще бъдете пренасочени към тестовете за свързаност на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата „Разрешаване на достъп до хибриден възел за защита на данни“. Там потвърждавате, че искате да дадете разрешения на вашата организация за достъп до вашия възел. Поставете отметка в квадратчето Разрешаване на достъп до вашия хибриден възел за сигурност на данни и след това щракнете върху Продължи. Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака Webex. Щракнете върху връзката или затворете раздела, за да се върнете към страницата „Хибридна сигурност на данните“ на Partner Hub. Изскачащото съобщение„ Възълът е добавен “ се появява и в долната част на екрана в Partner Hub. Вашият възел е регистриран.

Управлявайте организациите на наематели в Multi-Tenant Hybrid Data Security

Активирайте Multi-Tenant HDS в Partner Hub

Тази задача гарантира, че всички потребители на клиентските организации могат да започнат да използват HDS за локални ключове за криптиране и други услуги за сигурност.

Преди да започнете

Уверете се, че сте завършили настройката на вашия Multi-Tenant HDS клъстер с необходимия брой възли.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В секцията „Облачни услуги“ намерете „Хибридна сигурност на данните“ и щракнете върху „Редактиране на настройките“ .
4	Щракнете върху Активиране на HDS на картата Състояние на HDS.

Добавяне на организации наематели в Partner Hub

В тази задача вие присвоявате клиентски организации към вашия хибриден клъстер за сигурност на данни.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В секцията „Облачни услуги“ намерете „Хибридна сигурност на данните“ и щракнете върху „ Виж всички.
4	Щракнете върху клъстера, към който искате да бъде присвоен клиент.
5	Отидете на раздела Назначени клиенти.
6	Кликнете върху Добавяне на клиенти.
7	Изберете клиента, когото искате да добавите, от падащото меню.
8	Щракнете върху Добавяне, клиентът ще бъде добавен към клъстера.
9	Повторете стъпки от 6 до 8, за да добавите няколко клиенти към вашия клъстер.
10	Кликнете върху Готово в долната част на екрана, след като добавите клиентите.

Какво да направите след това

Стартирайте инструмента за настройка на HDS, както е описано подробно в Създаване на главни ключове на клиента (CMK) с помощта на инструмента за настройка на HDS, за да завършите процеса на настройка.

Създайте главни ключове на клиента (CMK) с помощта на инструмента за настройка на HDS

Преди да започнете

Присвоете клиентите към съответния клъстер, както е описано подробно в Добавяне на организации наематели в Partner Hub. Стартирайте инструмента за настройка на HDS, за да завършите процеса на настройка за новодобавените организации на клиенти.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни за акаунт в Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS работи зад прокси сървър във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато стартирате контейнера на Docker в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS прокси без удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO файлът с конфигурацията, който генерирате, съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Нуждаете се от най-новото копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификати
- Промени в политиката за оторизация
Ако планирате да криптирате връзките към базата данни, настройте внедряването на PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO файла, за да конфигурирате вашия хост за хибридна сигурност на данните.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `docker rmi ciscocitg/hds-setup:stable` В среди на FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `docker login -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `docker pull ciscocitg/hds-setup:stable` В среди на FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В обикновени среди с HTTPS прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTP прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване към localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080, за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080`, и въведете потребителско име на администратор за Partner Hub при подканата. Инструментът използва това първо въвеждане на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато получите подкана, въведете вашите администраторски идентификационни данни за вход в Partner Hub и след това щракнете върху Вход, за да разрешите достъп до необходимите услуги за хибридна сигурност на данните.
8	На страницата с общ преглед на инструмента за настройка щракнете върху Първи стъпки.
9	На страницата ISO импортиране щракнете върху Да.
10	Изберете вашия ISO файл в браузъра и го качете. Осигурете свързаност с вашата база данни, за да извършвате управление на CMK.
11	Отидете в раздела Управление на CMK на наематели, където ще намерите следните три начина за управление на CMK на наематели. Създаване на CMK за всички организации или Създаване на CMK - Кликнете върху този бутон в банера в горната част на екрана, за да създадете CMK за всички новодобавени организации. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Създаване на CMK, за да създадете CMK за всички новодобавени организации. Щракнете върху … близо до статуса „Изчакване на управлението на CMK“ на конкретна организация в таблицата и щракнете върху Създаване на CMK, за да създадете CMK за тази организация.
12	След като създаването на CMK е успешно, статусът в таблицата ще се промени от CMK management pending на CMK managed.
13	Ако създаването на CMK е неуспешно, ще се покаже грешка.

Премахване на организации наематели

Преди да започнете

След като бъде премахнат, потребителите на клиентски организации няма да могат да използват HDS за своите нужди от криптиране и ще загубят всички съществуващи пространства. Преди да премахнете организации на клиенти, моля, свържете се с вашия партньор на Cisco или мениджър клиенти.

1	Влезте в https://admin.webex.com.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В секцията „Облачни услуги“ намерете „Хибридна сигурност на данните“ и щракнете върху „ Виж всички.
4	В раздела Ресурси щракнете върху клъстера, от който искате да премахнете организациите на клиентите.
5	На страницата, която се отваря, щракнете върху Присвоени клиенти.
6	От показания списък с организации на клиенти щракнете върху ... от дясната страна на организацията на клиента, която искате да премахнете, и щракнете върху Премахване от клъстера.

Какво да направите след това

Завършете процеса на премахване, като отмените CMK-тата на организациите на клиентите, както е описано подробно в Отмяна на CMK-тата на наематели, премахнати от HDS.

Отмяна на CMK-тата на наематели, премахнати от HDS.

