Děkujeme za vaši zpětnou vazbu.

Stáhněte soubor OVA do místního počítače pro pozdější použití.

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

Nastavení hybridního virtuálního počítače zabezpečení dat

Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Pokud síťové prostředí vyžaduje konfiguraci proxy serveru, zadejte typ proxy serveru, který použijete pro daný uzel, a v případě potřeby přidejte certifikát proxy do úložiště důvěryhodných certifikátů.

Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

Nastavení hybridního datového bezpečnostního clusteru

Dokončete nastavení klastru.

Spustit zkušební verzi a přesunout do výroby (další kapitola)

Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.

Stáhnout instalační soubory

V této úloze si stáhnete soubor OVA do svého počítače (nikoli na servery, které jste nastavili jako hybridní datové bezpečnostní uzly). Tento soubor použijete později v instalačním procesu.

Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby.

V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Pokud je karta deaktivována nebo ji nevidíte, obraťte se na svůj tým účtů nebo partnerskou organizaci. Dejte jim číslo svého účtu a požádejte o povolení zabezpečení hybridních dat vaší organizaci. Chcete-li najít číslo účtu, klikněte na zařízení v pravém horním rohu vedle názvu organizace.

Příručku OVA si můžete také kdykoli stáhnout z části Nápověda na stránce Nastavení. Stránku otevřete na kartě zabezpečení hybridních dat kliknutím na možnost Upravit nastavení. Poté klikněte na možnost Stáhnout software Hybrid Data Security v části Nápověda.

Starší verze softwarového balíčku (OVA) nebudou kompatibilní s nejnovějšími upgrady hybridního zabezpečení dat. To může mít za následek problémy při aktualizaci aplikace. Ujistěte se, že si stáhnete nejnovější verzi souboru OVA.

Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další.

Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.

Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete

Nástroj Nastavení HDS se v místním počítači spouští jako kontejner Docker. Chcete-li k ní získat přístup, spusťte na daném počítači Docker. Proces nastavení vyžaduje přihlašovací údaje účtu centra Control Hub s úplnými oprávněními správce pro vaši organizaci.

Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v kroku 5 zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:

Popis	Proměnná
proxy server HTTP bez ověření	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez ověření	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy server HTTP s ověřováním	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s ověřováním	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:
- Pověření databáze
- Aktualizace certifikátu
- Změny autorizačních zásad
Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.

Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

V běžných prostředích:

docker rmi ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:

docker login -u hdscustomersro

Po zobrazení výzvy k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

V běžných prostředích:

docker pull ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

V běžných prostředích bez serveru proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V prostředích FedRAMP bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Chcete-li přejít na localhost, použijte webový prohlížeč http://127.0.0.1:8080 a na výzvu zadejte uživatelské jméno správce zákazníka pro prostředí Control Hub.

Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení.

Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat.

Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme.

Na stránce Import ISO máte tyto možnosti:

Ne – Pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
Ano – Pokud jste již vytvořili uzly HDS, vyberte v prohlížení soubor ISO a nahrajte jej.

Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.

Pokud jste nikdy předtím nenahráli certifikát, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte možnost Ne pro Pokračovat v používání řetězce certifikátů HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.

Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti:

Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

Pokud zvolíte server Microsoft SQL Server, zobrazí se pole Typ ověřování.
(pouze Microsoft SQL Server) Vyberte typ ověření:
- Základní ověření: V poli Uživatelské jméno potřebujete název účtu místního serveru SQL.
- Ověření systému Windows: Potřebujete účet systému Windows ve formátu username@DOMAIN do pole Uživatelské jméno.
Zadejte adresu databázového serveru ve formuláři <hostname>:<port> nebo <IP-address>:<port>.

Příklad:
dbhost.example.org:1433 nebo 198.51.100.17:1433

Pokud uzly nemohou k vyřešení názvu hostitele použít server DNS, můžete použít adresu IP.

Pokud používáte ověřování systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433
Zadejte název databáze.
Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložišť klíčů.

Vyberte režim připojení databáze TLS:

Režim

Popis

Preferovat TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázový server TLS . Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí o šifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a podepisovatel certifikátu

Tento režim nelze použít pro databáze SQL Server.

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.
Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.

Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

Vyžadovat TLS a ověřit podepisovatele certifikátu a název hostitele

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.
Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.
Uzly také ověřují, zda název hostitele v certifikátu serveru odpovídá názvu hostitele v poli Hostitel databáze a port. Názvy se musí přesně shodovat, jinak uzel přeruší připojení.

Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

Když nahrajete kořenový certifikát (v případě potřeby) a kliknete na Pokračovat, instalační nástroj HDS testuje připojení TLS k databázovému serveru. Nástroj také ověřuje podepisovatele certifikátu a název hostitele (pokud existuje). Pokud se test nezdaří, nástroj zobrazí chybová zpráva popisující problém. Můžete zvolit, zda chcete chybu ignorovat a pokračovat v nastavení. (Kvůli rozdílům v konektivitě mohou uzly HDS vytvořit připojení TLS, i když jej počítač HDS Setup Tool nemůže úspěšně otestovat.)

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

Zadejte adresu URL serveru syslog.

Pokud server není z uzlů pro cluster HDS řešitelný server DNS, použijte adresu IP v adrese URL.

Příklad:
udp://10.92.43.23:514 označuje přihlášení k hostiteli Syslogd 10.92.43.23 na UDP portu 514.
Pokud jste nastavili server tak, aby používal šifrování TLS, zkontrolujte, zda je server syslog nakonfigurován pro šifrování SSL?.

Pokud zaškrtnete toto políčko, ujistěte se, že zadáte adresu URL TCP, například tcp://10.92.43.23:514.
V rozevíracím seznamu Choose syslog record termination (Ukončení záznamu syslog) zvolte příslušné nastavení pro váš soubor ISO: Vyberte nebo Newline je použit pro Graylog a Rsyslog TCP
- Nulový bajt -- \x00
- Newline -- \n– Vyberte tuto volbu pro Graylog a Rsyslog TCP.
Klikněte na tlačítko Pokračovat.

(Volitelně) Výchozí hodnotu některých parametrů připojení k databázi můžete změnit v části Rozšířená nastavení. Obecně platí, že tento parametr je jediný, který můžete chtít změnit:

app_datasource_connection_pool_maxSize: 10

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat.

Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO.

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

Vytvořte záložní kopii souboru ISO v místním systému.

Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce hybridního zabezpečení dat, kteří by měli provádět změny konfigurace.

Chcete-li instalační nástroj vypnout, zadejte CTRL+C.