Преди да започнете

Премахнете клиентите от съответния клъстер, както е описано подробно в Премахване на организации наематели. Стартирайте инструмента за инсталиране на HDS, за да завършите процеса на премахване на премахнатите организации на клиенти.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни за акаунт в Partner Hub с пълни администраторски права за вашата организация.

Ако инструментът за настройка на HDS работи зад прокси сървър във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато стартирате контейнера на Docker в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS прокси без удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO файлът с конфигурацията, който генерирате, съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Нуждаете се от най-новото копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификати
- Промени в политиката за оторизация
Ако планирате да криптирате връзките към базата данни, настройте внедряването на PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO файла, за да конфигурирате вашия хост за хибридна сигурност на данните.

1	В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `docker rmi ciscocitg/hds-setup:stable` В среди на FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате.
2	За да влезете в регистъра на изображения на Docker, въведете следното: `docker login -u hdscustomersro`
3	При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `docker pull ciscocitg/hds-setup:stable` В среди на FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В обикновени среди с HTTPS прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTP прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“.
6	Инструментът за настройка не поддържа свързване към localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080, за да се свържете с localhost. Използвайте уеб браузър, за да отидете на localhost, `http://127.0.0.1:8080`, и въведете потребителско име на администратор за Partner Hub при подканата. Инструментът използва това първо въвеждане на потребителското име, за да зададе правилната среда за този акаунт. След това инструментът показва стандартната подкана за влизане.
7	Когато получите подкана, въведете вашите администраторски идентификационни данни за вход в Partner Hub и след това щракнете върху Вход, за да разрешите достъп до необходимите услуги за хибридна сигурност на данните.
8	На страницата с общ преглед на инструмента за настройка щракнете върху Първи стъпки.
9	На страницата ISO импортиране щракнете върху Да.
10	Изберете вашия ISO файл в браузъра и го качете.
11	Отидете в раздела Управление на CMK на наематели, където ще намерите следните три начина за управление на CMK на наематели. Отмяна на CMK за всички организации или Отмяна на CMK - Кликнете върху този бутон в банера в горната част на екрана, за да отмените CMK на всички премахнати организации. Щракнете върху бутона Управление на CMK от дясната страна на екрана и щракнете върху Отмяна на CMK, за да отмените CMK на всички премахнати организации. Щракнете върху … близо до статуса CMK за отмяна на конкретна организация в таблицата и щракнете върху Отмяна на CMK, за да отмените CMK за тази конкретна организация.
12	След като отмяната на CMK е успешна, организацията на клиента вече няма да се показва в таблицата.
13	Ако отмяната на CMK е неуспешна, ще се покаже грешка.

Тествайте внедряването на хибридна защита на данните

Тествайте внедряването на хибридна защита на данните си

Използвайте тази процедура, за да тествате сценарии за криптиране на хибридна защита на данни с множество наематели.

Преди да започнете

Настройте внедряването на вашата хибридна защита на данни за множество наематели.
Уверете се, че имате достъп до системния лог (syslog), за да проверите дали ключовите заявки се предават към вашето внедряване на хибридна защита на данни с множество наематели.

1

Ключовете за дадено пространство се задават от създателя на пространството. Влезте в приложението Webex като един от потребителите на организацията на клиента и след това създайте пространство.

Ако деактивирате внедряването на хибридна защита на данни, съдържанието в пространствата, създадени от потребителите, вече няма да е достъпно, след като кешираните от клиента копия на ключовете за криптиране бъдат заменени.

2

Изпращайте съобщения до новото пространство.

3

Проверете изхода на системния лог, за да се уверите, че заявките за ключове се предават към вашето внедряване на хибридна защита на данни.

Ако потребител на новодобавена клиентска организация извърши някакво действие, идентификационният номер на организацията ще се появи в регистрационните файлове и това може да се използва за проверка дали организацията използва Multi-Tenant HDS. Проверете стойността на kms.data.orgId в системните логове.

За да проверите за потребител, който първо установява защитен канал към KMS, филтрирайте по kms.data.method=create и kms.data.type=EPHEMERAL_KEY_COLLECTION:

Трябва да намерите запис, подобен на следния (идентификаторите са съкратени за по-лесна четливост):

2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

За да проверите за потребител, който заявява съществуващ ключ от KMS, филтрирайте по kms.data.method=retrieve и kms.data.type=KEY:

Трябва да намерите запис, например:

2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

За да проверите за потребител, който иска създаването на нов KMS ключ, филтрирайте по kms.data.method=create и kms.data.type=KEY_COLLECTION:

Трябва да намерите запис, например:

2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

За да проверите за потребител, който е поискал създаването на нов KMS ресурсен обект (KRO), когато се създава пространство или друг защитен ресурс, филтрирайте по kms.data.method=create и kms.data.type=RESOURCE_COLLECTION:

Трябва да намерите запис, например:

2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Мониториране на състоянието на хибридната сигурност на данните

Индикатор за състоянието в Partner Hub ви показва дали всичко е наред с внедряването на Multi-Tenant Hybrid Data Security. За по-проактивно известяване, регистрирайте се за имейл известия. Ще бъдете уведомявани, когато има аларми, влияещи върху услугата, или актуализации на софтуера.

1	В Център за партньориизберете Услуги от менюто от лявата страна на екрана.
2	В секцията „Облачни услуги“ намерете „Хибридна сигурност на данните“ и щракнете върху „Редактиране на настройките“ . Появява се страницата с настройки за хибридна защита на данните.
3	В секцията „Известия по имейл“ въведете един или повече имейл адреси, разделени със запетаи, и натиснете Enter.