Co dělat dál

Zálohujte konfigurační soubor ISO. Potřebujete ji k vytvoření více uzlů pro obnovení nebo k provedení změn konfigurace. Pokud ztratíte všechny kopie souboru ISO, ztratili jste také hlavní klíč. Obnovení klíčů z databáze PostgreSQL nebo Microsoft SQL Server není možné.

Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte.

Instalace HDS Host OVA

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.

Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači.

Vyberte Soubor > Nasazení šablony OVF.

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

Platí pro Vyberte název a složku stránka, zadejte Název virtuálního počítače pro uzel (například „HDS_Node_1“) vyberte umístění, kde může být umístěno nasazení uzlu virtuálního počítače, a potom klikněte na Další.

Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další.

Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně.

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další.

Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače.

Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači.

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

Název hostitele – zadejte název FQDN (název hostitele a doména) nebo název hostitele jednoho slova pro uzel.

Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.
Chcete-li zajistit úspěšnou registraci do cloudu, používejte pouze malá písmena v názvu FQDN nebo názvu hostitele, který jste pro uzel nastavili. Kapitalizace není v tuto chvíli podporována.
Celková délka čísla FQDN nesmí překročit 64 znaků.

Adresa IP– Zadejte adresu IP interního rozhraní uzlu.

Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.
Maska – Zadejte adresu masky podsítě do tečkového desetinného zápisu. Například 255.255.255.0.
Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod k jiné síti.
Servery DNS – Zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné adresy IP. (Povoleny jsou až 4 DNS záznamy.)
Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze použít ve vaší organizaci. Výchozí servery NTP nemusí fungovat pro všechny podniky. K zadání více serverů NTP můžete také použít seznam oddělený čárkami.

Nasaďte všechny uzly do stejné podsítě nebo sítě VLAN, aby byly všechny uzly v clusteru dosažitelné od klientů v síti pro administrativní účely.

Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost (ROZCESTNÍK) Napájení > Zapnutí napájení.

Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Může dojít ke zpoždění o několik minut, než se kontejnery uzlu objeví. Během prvního spuštění se na konzoli zobrazí zpráva brány firewall přemostění, během které se nemůžete přihlásit.

Nastavení hybridního virtuálního počítače zabezpečení dat

Pomocí tohoto postupu se poprvé přihlaste ke konzoli virtuálního počítače s hybridním datovým bezpečnostním uzlem a nastavte přihlašovací pověření. Konzole můžete také použít ke konfiguraci nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

1	V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola. Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2	K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo: Přihlášení: `admin` Heslo: `cisco` Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce.
3	Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci.
4	Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.
5	(Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě. Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.
6	Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrát a připojit ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Vzhledem k tomu, že soubor ISO obsahuje hlavní klíč, měl by být zobrazen pouze na základě "potřeby vědět", pro přístup k hybridním datovým bezpečnostním VMS a všem správcům, kteří mohou potřebovat provést změny. Ujistěte se, že k datastore mají přístup pouze tito správci.

Nahrajte soubor ISO z počítače:

V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.
V seznamu Hardware na kartě Konfigurace klikněte na možnost Úložiště.
V seznamu Datastores klikněte pravým tlačítkem na datastore pro vaše VMS a klikněte na Procházet datastore.
Klikněte na ikonu Nahrát soubory a potom na možnost Nahrát soubor.
Přejděte na umístění, kde jste soubor ISO stáhli do počítače, a klikněte na Otevřít.
Kliknutím na tlačítko Ano přijmete upozornění na operaci nahrávání/stahování a zavřete dialogové okno datové schránky.

Připojit soubor ISO:

V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .
Kliknutím na tlačítko OK přijmete upozornění na omezené možnosti úprav.
Klikněte CD/DVD Drive 1, vyberte možnost, kterou chcete připojit ze souboru ISO datastore, a přejděte na umístění, kam jste nahráli konfigurační soubor ISO.
Zkontrolujte Připojeno a Připojit je zapnuto.
Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

Konfigurace uzlu HDS pro integraci proxy serveru

Pokud síťové prostředí vyžaduje proxy server, použijte tento postup k zadání typu proxy, který chcete integrovat s hybridním datovým zabezpečením. Pokud zvolíte transparentní inspekční proxy server nebo explicitní proxy server HTTPS, můžete použít rozhraní uzlu k nahrání a instalaci kořenového certifikátu. Připojení proxy můžete také zkontrolovat z rozhraní a vyřešit případné problémy.

Než začnete

Přehled podporovaných možností proxy serveru najdete v části Podpora proxy.
Požadavky na proxy server

1	Zadejte adresu URL nastavení uzlu HDS `https://[HDS Node IP or FQDN]/setup` ve webovém prohlížeči zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a klikněte na Přihlásit se.
2	Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost: Žádný proxy – výchozí možnost před integrací proxy serveru. Není vyžadována žádná aktualizace certifikátu. Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu. Transparentní kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, uzly HDS však potřebují kořenový certifikát, aby mohly proxy serveru důvěřovat. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS). Explicitní proxy – U explicitního proxy sdělíte klientovi (uzlům HDS), který proxy server má používat, a tato možnost podporuje několik typů ověřování. Po zvolení této možnosti musíte zadat následující informace: IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz. Protokol proxy – zvolte http (zobrazení a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje serveru kanál a klient přijme a ověří certifikát serveru). Vyberte možnost podle toho, co váš proxy server podporuje. Typ ověření – vyberte si z následujících typů ověření: Žádné – není vyžadováno žádné další ověření. K dispozici pro proxy servery HTTP nebo HTTPS. Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64. K dispozici pro proxy servery HTTP nebo HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť. Dostupné pouze pro proxy servery HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS.
3	Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy. Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát.
4	Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy. Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS.
5	Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund.
6	Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni. Uzel se restartuje během několika minut.
7	Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu. Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány.

Registrace prvního uzlu v clusteru

Tato úloha vezme obecný uzel, který jste vytvořili v Nastavení hybridního zabezpečení dat virtuálního počítače, zaregistruje uzel v cloudu Webex a změní jej na uzel hybridního zabezpečení dat.

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.

Než začnete

Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

1	Přihlaste se k https://admin.webex.com.
2	V nabídce na levé straně obrazovky vyberte možnost Služby.
3	V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit. Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
4	Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další.
5	V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel. Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas"
6	Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
7	Klikněte na možnost Přejít do uzlu.
8	Ve zprávě upozornění klikněte na možnost Pokračovat. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
9	Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
10	Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvoření a registrace dalších uzlů

Chcete-li přidat další uzly do clusteru, jednoduše vytvoříte další VMS a připojíte stejný konfigurační soubor ISO a poté uzel zaregistrujete. Doporučujeme, abyste měli alespoň 3 uzly.

V tuto chvíli jsou záložní VMS, které jste vytvořili v části Dokončit předpoklady pro zabezpečení hybridních dat, pohotovostní hostitelé, kteří se používají pouze v případě obnovení po havárii; do té doby nejsou v systému registrováni. Podrobnosti najdete v tématu Zotavení po havárii pomocí datového centra v pohotovostním režimu.

Než začnete

Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

1	Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS.
2	Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat.
3	Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS.
4	Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel.
5	Zaregistrujte uzel. V části https://admin.webex.com v nabídce na levé straně obrazovky vyberte možnost Služby. V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zdroje. Zobrazí se stránka Zdroje hybridního zabezpečení dat. Klikněte na možnost Přidat zdroj. V prvním poli vyberte název stávajícího clusteru. Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do cloudu Webex. Klikněte na možnost Přejít do uzlu. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete své organizaci udělit oprávnění pro přístup k vašemu uzlu. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex. Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.

Co dělat dál

Spustit zkušební verzi a přesunout do výroby (další kapitola)

Spustit zkušební verzi a přejít do výroby

Zkušební postup do výroby

Po nastavení clusteru hybridního zabezpečení dat můžete spustit pilotní projekt, přidávat do něj uživatele a začít jej používat pro testování a ověřování nasazení v rámci přípravy na přechod do výroby.

Než začnete

1	Pokud je to relevantní, synchronizujte `HdsTrialGroup` skupinový objekt. Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat `HdsTrialGroup` před spuštěním zkušební verze seskupte objekt pro synchronizaci do cloudu. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.
2	Aktivovat zkušební verzi Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.
3	Otestujte nasazení hybridního zabezpečení dat Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat.
4	Monitorovat zdraví hybridního zabezpečení dat Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy.
5	Přidání nebo odebrání uživatelů ze zkušební verze
6	Dokončete zkušební fázi jedním z následujících kroků: Přejít ze zkušební verze do výroby Ukončete zkušební verzi bez přechodu do výroby

Aktivovat zkušební verzi

Než začnete

Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat HdsTrialGroup před spuštěním zkušební verze pro vaši organizaci můžete seskupit objekt pro synchronizaci s cloudem. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.

1	Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Stav služby klikněte na možnost Zahájit zkušební verzi. Stav služby se změní na zkušební režim.
4	Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb. (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, `HdsTrialGroup`.)

Otestujte nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat.

Než začnete

Nastavte nasazení hybridního zabezpečení dat.
Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.
Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.

Klíče pro daný prostor jsou nastaveny tvůrcem prostoru. Přihlaste se k aplikaci Webex jako jeden z pilotních uživatelů a poté vytvořte prostor a pozvěte alespoň jednoho pilotního uživatele a jednoho nepilotního uživatele.

Pokud deaktivujete nasazení hybridního zabezpečení dat, obsah v prostorech vytvořených pilotními uživateli již nebude po výměně kopií šifrovacích klíčů uložených v mezipaměti klienta dostupný.

Odeslat zprávy do nového prostoru.

Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat.

Chcete-li zkontrolovat, zda uživatel nejprve vytváří zabezpečený kanál k KMS, filtrovat na kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Chcete-li zkontrolovat uživatele, který žádá o existující klíč z KMS, filtrování zapnuto kms.data.method=retrieve a kms.data.type=KEY:

Měli byste najít například:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Chcete-li zkontrolovat uživatele požadujícího vytvoření nového klíče KMS, filtrování zapnuto kms.data.method=create a kms.data.type=KEY_COLLECTION:

Měli byste najít například:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Chcete-li zkontrolovat uživatele, který žádá o vytvoření nového objektu prostředku KMS (KRO), když je vytvořen prostor nebo jiný chráněný prostředek, filtrujte na kms.data.method=create a kms.data.type=RESOURCE_COLLECTION:

Měli byste najít například:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat zdraví hybridního zabezpečení dat

Indikátor stavu v prostředí Control Hub vám ukáže, zda je vše v pořádku s nasazením hybridního zabezpečení dat. Chcete-li získat proaktivnější upozornění, zaregistrujte se k odběru e-mailových oznámení. Budete upozorněni, když dojde k alarmům ovlivňujícím službu nebo upgradu softwaru.

1	V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby.
2	V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení. Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3	V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter.

Přidání nebo odebrání uživatelů ze zkušební verze

Po aktivaci zkušební verze a přidání počáteční sady zkušebních uživatelů můžete členy zkušební verze přidat nebo odebrat kdykoli, když je zkušební verze aktivní.

Pokud odeberete uživatele ze zkušební verze, klient uživatele požádá o klíče a vytvoření klíče z cloudu KMS namísto vašeho KMS. Pokud klient potřebuje klíč uložený ve vašem KMS, cloudový KMS jej načte jménem uživatele.

Pokud vaše organizace používá synchronizaci adresářů, ke správě skupiny zkušební verze použijte službu Active Directory (namísto tohoto postupu), HdsTrialGroup; můžete zobrazit členy skupiny v prostředí Control Hub, ale nemůžete je přidat ani odebrat.

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze.
4	Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit .

Přejít ze zkušební verze do výroby

Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele, můžete přejít do výroby. Když přejdete do výroby, všichni uživatelé v organizaci budou používat vaši místní doménu hybridního zabezpečení dat pro šifrovací klíče a další služby sféry zabezpečení. Nemůžete se vrátit z výroby do zkušebního režimu, pokud službu deaktivujete v rámci obnovení po havárii. Opětovná aktivace služby vyžaduje nastavení nové zkušební verze.

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Stav služby klikněte na možnost Přesunout do výroby.
4	Potvrďte, že chcete přesunout všechny uživatele do výroby.

Ukončete zkušební verzi bez přechodu do výroby

Pokud se během zkušební verze rozhodnete nepokračovat v nasazení hybridního zabezpečení dat, můžete deaktivovat hybridní zabezpečení dat, čímž zkušební verzi ukončíte a přesunete uživatele zkušební verze zpět do služeb zabezpečení cloudových dat. Uživatelé zkušební verze ztratí přístup k datům, která byla během zkušební verze zašifrována.

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Deaktivovat klikněte na možnost Deaktivovat.
4	Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit.

Správa nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.

Nastavit plán upgradu clusteru

Aktualizace softwaru pro zabezpečení hybridních dat se provádí automaticky na úrovni clusteru, což zajišťuje, že všechny uzly mají vždy stejnou verzi softwaru. Upgrady se provádějí podle plánu upgradu pro cluster. Jakmile bude k dispozici upgrade softwaru, máte možnost ručně upgradovat cluster před plánovaným časem upgradu. Můžete nastavit konkrétní plán upgradu nebo použít výchozí plán 3:00 AM Daily United States: Amerika/Los Angeles. V případě potřeby můžete také odložit nadcházející upgrade.