Управлявайте внедряването на вашия HDS

Управление на внедряването на HDS

Използвайте описаните тук задачи, за да управлявате внедряването на хибридна защита на данни.

Задаване на график за надграждане на клъстера

Надстройките на софтуера за хибридна сигурност на данните се извършват автоматично на ниво клъстер, което гарантира, че всички възли винаги работят с една и съща версия на софтуера. Надстройките се извършват съгласно графика за надстройки за клъстера. Когато стане налична надстройка на софтуера, имате възможност да надстроите ръчно клъстера преди планираното време за надстройка. Можете да зададете конкретен график за надграждане или да използвате графика по подразбиране на 3:00 AM Daily Съединени щати: America/Los Анджелис. Можете също така да изберете да отложите предстоящо надграждане, ако е необходимо.

За да зададете график за надстройка:

1	Влезте в Partner Hub.
2	От менюто от лявата страна на екрана изберете Услуги.
3	В секцията „Облачни услуги“ намерете „Хибридна сигурност на данните“ и щракнете върху „Настройка“
4	На страницата „Ресурси за хибридна сигурност на данни“ изберете клъстера.
5	Кликнете върху раздела Настройки на клъстера.
6	На страницата „Настройки на клъстера“, под „График за надстройка“ изберете часа и часовата зона за графика за надстройка. Забележка: Под часовата зона се показва следващата налична дата и час на надстройка. Можете да отложите надстройката за следващия ден, ако е необходимо, като кликнете върху Отлагане с 24 часа.

Промяна на конфигурацията на възела

От време на време може да се наложи да промените конфигурацията на вашия възел за защита на хибридни данни поради причина като:

Промяна на x.509 сертификати поради изтичане или други причини.

Не поддържаме промяна на CN името на домейн на сертификат. Домейнът трябва да съответства на оригиналния домейн, използван за регистриране на клъстера.
Актуализиране на настройките на базата данни за промяна на реплика на базата данни PostgreSQL или Microsoft SQL Server.

Не поддържаме мигриране на данни от PostgreSQL към Microsoft SQL Server или обратното. За да превключите средата на базата данни, започнете ново внедряване на Hybrid Data Security.
Създаване на нова конфигурация за подготовка на нов център за данни.

Също така, за целите на защитата, Hybrid Data Security използва пароли за сервизен акаунт, които имат деветмесечен живот. След като инструментът за настройка на HDS генерира тези пароли, ги разполагате на всеки от вашите HDS възли във файла ISO config. Когато паролите на вашата организация са към изтичане, получавате известие от екипа на Webex за нулиране на паролата за вашия машинен акаунт. (Имейлът включва текста „Използвайте API на машинния акаунт, за да актуализирате паролата.“) Ако вашите пароли все още не са изтекли, инструментът ви дава две опции:

Меко нулиране— Старата и новата парола работят до 10 дни. Използвайте този период, за да замените постепенно ISO файла на възлите.
Хард нулиране— Старите пароли спират да работят незабавно.

Ако вашите пароли изтекат без нулиране, това се отразява на вашата HDS услуга, изисквайки незабавно хардуерно нулиране и подмяна на ISO файла на всички възли.

Използвайте тази процедура, за да генерирате нов конфигурационен ISO файл и да го приложите към вашия клъстер.

Преди да започнете

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За достъп до него стартирайте Docker на тази машина. Процесът на настройка изисква идентификационни данни за акаунт в Partner Hub с пълни администраторски права на партньора.

Ако нямате лиценз за Docker Desktop, можете да използвате Podman Desktop, за да стартирате инструмента за настройка на HDS за стъпки от 1.a до 1.e в процедурата по-долу. Вижте Стартиране на инструмента за настройка на HDS с помощта на Podman Desktop за подробности.

Ако инструментът за настройка на HDS работи зад прокси във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато стартирате контейнера на Docker в 1.e. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS прокси без удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Имате нужда от копие на текущия конфигурационен ISO файл, за да генерирате нова конфигурация. ISO съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Имате нужда от ISO, когато правите промени в конфигурацията, включително идентификационни данни на база данни, актуализации на сертификати или промени в правилата за оторизация.