Nastavení plánu upgradu:

1	Přihlaste se k Centrum Control Hub .
2	Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat.
3	Na stránce Prostředky zabezpečení hybridních dat vyberte cluster.
4	Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru.
5	Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu. Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit.

Změna konfigurace uzlu

Příležitostně můžete potřebovat změnit konfiguraci uzlu zabezpečení hybridních dat, a to z například:

Změna certifikátů x.509 z důvodu vypršení nebo z jiných důvodů.

Změna název domény CN certifikátu nepodporujeme. Doména se musí shodovat s původní doménou použité k registraci clusteru.

Aktualizace nastavení databáze za účelem změny na repliku databáze PostgreSQL nebo Microsoft SQL Server.

Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server ani opačným způsobem. Chcete-li přepnout prostředí databáze, spusťte nové nasazení zabezpečení hybridních dat.

Probíhá vytváření nové konfigurace pro přípravu nového datové centrum.

Z bezpečnostních důvodů také zabezpečení hybridních dat používá hesla účet služby s dobou životnosti devět měsíců. Jakmile nástroj nastavení HDS tato hesla vygeneruje, nasadíte je do každého z uzlů HDS v konfiguračním souboru ISO . Když se blíží vypršení hesel vaší organizace, tým Webex zobrazí výzvu k obnovení hesla účtu počítače. (E-mail obsahuje text „K aktualizaci hesla použijte API účtu počítače.“) Pokud platnost vašich hesel ještě nevypršela, nástroj vám nabízí dvě možnosti:

Měkký reset – Staré i nové heslo platí až 10 dní. Tuto tečku použijte k postupnému nahrazování souboru ISO v uzlech.
Tvrdý reset – Stará hesla přestanou okamžitě fungovat.

Pokud platnost vašich hesel vyprší, aniž by byla resetována, má to vliv na službu HDS a vyžaduje okamžitý tvrdý reset a nahrazení souboru ISO ve všech uzlech.

Tento postup slouží ke vygenerování nového konfiguračního souboru ISO a jeho použití v clusteru.

Než začnete

Pokud nástroj pro nastavení HDS běží ve vašem prostředí za proxy, při spouštění kontejneru Docker v 1.e zadejte nastavení proxy (server, port, pověření) prostřednictvím proměnných prostředí Docker. Tato tabulka obsahuje některé možné proměnné prostředí:

Popis	Proměnná
proxy server HTTP bez ověření	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez ověření	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy server HTTP s ověřováním	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s ověřováním	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

K vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO . ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Dokument ISO potřebujete při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace.

Na místním počítači pomocí Dockeru spusťte nástroj Nastavení HDS.

Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

V běžných prostředích:

docker rmi ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:
```
docker login -u hdscustomersro
```
Po zobrazení výzvy k zadání hesla zadejte tento hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

V běžných prostředích:

docker pull ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Pro tento postup musíte mít nejnovější instalační nástroj. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

V běžných prostředích bez serveru proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V běžném prostředí s proxy serverem <UNK>:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V prostředích FedRAMP bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

Pomocí prohlížeče se připojte k hostiteli localhost, http://127.0.0.1:8080.

Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Po zobrazení výzvy zadejte své přihlašovací údaje zákazníka Control Hub a potom klikněte Přijmout pro pokračování.
Importujte soubor ISO aktuální konfigurace.
Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

Chcete-li instalační nástroj vypnout, zadejte CTRL+C.
Vytvořte záložní kopii aktualizovaného souboru v jiném datové centrum.

Pokud máte spuštěný pouze jeden uzel HDS , vytvořte nový VM uzlu zabezpečení hybridních dat a zaregistrujte jej pomocí nového konfiguračního souboru ISO . Podrobnější pokyny naleznete v tématu Vytvoření a registrace dalších uzlů.

Nainstalujte hostitelské zařízení OVA HDS.
Nastavte VM počítač HDS .
Připojte aktualizovaný konfigurační soubor.
Zaregistrujte nový uzel v centru Control Hub.

V případě stávajících uzlů HDS, na kterých je spuštěn starší konfigurační soubor, připojte soubor ISO . Proveďte následující postup postupně pro každý uzel a před vypnutím dalšího uzlu aktualizujte každý uzel:

Vypněte virtuální počítač.
V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .
Klikněte CD/DVD Drive 1, vyberte možnost pro připojení ze souboru ISO a přejděte do umístění, kam jste stáhli nový konfigurační soubor ISO .
Zkontrolujte Připojit při zapnutí .
Uložte změny a zapněte virtuální počítač.

Opakujte krok 3, chcete-li nahradit konfiguraci v každém zbývajícím uzlu, ve kterém je spuštěna stará konfigurace.

Vypnout blokovaný režim externího rozlišení DNS

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. Pokud server DNS uzlu nemůže vyřešit veřejné názvy DNS, uzel se automaticky přepne do režimu Blokovaného externího rozlišení DNS.

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.

Než začnete

Ujistěte se, že interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.

1	Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se.
2	Přejděte na Přehled (výchozí stránka). Když je povolena, Blokováno externí rozlišení DNS je nastavena na Ano .
3	Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy.
4	Klikněte na možnost Zkontrolovat připojení proxy. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No.

Co dělat dál

Opakujte test připojení proxy na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Tento postup použijte k odebrání uzlu hybridního zabezpečení dat z cloudu Webex. Po odebrání uzlu z clusteru odstraňte virtuální počítač, abyste zabránili dalšímu přístupu k vašim bezpečnostním datům.

Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač.

Odstranit uzel:

Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
Na kartě zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.
Výběrem clusteru zobrazíte jeho panel Přehled.
Klikněte na možnost Otevřít seznam uzlů.
Na kartě Uzly vyberte uzel, který chcete odebrat.
Klepněte na tlačítko Akce > Zrušit registraci uzlu.

V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.)

Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač.

Zotavení po havárii pomocí pohotovostního datového centra

Nejkritičtější službou, kterou váš klastr hybridního zabezpečení dat poskytuje, je vytváření a ukládání klíčů používaných k šifrování zpráv a dalšího obsahu uloženého v cloudu Webex. Pro každého uživatele v organizaci, který je přiřazen k zabezpečení hybridních dat, jsou do clusteru směrovány nové požadavky na vytvoření klíče. Cluster je také zodpovědný za vrácení vytvořených klíčů všem uživatelům oprávněným k jejich načtení, například členům konverzačního prostoru.