1	Използвайки Docker на локална машина, стартирайте HDS Setup Tool. В командния ред на вашата машина въведете подходящата команда за вашата среда: В нормални среди: `docker rmi ciscocitg/hds-setup:stable` В среди на FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Тази стъпка изчиства предишни изображения на инструмента за настройка на HDS. Ако няма предишни изображения, той връща грешка, която можете да игнорирате. За да влезете в регистъра на изображения на Docker, въведете следното: `docker login -u hdscustomersro` При подканата за парола въведете този хеш: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Изтеглете най-новото стабилно изображение за вашата среда: В нормални среди: `docker pull ciscocitg/hds-setup:stable` В среди на FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable` Уверете се, че сте изтеглили най-новия инструмент за настройка за тази процедура. Версиите на инструмента, създадени преди 22 февруари 2018 г., нямат екрани за нулиране на парола. Когато изтеглянето приключи, въведете подходящата команда за вашата среда: В нормални среди без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` В нормални среди с HTTP прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В нормални среди с HTTPSпрокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` В среди на FedRAMP без прокси: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTP прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` В среди на FedRAMP с HTTPS прокси: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Когато контейнерът работи, виждате „Експресен сървър слуша на порт 8080“. Използвайте браузър, за да се свържете с localhost, `http://127.0.0.1:8080`. Инструментът за настройка не поддържа свързване към localhost чрез http://localhost:8080. Използвайте http://127.0.0.1:8080, за да се свържете с localhost. Когато получите подкана, въведете вашите идентификационни данни за вход в Partner Hub и след това щракнете върху Приемам, за да продължите. Импортирайте текущия конфигурационен ISO файл. Следвайте подканите, за да завършите инструмента и да изтеглите актуализирания файл. За да затворите инструмента за настройка, въведете `CTRL+C`. Създайте резервно копие на актуализирания файл в друг център за данни.
2	Ако имате само един работещ HDS възел, създайте нов виртуален компютър на възел Hybrid Data Security и го регистрирайте, като използвате новия ISO файл с конфигурация. За по-подробни инструкции вижте Създаване и регистриране на още възли. Инсталирайте HDS хост OVA. Настройте HDS VM. Монтирайте актуализирания конфигурационен файл. Регистрирайте новия възел в Partner Hub.
3	За съществуващи HDS възли, които изпълняват по-стария конфигурационен файл, монтирайте ISO файла. Изпълнете следната процедура на всеки възел на свой ред, като актуализирате всеки възел, преди да изключите следващия възел: Изключете виртуалната машина. В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките. Щракнете върху `CD/DVD Drive 1`, изберете опцията за монтиране от ISO файл и отидете до мястото, където сте изтеглили новия ISO файл с конфигурацията. Поставете отметка на Свързване при включване. Запазете промените си и включете виртуалната машина.
4	Повторете стъпка 3, за да замените конфигурацията на всеки останал възел, който изпълнява старата конфигурация.

Изключване на режим на блокирана външна DNS разделителна способност

Когато регистрирате възел или проверете конфигурацията на прокси сървъра на възела, процесът тества DNS справка и свързаност към облака Cisco Webex. Ако DNS сървърът на възела не може да разреши публични DNS имена, възелът автоматично преминава в режим на блокирана външна DNS разделителна способност.

Ако вашите възли са в състояние да разреши публични DNS имена чрез вътрешни DNS сървъри, можете да изключите този режим чрез повторно изпълнение на теста за прокси връзка на всеки възел.

Преди да започнете

Гарантирайте, че вашите вътрешни DNS сървъри могат да разрешават публични DNS имена, както и че вашите възли могат да комуникират с тях.

1	В уеб браузър отворете интерфейса на възела "Защита на хибридните данни" (IP адрес/настройка например въведете идентификационни данни за администриране, които https://192.0.2.0/setup), сте задали за възела, след което щракнете върху Влизане.
2	Отидете на Общ преглед (страницата по подразбиране). Когато е разрешено, блокирани външна DNS разделителна способност е зададена да .
3	Отидете на страницата Хранилище на доверие & Прокси.
4	Щракнете върху Проверка на прокси връзката. Ако видите съобщение, казващо, че външната DNS разделителна способност не е била успешна, възелът не е успял да достигне DNS сървъра и ще остане в този режим. В противен случай, след като рестартирате възела и да се върнете към страницата общ преглед, Блокиран външен DNS разделителна способност трябва да бъде зададено на не.

Какво да направите след това

Повторете теста за прокси връзка на всеки възел във вашия клъстер за защита на хибридни данни.

Премахване на възел

Използвайте тази процедура, за да премахнете възел за хибридна защита на данни от облака Webex. След като премахнете възела от клъстера, изтрийте виртуалната машина, за да предотвратите по-нататъшен достъп до вашите данни за сигурност.

1

Използвайте VMware vSphere клиента на вашия компютър, за да влезете във виртуалния хост ESXi и да изключите виртуалната машина.

2

Премахнете възела:

Влезте в Центъра за партньори и след това изберете Услуги.
В картата „Хибридна сигурност на данните“ щракнете върху „Виж всички “ [], за да се покаже страницата „Ресурси за хибридна сигурност на данните“.
Изберете вашия клъстер, за да се покаже неговият панел „Общ преглед“.
Кликнете върху възела, който искате да премахнете.
Кликнете върху Отрегистриране на този възел в панела, който се показва отдясно
Можете също да отпишете възела, като щракнете върху … от дясната страна на възела и изберете Премахване на този възел.

3

В vSphere клиента изтрийте виртуалната машина. (В левия навигационен панел щракнете с десния бутон върху виртуалната машина и след това щракнете върху Изтриване.)

Ако не изтриете виртуалната машина, не забравяйте да демонтирате ISO файла с конфигурацията. Без ISO файла не можете да използвате виртуалната машина за достъп до данните си за сигурност.

Възстановяване след бедствия с помощта на резервен център за данни

Най-важната услуга, която вашият клъстер за хибридна сигурност на данни предоставя, е създаването и съхранението на ключове, използвани за криптиране на съобщения и друго съдържание, съхранявано в облака Webex. За всеки потребител в организацията, който е назначен за хибридна защита на данни, заявките за създаване на нови ключове се насочват към клъстера. Клъстерът е отговорен и за връщането на създадените от него ключове на всички потребители, упълномощени да ги извличат, например членове на пространство за разговори.

Тъй като клъстерът изпълнява критичната функция за предоставяне на тези ключове, е наложително клъстерът да продължи да работи и да се поддържат правилни резервни копия. Загубата на базата данни за хибридна сигурност на данните или на ISO файла с конфигурацията, използван за схемата, ще доведе до НЕВЪЗСТАНОВИМА ЗАГУБА на клиентско съдържание. Следните практики са задължителни за предотвратяване на подобна загуба:

Ако бедствие доведе до недостъпност на внедряването на HDS в основния център за данни, следвайте тази процедура, за да превключите ръчно към резервния център за данни.

Преди да започнете

Дерегистрирайте всички възли от Partner Hub, както е посочено в Премахване на възел. Използвайте най-новия ISO файл, който е бил конфигуриран спрямо възлите на клъстера, който е бил активен преди това, за да извършите процедурата за превключване при срив, посочена по-долу.

1	Стартирайте инструмента за настройка на HDS и следвайте стъпките, посочени в Създаване на ISO файл с конфигурация за HDS хостовете.
2	Завършете процеса на конфигуриране и запазете ISO файла на място, което е лесно за намиране.
3	Направете резервно копие на ISO файла на вашата локална система. Пазете резервното копие сигурно. Този файл съдържа главен ключ за криптиране на съдържанието на базата данни. Ограничете достъпа само до администраторите на хибридна сигурност на данни, които трябва да правят промени в конфигурацията.
4	В левия панел за навигация на клиента VMware vSphere щракнете с десния бутон върху виртуалната машина и щракнете върху Редактиране на настройките.
5	Кликнете върху Редактиране на настройките >CD/DVD Устройство 1 и изберете ISO файл на хранилището на данни. Уверете се, че са отметнати Свързано и Свързване при включване, за да могат актуализираните промени в конфигурацията да влязат в сила след стартиране на възлите.
6	Включете HDS възела и се уверете, че няма аларми в продължение на поне 15 минути.
7	Регистрирайте възела в центъра за партньори. Вижте Регистрирайте първия възел в клъстера.
8	Повторете процеса за всеки възел в резервния център за данни.

Какво да направите след това

След превключване на резервни устройства, ако основният център за данни стане отново активен, отпишете възлите на резервния център за данни и повторете процеса на конфигуриране на ISO и регистриране на възлите на основния център за данни, както е споменато по-горе.

(По избор) Демонтиране на ISO след HDS конфигурация

Стандартната HDS конфигурация работи с монтиран ISO диск. Но някои клиенти предпочитат да не оставят ISO файловете постоянно монтирани. Можете да демонтирате ISO файла, след като всички HDS възли приемат новата конфигурация.

Все още използвате ISO файловете, за да правите промени в конфигурацията. Когато създавате нов ISO файл или актуализирате ISO файл чрез инструмента за настройка, трябва да монтирате актуализирания ISO файл на всички ваши HDS възли. След като всички ваши възли са възприели промените в конфигурацията, можете да демонтирате ISO файла отново с тази процедура.

Преди да започнете

Надстройте всичките си HDS възли до версия 2021.01.22.4720 или по-нова.

1	Изключете един от вашите HDS възли.
2	В vCenter Server Appliance изберете възела HDS.
3	Изберете Редактиране на настройки > CD/DVD устройство и махнете отметката от ISO файл на хранилището на данни.
4	Включете HDS възела и се уверете, че няма аларми в продължение на поне 20 минути.
5	Повторете за всеки HDS възел поред.

Отстраняване на неизправности в хибридната сигурност на данните

Преглед на предупреждения и отстраняване на неизправности

Хибридното внедряване на защита на данни се счита за недостъпно, ако всички възли в клъстера са недостъпни или клъстерът работи толкова бавно, че изисква изтичане на времето за изчакване. Ако потребителите не могат да достигнат до вашия клъстер за хибридна защита на данни, те ще наблюдават следните симптоми:

Не могат да се създават нови пространства (не е възможно да се създават нови ключове)
Съобщенията и заглавията на пространствата не успяват да се дешифрират за:
- Нови потребители са добавени към пространството (не е възможно да се получат ключове)
- Съществуващи потребители в пространство, използващи нов клиент (не могат да извлекат ключове)
Съществуващите потребители в дадено пространство ще продължат да работят успешно, стига техните клиенти да имат кеш на ключовете за криптиране.

Важно е правилно да наблюдавате вашия клъстер за хибридна сигурност на данни и своевременно да реагирате на всички предупреждения, за да избегнете прекъсване на услугата.

Предупреждения

Ако има проблем с настройката на хибридната защита на данни, Partner Hub показва известия на администратора на организацията и изпраща имейли до конфигурирания имейл адрес. Сигналите обхващат много често срещани сценарии.

Таблица 1. Често срещани проблеми и стъпки за разрешаването им
Предупреждение	Действие
Отказ на достъп до локална база данни.	Проверете за грешки в базата данни или проблеми с локалната мрежа.
Грешка при свързване с локална база данни.	Проверете дали сървърът на базата данни е наличен и дали са използвани правилните идентификационни данни за сервизен акаунт при конфигурацията на възела.
Грешка в достъпа до облачна услуга.	Проверете дали възлите имат достъп до Webex сървърите, както е посочено в Изисквания за външна свързаност.
Подновяване на регистрацията за облачна услуга.	Регистрацията за облачни услуги беше премахната. Подновяването на регистрацията е в ход.
Регистрацията на облачна услуга е прекратена.	Регистрацията за облачни услуги е прекратена. Услугата се изключва.
Услугата все още не е активирана.	Активирайте HDS в Partner Hub.
Конфигурираният домейн не съответства на сертификата на сървъра.	Уверете се, че сертификатът на вашия сървър съответства на конфигурирания домейн за активиране на услугата. Най-вероятната причина е, че CN на сертификата е бил наскоро променен и сега е различен от CN, използван по време на първоначалната настройка.
Неуспешно удостоверяване в облачните услуги.	Проверете за точност и евентуално изтичане на идентификационните данни за сервизния акаунт.
Неуспешно отваряне на локалния файл за съхранение на ключове.	Проверете целостта и точността на паролата в локалния файл за съхранение на ключове.
Сертификатът на локалния сървър е невалиден.	Проверете датата на валидност на сертификата на сървъра и потвърдете, че е издаден от надежден сертифициращ орган.
Не е възможно публикуване на показатели.	Проверете достъпа на локалната мрежа до външни облачни услуги.
/media/configdrive/hds директорията не съществува.	Проверете конфигурацията за монтиране на ISO файла на виртуалния хост. Проверете дали ISO файлът съществува, дали е конфигуриран да се монтира при рестартиране и дали се монтира успешно.
Настройката на организацията на клиента не е завършена за добавените организации	Завършете настройката, като създадете CMK за новодобавени организации на наематели, използвайки инструмента за настройка на HDS.
Настройката на организацията на клиента не е завършена за премахнатите организации	Завършете настройката, като отмените CMK-тата на организациите наематели, които бяха премахнати с помощта на инструмента за настройка на HDS.