Vzhledem k tomu, že klastr plní kritickou funkci poskytování těchto klíčů, je nezbytné, aby klastr zůstal funkční a aby byly zachovány správné zálohy. Ztráta databáze zabezpečení hybridních dat nebo konfigurační ISO použité pro schéma bude mít za následek NEVRATNOU ZTRÁTU zákaznického obsahu. Aby se zabránilo takové ztrátě, jsou povinné následující postupy:

Pokud dojde k havárii k nedostupnosti nasazení HDS v primárním datovém centru, postupujte podle tohoto postupu k ručnímu převzetí služeb při selhání do datového centra v pohotovostním režimu.

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.

Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte passiveMode konfigurace, aby byl uzel aktivní. Jakmile je uzel nakonfigurován, může zpracovávat provoz.


passiveMode: 'false'

Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.

Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.

Zkontrolujte výstup syslog a ověřte, že uzly pohotovostního datového centra nejsou v pasivním režimu. „KMS nakonfigurováno v pasivním režimu“ se nesmí zobrazovat v syslogs.

Co dělat dál

Pokud se primární datové centrum po převzetí služeb při selhání znovu aktivuje, umístěte pohotovostní datové centrum znovu do pasivního režimu podle kroků popsaných v nastavení pohotovostního datového centra pro zotavení po havárii.

(Volitelně) Odpojit ISO po konfiguraci HDS

Standardní konfigurace HDS běží s připojeným ISO. Někteří zákazníci však raději nenechávají ISO soubory neustále připojené. Soubor ISO můžete odpojit poté, co všechny uzly HDS naberou novou konfiguraci.

Soubory ISO stále používáte k provádění změn konfigurace. Když vytvoříte novou ISO nebo aktualizujete ISO prostřednictvím nástroje pro nastavení, musíte nainstalovat aktualizovanou ISO do všech uzlů HDS. Jakmile všechny uzly zaznamenají změny konfigurace, můžete tímto postupem znovu ISO odpojit.

Než začnete

Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.

1	Vypněte jeden z vašich HDS uzlů.
2	Ve vCenter Server Appliance vyberte uzel HDS.
3	Vybrat Upravit nastavení > jednotka CD/DVD a zrušit zaškrtnutí souboru ISO datastore.
4	Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut.
5	Opakujte postupně pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazení upozornění a řešení potíží

Nasazení hybridního zabezpečení dat je považováno za nedostupné, pokud jsou všechny uzly v clusteru nedostupné nebo cluster pracuje tak pomalu, že vyžaduje vypršení časového limitu. Pokud se uživatelé nemohou spojit s vaším clusterem zabezpečení hybridních dat, zaznamenají následující příznaky:

Nové prostory nelze vytvořit (nelze vytvořit nové klíče)
Zprávy a názvy prostorů se nepodařilo dešifrovat pro:
- Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)
- Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)
Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.

Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.

Výstrahy

Pokud dojde k potížím s nastavením zabezpečení hybridních dat, centrum Control Hub zobrazí upozornění správci organizace a odešle e-maily na nakonfigurovanou e-mailovou adresu. Výstrahy pokrývají mnoho běžných scénářů.

Tabulka 1. Společné problémy a kroky k jejich vyřešení
Upozornění	Akce
Přístup k místní databázi selhal.	Zkontrolujte chyby databáze nebo problémy s místní sítí.
Připojení k místní databázi selhalo.	Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby.
Přístup ke cloudové službě selhal.	Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení.
Obnovování registrace cloudových služeb.	Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace.
Registrace cloudových služeb byla přerušena.	Registrace ke cloudovým službám byla ukončena. Služba se vypíná.
Služba ještě nebyla aktivována.	Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby.
Nakonfigurovaná doména neodpovídá certifikátu serveru.	Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby. Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení.
Ověření ke cloudovým službám se nezdařilo.	Zkontrolujte přesnost a případné vypršení pověření účtu služby.
Nepodařilo se otevřít místní soubor úložiště klíčů.	Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.
Certifikát místního serveru je neplatný.	Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.
Nelze odeslat metriky.	Zkontrolujte přístup k externím cloudovým službám v místní síti.
Adresář /media/configudrive/hds neexistuje.	Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů s hybridním zabezpečením dat použijte následující obecné pokyny.

1	Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete.
2	Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat.
3	Kontaktujte podporu společnosti Cisco.

Ostatní poznámky

Známé problémy zabezpečení hybridních dat

Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.
Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.

Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).

K vygenerování souboru PKCS12 použijte OpenSSL

Než začnete

OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.
Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.
Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.
Vytvořte soukromý klíč.
Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).

1	Když obdržíte certifikát serveru od certifikační autority, uložte jej jako `hdsnode.pem`.
2	Zobrazit certifikát jako text a ověřit podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem `hdsnode-bundle.pem`. Soubor balíčku musí obsahovat certifikát serveru, všechny certifikáty prostřední certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Vytvořte soubor .p12 s přátelským jménem `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Zkontrolujte podrobnosti o certifikátu serveru. `openssl pkcs12 -in hdsnode.p12` Zadejte heslo na výzvu k zašifrování soukromého klíče tak, aby byl uveden ve výstupu. Poté ověřte, zda soukromý klíč a první certifikát obsahují řádky. `friendlyName: kms-private-key`. Příklad: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Co dělat dál

Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz kolekce odchozích metrik

Uzly hybridního zabezpečení dat odesílají určité metriky do cloudu Webex. Patří sem systémové metriky pro max haldy, použité haldy, zatížení procesoru a počet vláken; metriky pro synchronní a asynchronní vlákna; metriky pro výstrahy zahrnující prahovou hodnotu šifrovacích připojení, latence nebo délky fronty požadavků; metriky pro datastore a metriky šifrovacího připojení. Uzly odesílají materiál šifrovaného klíče přes kanál mimo pásmo (oddělený od požadavku).

Příchozí Provoz

Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:

Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou
Aktualizace softwaru uzlu

Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat

Websocket se nemůže připojit prostřednictvím proxy serveru squid

Zástupci olihní, kteří kontrolují provoz HTTPS, mohou zasahovat do vytvoření websoketu ( wss:) připojení, která hybridní zabezpečení dat vyžaduje. Tyto části poskytují návod, jak konfigurovat různé verze Squid ignorovat wss: provoz pro řádný provoz služeb.

Olihně 4 a 5

Přidat on_unsupported_protocol směrnice squid.conf:

on_unsupported_protocol tunnel all

Oliheň 3.5.27

Úspěšně jsme otestovali zabezpečení hybridních dat s následujícími pravidly přidanými k squid.conf. Tato pravidla se mohou změnit, protože vyvíjíme funkce a aktualizujeme cloud Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Předmluva

Nové a změněné informace

Datum

Provedené změny

20. října 2023

Byly aktualizovány informace v požadavcích na databázový server.
Bylo přidáno nastavení pohotovostního datového centra pro obnovení po havárii.
Aktualizované informace v pohotovostním datovém centru pro zotavení po havárii a zotavení po havárii pomocí datového centra v pohotovostním režimu.