Отстраняване на неизправности в хибридната сигурност на данните

Използвайте следните общи насоки, когато отстранявате проблеми с хибридната защита на данните.

1	Прегледайте Центъра за партньори за евентуални известия и коригирайте всички елементи, които откриете там. Вижте изображението по-долу за справка.
2	Прегледайте изхода на syslog сървъра за активност от внедряването на хибридната защита на данните. Филтрирайте за думи като „Предупреждение“ и „Грешка“, за да помогнете при отстраняването на неизправности.
3	Свържете се с поддръжката на Cisco.

Други бележки

Известни проблеми със сигурността на хибридните данни

Ако изключите вашия клъстер Hybrid Data Security (чрез изтриването му в Partner Hub или чрез изключване на всички възли), загубите ISO файла си за конфигурация или загубите достъп до базата данни за хранилище на ключове, потребителите на Webex App на клиентски организации вече няма да могат да използват пространства в списъка си с хора, които са създадени с ключове от вашата KMS. В момента нямаме решение или корекция на този проблем и ви призоваваме да не изключвате услугите си на HDS, след като те обработват активни потребителски акаунти.
Клиент, който има съществуваща ECDH връзка с KMS, поддържа тази връзка за определен период от време (вероятно един час).

Стартирайте инструмента за настройка на HDS с помощта на Podman Desktop

Podman е безплатен инструмент с отворен код за управление на контейнери, който предоставя начин за стартиране, управление и създаване на контейнери. Podman Desktop може да бъде изтеглен от https://podman-desktop.io/downloads.

Инструментът за настройка на HDS работи като Docker контейнер на локална машина. За да получите достъп до него, изтеглете и стартирайте Podman на тази машина. Процесът на настройка изисква идентификационните данни на акаунт в контролния център с пълни права на администратор за вашата организация.

Ако инструментът за настройка на HDS работи зад прокси сървър във вашата среда, предоставете настройките на прокси сървъра (сървър, порт, идентификационни данни) чрез променливите на средата на Docker, когато стартирате контейнера на Docker в стъпка 5. Тази таблица дава някои възможни променливи на средата:

Описание	Променлива
HTTP прокси без удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS прокси без удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP прокси с удостоверяване	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS прокси с удостоверяване	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO файлът с конфигурацията, който генерирате, съдържа главния ключ, криптиращ базата данни на PostgreSQL или Microsoft SQL Server. Нуждаете се от най-новото копие на този файл всеки път, когато правите промени в конфигурацията, като тези:
- Идентификационни данни за базата данни
- Актуализации на сертификати
- Промени в политиката за оторизация
Ако планирате да криптирате връзките към базата данни, настройте внедряването на PostgreSQL или SQL Server за TLS.

Процесът на настройка на хибридната защита на данните създава ISO файл. След това използвате ISO файла, за да конфигурирате вашия хост за хибридна сигурност на данните.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Какво да направите след това

Следвайте оставащите стъпки в Създаване на ISO файл за конфигурация за HDS хостовете или Промяна на конфигурацията на възела, за да създадете или промените ISO конфигурацията.

Преместете съществуващото внедряване на HDS с един клиент на партньорска организация в Control Hub към настройка на HDS с много клиент в Partner Hub

Преобразуването от съществуващо едно-наемателско HDS внедряване на партньорска организация, управлявано в Control Hub, към многонаемателско HDS внедряване, управлявано в Partner Hub, включва предимно деактивиране на HDS услугата в Control Hub, дерегистриране на възли и изтриване на клъстера. След това можете да влезете в Partner Hub, да регистрирате възлите, да активирате Multi-Tenant HDS и да добавите клиенти към вашия клъстер.

Терминът „единичен клиент“ се отнася просто до съществуващо внедряване на HDS в Control Hub.

Деактивиране на HDS, отписване на възли и изтриване на клъстер в Control Hub

1	Влезте в контролния център. В левия панел щракнете върху Хибрид. В картата „Хибридна сигурност на данните“ щракнете върху „Редактиране на настройките“.
2	На страницата с настройки превъртете надолу до секцията Деактивиране и щракнете върху Деактивиране.
3	След деактивирането, щракнете върху раздела Ресурси.
4	Страницата Ресурси изброява клъстерите във вашето HDS внедряване. Щракнете върху клъстер, отваря се страница с всички възли в този клъстер.
5	Щракнете върху ... отдясно и щракнете върху Отрегистриране на възел. Повторете процеса за всички възли в клъстера.
6	Ако вашето внедряване има множество клъстери, повторете стъпка 4 и стъпка 5, докато всички възли бъдат отписани.
7	Кликнете върху Настройки на клъстера > Премахване.
8	Щракнете върху Потвърди премахването, за да отпишете клъстера.
9	Повторете процеса за всички клъстери във вашето HDS внедряване. След деактивиране на HDS, отписване от регистрацията на възли и премахване на клъстери, картата Hybrid Data Service в Control Hub ще показва Setup not completed в долната част.

Активирайте Multi-Tenant HDS за партньорската организация в Partner Hub и добавете клиенти

Преди да започнете

Всички предварителни изисквания, посочени в Изисквания за сигурност на данните за многонаемателски хибридни системи, са приложими тук. Освен това, уверете се, че същата база данни и сертификати се използват по време на преместването към Multi-Tenant HDS.

1	Влезте в Центъра за партньори. Щракнете върху Услуги в левия панел. Използвайте същия ISO файл от предишното ви внедряване на HDS, за да конфигурирате възлите. Това ще гарантира, че съобщенията и съдържанието, генерирани от потребителите в предишното съществуващо внедряване на HDS, все още са достъпни в новата настройка за множество наематели.
2	В секцията „Облачни услуги“ намерете картата „Хибридна сигурност на данните“ и щракнете върху „Настройка“.
3	На страницата, която се отваря, щракнете върху Добавяне на ресурс.
4	В първото поле на картата Добавяне на възел въведете име за клъстера, към който искате да присвоите вашия възел за хибридна защита на данни. Препоръчваме да наименувате клъстер въз основа на географското местоположение на възлите на клъстера. Примери: „Сан Франциско“, „Ню Йорк“ или „Далас“
5	Във второто поле въведете вътрешния IP адрес или пълното име на домейн (FQDN) на вашия възел и щракнете върху Добавяне в долната част на екрана. Този IP адрес или FQDN трябва да съвпада с IP адреса или името на хоста и домейна, които сте използвали в Настройка на виртуалната машина за хибридна сигурност на данни. Появява се съобщение, което показва, че можете да регистрирате възела си в Webex.
6	Кликнете върху Отиди на възел. След няколко минути ще бъдете пренасочени към тестовете за свързаност на възлите за услугите на Webex. Ако всички тестове са успешни, се появява страницата „Разрешаване на достъп до хибриден възел за защита на данни“. Там потвърждавате, че искате да предоставите разрешения на вашата Webex организация за достъп до вашия възел.
7	Поставете отметка в квадратчето Разрешаване на достъп до вашия хибриден възел за сигурност на данни и след това щракнете върху Продължи. Вашият акаунт е валидиран и съобщението „Регистрацията е завършена“ показва, че вашият възел вече е регистриран в облака Webex. На страницата Хибридна сигурност на данни новият клъстер, съдържащ регистрирания от вас възел, се показва в раздела Ресурси. Възелът автоматично ще изтегли най-новия софтуер от облака.
8	Отидете в раздела Настройки и щракнете върху Активиране на картата за състояние на HDS. СъобщениетоАктивиран HDS ще се появи в долната част на екрана.
9	В Ресурсищракнете върху новосъздадения клъстер.
10	На страницата, която се отваря, щракнете върху раздела Присвоени клиенти.
11	Кликнете върху Добавяне на клиенти.
12	Изберете клиента, когото искате да добавите, от падащото меню.
13	Щракнете върху Добавяне, клиентът ще бъде добавен към клъстера.
14	Повторете стъпки от 11 до 13, за да добавите няколко клиенти към вашия клъстер.
15	Кликнете върху Готово в долната част на екрана, след като добавите клиентите.

Какво да направите след това

Стартирайте инструмента за настройка на HDS, както е описано подробно в Създаване на главни ключове на клиента (CMK) с помощта на инструмента за настройка на HDS, за да завършите процеса на настройка.

Използвайте OpenSSL за генериране на PKCS12 файл

Преди да започнете

OpenSSL е един инструмент, който може да се използва за създаване на PKCS12 файла в правилния формат за зареждане в HDS Setup Tool. Има и други начини да направите това и ние не подкрепяме, нито насърчаваме единия начин пред другия.
Ако решите да използвате OpenSSL, ние предоставяме тази процедура като насока, която ще ви помогне да създадете файл, който отговаря на изискванията за сертификат X.509 в Изисквания за сертификат X.509. Разберете тези изисквания, преди да продължите.
Инсталирайте OpenSSL в поддържана среда. Вижте https://www.openssl.org за софтуера и документацията.
Създайте частен ключ.
Започнете тази процедура, когато получите сертификата на сървъра от вашия сертифициращ орган (CA).

1	Когато получите сертификата на сървъра от вашия CA, запазете го като `hdsnode.pem`.
2	Покажете сертификата като текст и проверете данните. `openssl x509 -text -noout -in hdsnode.pem`
3	Използвайте текстов редактор, за да създадете файл със сертификатен пакет, наречен `hdsnode-bundle.pem`. Пакетният файл трябва да включва сертификата на сървъра, всички междинни сертификати на CA и сертификатите на коренния CA във формата по-долу: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Създайте .p12 файла с приятелското име `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Проверете подробностите за сертификата на сървъра. `openssl pkcs12 -in hdsnode.p12` Въведете парола при подканата, за да криптирате личния ключ, така че той да бъде посочен в изхода. След това проверете дали частният ключ и първият сертификат съдържат редовете `friendlyName: kms-private-key`. Пример: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Какво да направите след това

Връщане към Изпълнете предварителните изисквания за хибридна сигурност на данните. Ще използвате файла hdsnode.p12 и паролата, която сте задали за него, в Създаване на ISO файл с конфигурация за HDS хостовете.