07. srpna 2023

Přidána poznámka do položky Stáhnout instalační soubory.
Přidána poznámka do Vytvoření ISO konfigurace pro hostitele HDS a změna konfigurace uzlu.

23. května 2023

Byly odstraněny informace z požadavků databázového serveru a požadovaly povolení funkce kontaktováním týmu pro účty.
Byly aktualizovány informace v části Požadavky na externí připojení a byly přidány Kanada do tabulky hostitelů CI.
Přidána poznámka do části Očekávání nasazení hybridního zabezpečení dat týkající se nedostupnosti mechanismů pro přesun klíčů zpět do cloudu.

06. prosince 2022

Obrázky nástroje pro nastavení HDS jsou nyní hostovány v ciscocitg úložiště dockerhub.
Aktualizováno Vytvoření ISO konfigurace pro hostitele HDS a změna témat konfigurace uzlu tak, aby se změny v příkazech zrušily.

23. listopadu 2022

Uzly HDS mohou nyní používat ověřování systému Windows proti serveru Microsoft SQL.

Bylo aktualizováno téma Požadavky databázového serveru o další požadavky na tento režim ověřování.

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s postupem konfigurace ověřování systému Windows v uzlech.
Bylo aktualizováno téma Požadavky databázového serveru o nové minimální požadované verze (PostgreSQL 10).

13. října 2021

Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker.

24. června 2021

30. dubna 2021

Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele.

24. února 2021

Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS.

2. února 2021

HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

11. ledna 2021

Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS.

13. října 2020

Aktualizováno Stáhnout instalační soubory.

8. října 2020

Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP.

14. srpna 2020

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování.

5. srpna 2020

Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu.

Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů.

16. června 2020

Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub.

4. června 2020

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit.

29. května 2020

Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními.

5. května 2020

Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5.

21. dubna 2020

Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI.

1. dubna 2020

Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI.

20. února 2020 Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS.

4. února 2020 Byly aktualizovány požadavky na proxy server.

16. prosince 2019 Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server.

19. listopadu 2019

Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech:

Podpora proxy serverů
Konfigurace uzlu HDS pro integraci proxy serveru
Vypnout blokovaný režim externího rozlišení DNS

8. listopadu 2019

Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později.

Byly odpovídajícím způsobem aktualizovány následující části:

Tok úloh nasazení hybridního zabezpečení dat
Instalace HDS Host OVA
Nastavení hybridního virtuálního počítače zabezpečení dat

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

6. září 2019

Byl přidán standard serveru SQL Server k požadavkům databázového serveru.

20. srpna 2019

Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex.

Podpora proxy serverů
Požadavky na proxy server
Konfigurace uzlu HDS pro integraci proxy serveru

Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy.

6. března 2019

Požadavky a předpoklady jsme přesunuli do samostatné kapitoly Příprava prostředí.
Přidán Tok úloh nasazení hybridního zabezpečení dat přehled v kapitole Nastavení hybridního datového bezpečnostního clusteru...

Všimněte si, že dokud nezahájíte zkušební verzi (podle pokynů v následující kapitole), vaše uzly vygenerují alarm, že služba ještě není aktivována.
Byla přidána možnost Trial to Production Task Flow v kapitole Run a Trial and Move to Production.

28. února 2019

Opravili jsme množství místa na pevném disku na server, které byste měli vyčlenit při přípravě virtuálních hostitelů, kteří se stanou uzly hybridního zabezpečení dat, a to z 50 GB na 20 GB, aby odráželo velikost disku, který OVA vytvoří.

26. února 2019

Uzly hybridního zabezpečení dat nyní podporují šifrovaná připojení s databázovými servery PostgreSQL a šifrovaná protokolovací připojení k serveru syslog podporujícímu protokol TLS. Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS pomocí pokynů.
Cílové <UNK> byly odebrány z tabulky "Požadavky na připojení k internetu pro hybridní datové bezpečnostní uzly VMS". Tabulka nyní odkazuje na seznam udržovaný v tabulce „Další verze <UNK> pro hybridní služby Webex Teams“ obsahující síťové požadavky pro služby Webex Teams.

24. ledna 2019

5. listopadu 2018

Byl přidán předběžný krok k vyčištění všech existujících instancí ukotvičů HDS v části Vytvoření ISO konfigurace pro hostitele HDS a změna konfigurace uzlu.
Byl aktualizován krok úrovně přístupu klíče v části Vytvořit ISO konfigurace pro hostitele HDS tak, aby odpovídal rozhraní.

19. října 2018

V části Dokončete předpoklady pro hybridní zabezpečení dat rozdělte informace o připojení brány firewall do požadavků na uzel a požadavky na konfigurační počítač ISO.

31. července 2018

Byl přidán port 22 (přístup SSH) a informace o připojení NAT a brány firewall pro Dokončení předpokladů pro hybridní zabezpečení dat.

21. května 2018

Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:

Služba Cisco Spark Hybrid Data Security je nyní hybridní zabezpečení dat.
Aplikace Cisco Spark je nyní aplikací Webex.
Cloud Cisco Collaboraton je nyní cloudem Webex.

11. dubna 2018

Bylo přidáno pohotovostní datové centrum pro zotavení po havárii.
Aktualizováno Vyplňte předpoklady pro hybridní zabezpečení dat a zadejte, že záložní prostředí by mělo být v jiném datovém centru.
Aktualizováno obnovení po havárii pomocí datového centra v pohotovostním režimu.

22. února 2018

Byly přidány informace o heslu účtu služby po 9 měsících životnosti a pomocí nástroje Setup HDS k resetování hesel účtu služby v části Create a Configuration ISO for HDS Hosts and Change the Node Configuration.

15. února 2018

V tabulce Požadavky na certifikát X.509 bylo uvedeno, že certifikát nemůže být certifikátem zástupných znaků a že KMS používá doménu CN, nikoli doménu definovanou v polích x.509v3 SAN.

18. ledna 2018

Přidána příloha, Provoz mezi uzly HDS a cloudem.
Byl odebrán vyřešený problém ze známých problémů zabezpečení hybridních dat.
Byl změněn index.docker.io na *.docker.io a přidán *.cloudfront.net do seznamu požadavků na připojení TCP pro uzly HDS v části Dokončete předpoklady pro zabezpečení hybridních dat.
Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS , která indikuje, že pokud hostitel databáze a server Syslogd nejsou z uzlů HDS řešitelné DNS, musíte je nakonfigurovat pomocí adres IP.

2. listopadu 2017

Objasněna synchronizace adresáře skupiny H .
Opravené pokyny pro nahrání konfiguračního souboru ISO pro montáž do uzlů virtuálního počítače.

18. srpna 2017

První publikováno

Začínáme se zabezpečením hybridních dat

Přehled hybridního zabezpečení dat

Architektura sféry zabezpečení

Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.

Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.
Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.
Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.
Zašifrovaná zpráva je uložena v doméně úložiště.

Spolupráce s jinými organizacemi

Očekávání ohledně nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:

Zabezpečené datové centrum v zemi, která je podporovaným místem pro plány aplikace Cisco Webex Teams.
Vybavení, software a přístup k síti popsané v části Prepare Your Environment.

Spravujte zálohování a obnovu databáze a konfigurační ISO.
Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.

Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:

Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.
V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.
Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.
Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.

Model nasazení hybridního zabezpečení dat

Model nasazení hybridního zabezpečení dat

Pro každou organizaci podporujeme pouze jeden cluster.

Zkušební režim hybridního zabezpečení dat

Pohotovostní datové centrum pro zotavení po havárii

Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.

Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server.

Nastavení datového centra pohotovostního režimu pro obnovení po havárii

Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:

Než začnete

Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)
Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

Soubor ISO musí být kopií původního souboru ISO primárního datového centra, do kterého mají být provedeny následující aktualizace konfigurace.

Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.


passiveMode: 'true'

Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.

Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.

Zkontrolujte syslogs a ověřte, zda jsou uzly v pasivním režimu. Měli byste mít možnost zobrazit zprávu „KMS nakonfigurován v pasivním režimu“ v syslogs.

Co dělat dál

Podpora proxy serverů

Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:

Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.
Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:
1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.
2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.
3. Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:
  - HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.
  - HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.
4. Typ ověření – vyberte si z následujících typů ověření:
  - Žádné – není vyžadováno žádné další ověření.
    
    K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
  - Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.
    
    K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
  - Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.
    
    K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla do každého uzlu.

Příklad hybridních datových bezpečnostních uzlů a proxy serveru

Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)

Připravte si prostředí

Požadavky na zabezpečení hybridních dat

Licenční požadavky služby Cisco Webex

Nasazení hybridního zabezpečení dat:

Musíte mít sadu Pro Pack pro centrum Cisco Webex Control Hub. (viz https://www.cisco.com/go/pro-pack.)

Požadavky na plochu docker

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat
Požadavek	Podrobnosti
Podepsáno důvěryhodnou certifikační autoritou (CA)	Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs.
Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat Není zástupným certifikátem	Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například `hds.company.com`. KN nesmí obsahovat znak * (zástupný znak). Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN. Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení.
Podpis bez SHA1	Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací.
Formátováno jako soubor PKCS č. 12 chráněný heslem Použít přátelský název `kms-private-key` pro označení certifikátu, soukromého klíče a všech mezilehlých certifikátů k nahrání.	Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL. Po spuštění instalačního nástroje HDS budete muset zadat heslo.

Požadavky virtuálního hostitele

Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:

Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru
VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.

Pokud máte starší verzi ESXi, musíte provést upgrade.
Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server

Požadavky na databázový server

Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze.

Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

Postgrexové SQL

Microsoft SQL Server

Postgresql 14, 15 nebo 16 je nainstalován a spuštěn.

Nainstalován SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

SQL Server 2016 vyžaduje aktualizaci Service Pack 2 a Cumulative Update 2 nebo novější.

Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:

Postgrexové SQL

Microsoft SQL Server

Postgres JDBC ovladač 42.2.5

SQL Server JDBC ovladač 4.6

Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On).

Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server

Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.
Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.
Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).
Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.

Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace	Protokol	Port	Směr z aplikace	Cíl
Uzly hybridního zabezpečení dat	TCP	443	Odchozí HTTPS a WSS	Servery Webex: .wbx2.com .ciscospark.com Všichni hostitelé Common Identity Další verze <UNK>, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další verze <UNK> pro hybridní služby Webex obsahující síťové požadavky pro služby Webex
Nástroj pro nastavení HDS	TCP	443	Odchozí protokol HTTPS	*.wbx2.com Všichni hostitelé Common Identity Docker (rozcestník)

Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:

Oblast	Hostitelé identity Common Identity
Jižní a Severní Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropská unie	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Požadavky na proxy server

Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.

Transparentní proxy – Cisco Web Security Appliance (WSA).

Explicitní proxy – Squid.

Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:
- Žádné ověřování pomocí protokolu HTTP nebo HTTPS
- Základní ověřování pomocí protokolu HTTP nebo HTTPS
- Provést ověření pouze pomocí protokolu HTTPS
Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.
Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.
Servery proxy, které kontrolují webový provoz, mohou rušit připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na wbx2.com a ciscospark.com vyřeší problém.

Vyplňte předpoklady pro zabezpečení hybridních dat

Pomocí tohoto kontrolního seznamu se ujistěte, že jste připraveni nainstalovat a nakonfigurovat cluster hybridního zabezpečení dat.

Vytvořte databázi pro ukládání klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Po instalaci aplikace HDS vytvoří schéma databáze.)
Shromážďte podrobnosti, které uzly budou používat ke komunikaci s databázovým serverem:
- název hostitele nebo IP adresa (hostitel) a port
- název databáze (dbname) pro ukládání klíčů
- uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů

Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514).

Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení.

Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení.

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavení hybridního datového bezpečnostního clusteru

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

Stáhněte soubor OVA do místního počítače pro pozdější použití.

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

Nastavení hybridního virtuálního počítače zabezpečení dat

Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

Nastavení hybridního datového bezpečnostního clusteru

Dokončete nastavení klastru.

Spustit zkušební verzi a přesunout do výroby (další kapitola)

Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.

Stáhnout instalační soubory

Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby.

V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další.

Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.

Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete

Popis	Proměnná
proxy server HTTP bez ověření	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez ověření	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy server HTTP s ověřováním	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s ověřováním	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:
- Pověření databáze
- Aktualizace certifikátu
- Změny autorizačních zásad
Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.

Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

V běžných prostředích:

docker rmi ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:

docker login -u hdscustomersro

Po zobrazení výzvy k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

V běžných prostředích:

docker pull ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

V běžných prostředích bez serveru proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V prostředích FedRAMP bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Chcete-li přejít na localhost, použijte webový prohlížeč http://127.0.0.1:8080 a na výzvu zadejte uživatelské jméno správce zákazníka pro prostředí Control Hub.

Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení.

Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat.

Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme.

Na stránce Import ISO máte tyto možnosti:

Ne – Pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
Ano – Pokud jste již vytvořili uzly HDS, vyberte v prohlížení soubor ISO a nahrajte jej.

Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.