Можете да използвате повторно тези файлове, за да заявите нов сертификат, когато оригиналният сертификат изтече.

Трафик между HDS възлите и облака

Изходящ трафик за събиране на показатели

Възлите за хибридна сигурност на данните изпращат определени показатели към облака Webex. Те включват системни показатели за максимална heap памет, използвана heap памет, натоварване на процесора и брой нишки; показатели за синхронни и асинхронни нишки; показатели за предупреждения, включващи праг на криптирани връзки, латентност или дължина на опашката за заявки; показатели за хранилището на данни; и показатели за криптирана връзка. Възлите изпращат криптиран ключов материал по канал извън честотната лента (отделен от заявката).

Входящ трафик

Възлите за хибридна сигурност на данните получават следните видове входящ трафик от облака Webex:

Заявки за криптиране от клиенти, които се маршрутизират от услугата за криптиране
Надстройки на софтуера на възела

Конфигуриране на Squid прокси сървъри за хибридна сигурност на данните

Websocket не може да се свърже чрез сепия прокси

Squid прокси сървърите, които проверяват HTTPS трафика, могат да попречат на установяването на websocket (wss:) връзки, които Hybrid Data Security изисква. Тези раздели дават насоки как да конфигурирате различни версии на Squid да игнорират wss: трафик за правилното функциониране на услугите.

Калмята 4 и 5

Добавете директивата on_unsupported_protocol към squid.conf:

on_unsupported_protocol tunnel all

Сепия 3.5.27

Успешно тествахме хибридната сигурност на данните, като към squid.confдобавихме следните правила. Тези правила подлежат на промяна, тъй като разработваме функции и актуализираме webex облака.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Благодарим за обратната връзка.

Ръководство за внедряване на хибридна защита на данни за множество наематели (HDS) (бета версия)

Нова и променена информация

Нова и променена информация

Деактивиране на хибридна защита на данни с много клиенти

Поток на задачи за деактивиране на HDS с много клиенти

Първи стъпки с хибридна защита на данните с много клиенти

Общ преглед на хибридна защита на данни с няколко клиента

Как хибридната защита на данните с няколко клиента осигурява суверенитет на данните и контрол на данните

Роли в хибридна защита на данните с няколко клиента

Архитектура на областта на сигурността

Сътрудничество с други организации

Очаквания за внедряване на хибридна защита на данни

Процес на настройка на високо ниво

Модел на разполагане на хибридна защита на данни

Standby Data Center за възстановяване при бедствия

Поддръжка на прокси

Пример за хибридни данни сигурност възли и прокси

Блокиран режим на външна DNS разделителна способност (изрични прокси конфигурации)

Подготовка на средата

Изисквания за хибридна защита на данните с няколко клиента

Изисквания за лицензи за Cisco Webex

Изисквания за закачане на работния плот

X.509 Изисквания за сертификата

Изисквания за виртуален организатор

Изисквания към сървъра за база данни

Допълнителни изисквания за удостоверяване на Windows срещу Microsoft SQL Server

Изисквания за външна връзка

Изисквания към прокси сървъра

Изпълнете предварителните изисквания за хибридна защита на данни

Настройване на клъстер на хибридна защита на данни

Поток на задачи за разполагане на хибридна защита на данни

Извършване на първоначалната настройка и изтегляне на инсталационни файлове

Създаване на конфигурационен ISO за хостовете на HDS

Инсталиране на HDS Host OVA

Настройване на VM на хибридна защита на данни

Качване и монтиране на конфигурация ISO на HDS

Конфигуриране на HDS възел за интегриране на прокси сървър

Регистриране на първия възел в клъстера

Създаване и регистриране на още възли

Управление на организации на клиенти в хибридна защита на данни с много клиенти

Активиране на HDS с много клиенти в Partner Hub

Добавяне на организации на клиенти в Partner Hub

Създаване на главни ключове (CMK) за клиента с помощта на инструмента за настройка на хибридни съобщения

Премахване на организации на клиенти

Анулиране на CMK на клиенти, премахнати от HDS.

Тестване на вашето разполагане на хибридна защита на данни

Тестване на вашето разполагане на хибридна защита на данни

Наблюдение на изправността на хибридна защита на данни

Управление на вашето разполагане на HDS

Управление на разполагането на HDS

Задаване на график за надстройване на клъстери

Промяна на конфигурацията на възела

Изключване на режим на блокирана външна DNS разделителна способност

Премахване на възел

Възстановяване след бедствие с използване на центъра за данни в режим на готовност

(По избор) Демонтиране на ISO след конфигуриране на HDS

Отстраняване на неизправности в хибридна защита на данни

Преглед на предупрежденията и отстраняване на неизправности

Предупреждения

Отстраняване на неизправности в хибридна защита на данни

Други бележки

Известни проблеми с хибридната защита на данните

Използване на OpenSSL за генериране на PKCS12 файл

Трафик между възлите на HDS и облака

Изходящ трафик за събиране на метрики

Входящ трафик

Конфигуриране на прокси сървъри за хибридна защита на данните

Websocket не може да се свърже чрез сепия прокси

Нова и променена информация

Нова и променена информация

Деактивиране на хибридна защита на данни с много клиенти

Поток на задачи за деактивиране на HDS с много клиенти

Първи стъпки с хибридна защита на данните с много клиенти

Общ преглед на хибридна защита на данни с няколко клиента

Как хибридната защита на данните с няколко клиента осигурява суверенитет на данните и контрол на данните

Ограничения на хибридната защита на данните с много клиенти

Роли в хибридна защита на данните с няколко клиента

Архитектура на областта на сигурността

Сътрудничество с други организации