Pokud jste nikdy předtím nenahráli certifikát, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte možnost Ne pro Pokračovat v používání řetězce certifikátů HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.

Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti:

Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

Pokud zvolíte server Microsoft SQL Server, zobrazí se pole Typ ověřování.
(pouze Microsoft SQL Server) Vyberte typ ověření:
- Základní ověření: V poli Uživatelské jméno potřebujete název účtu místního serveru SQL.
- Ověření systému Windows: Potřebujete účet systému Windows ve formátu username@DOMAIN do pole Uživatelské jméno.
Zadejte adresu databázového serveru ve formuláři <hostname>:<port> nebo <IP-address>:<port>.

Příklad:
dbhost.example.org:1433 nebo 198.51.100.17:1433

Pokud uzly nemohou k vyřešení názvu hostitele použít server DNS, můžete použít adresu IP.

Pokud používáte ověřování systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433
Zadejte název databáze.
Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložišť klíčů.

Vyberte režim připojení databáze TLS:

Režim

Popis

Preferovat TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázový server TLS . Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí o šifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a podepisovatel certifikátu

Tento režim nelze použít pro databáze SQL Server.

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.
Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.

Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

Vyžadovat TLS a ověřit podepisovatele certifikátu a název hostitele

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.
Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.
Uzly také ověřují, zda název hostitele v certifikátu serveru odpovídá názvu hostitele v poli Hostitel databáze a port. Názvy se musí přesně shodovat, jinak uzel přeruší připojení.

Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

Zadejte adresu URL serveru syslog.

Pokud server není z uzlů pro cluster HDS řešitelný server DNS, použijte adresu IP v adrese URL.

Příklad:
udp://10.92.43.23:514 označuje přihlášení k hostiteli Syslogd 10.92.43.23 na UDP portu 514.
Pokud jste nastavili server tak, aby používal šifrování TLS, zkontrolujte, zda je server syslog nakonfigurován pro šifrování SSL?.

Pokud zaškrtnete toto políčko, ujistěte se, že zadáte adresu URL TCP, například tcp://10.92.43.23:514.
V rozevíracím seznamu Choose syslog record termination (Ukončení záznamu syslog) zvolte příslušné nastavení pro váš soubor ISO: Vyberte nebo Newline je použit pro Graylog a Rsyslog TCP
- Nulový bajt -- \x00
- Newline -- \n– Vyberte tuto volbu pro Graylog a Rsyslog TCP.
Klikněte na tlačítko Pokračovat.

app_datasource_connection_pool_maxSize: 10

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat.

Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO.

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

Vytvořte záložní kopii souboru ISO v místním systému.

Chcete-li instalační nástroj vypnout, zadejte CTRL+C.

Co dělat dál

Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte.

Instalace HDS Host OVA

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.

Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači.

Vyberte Soubor > Nasazení šablony OVF.

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další.

Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně.

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další.

Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače.

Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači.

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

Název hostitele – zadejte název FQDN (název hostitele a doména) nebo název hostitele jednoho slova pro uzel.

Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.
Chcete-li zajistit úspěšnou registraci do cloudu, používejte pouze malá písmena v názvu FQDN nebo názvu hostitele, který jste pro uzel nastavili. Kapitalizace není v tuto chvíli podporována.
Celková délka čísla FQDN nesmí překročit 64 znaků.

Adresa IP– Zadejte adresu IP interního rozhraní uzlu.

Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.
Maska – Zadejte adresu masky podsítě do tečkového desetinného zápisu. Například 255.255.255.0.
Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod k jiné síti.
Servery DNS – Zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné adresy IP. (Povoleny jsou až 4 DNS záznamy.)
Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze použít ve vaší organizaci. Výchozí servery NTP nemusí fungovat pro všechny podniky. K zadání více serverů NTP můžete také použít seznam oddělený čárkami.

Nasaďte všechny uzly do stejné podsítě nebo sítě VLAN, aby byly všechny uzly v clusteru dosažitelné od klientů v síti pro administrativní účely.

Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost (ROZCESTNÍK) Napájení > Zapnutí napájení.

Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Nastavení hybridního virtuálního počítače zabezpečení dat

1	V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola. Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2	K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo: Přihlášení: `admin` Heslo: `cisco` Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce.
3	Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci.
4	Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.
5	(Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě. Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.
6	Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrát a připojit ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Nahrajte soubor ISO z počítače:

V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.
V seznamu Hardware na kartě Konfigurace klikněte na možnost Úložiště.
V seznamu Datastores klikněte pravým tlačítkem na datastore pro vaše VMS a klikněte na Procházet datastore.
Klikněte na ikonu Nahrát soubory a potom na možnost Nahrát soubor.
Přejděte na umístění, kde jste soubor ISO stáhli do počítače, a klikněte na Otevřít.
Kliknutím na tlačítko Ano přijmete upozornění na operaci nahrávání/stahování a zavřete dialogové okno datové schránky.

Připojit soubor ISO:

V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .
Kliknutím na tlačítko OK přijmete upozornění na omezené možnosti úprav.
Klikněte CD/DVD Drive 1, vyberte možnost, kterou chcete připojit ze souboru ISO datastore, a přejděte na umístění, kam jste nahráli konfigurační soubor ISO.
Zkontrolujte Připojeno a Připojit je zapnuto.
Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

Konfigurace uzlu HDS pro integraci proxy serveru

Než začnete

Přehled podporovaných možností proxy serveru najdete v části Podpora proxy.
Požadavky na proxy server

1	Zadejte adresu URL nastavení uzlu HDS `https://[HDS Node IP or FQDN]/setup` ve webovém prohlížeči zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a klikněte na Přihlásit se.
2	Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost: Žádný proxy – výchozí možnost před integrací proxy serveru. Není vyžadována žádná aktualizace certifikátu. Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu. Transparentní kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, uzly HDS však potřebují kořenový certifikát, aby mohly proxy serveru důvěřovat. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS). Explicitní proxy – U explicitního proxy sdělíte klientovi (uzlům HDS), který proxy server má používat, a tato možnost podporuje několik typů ověřování. Po zvolení této možnosti musíte zadat následující informace: IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz. Protokol proxy – zvolte http (zobrazení a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje serveru kanál a klient přijme a ověří certifikát serveru). Vyberte možnost podle toho, co váš proxy server podporuje. Typ ověření – vyberte si z následujících typů ověření: Žádné – není vyžadováno žádné další ověření. K dispozici pro proxy servery HTTP nebo HTTPS. Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64. K dispozici pro proxy servery HTTP nebo HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť. Dostupné pouze pro proxy servery HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS.
3	Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy. Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát.
4	Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy. Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS.
5	Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund.
6	Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni. Uzel se restartuje během několika minut.
7	Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu. Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány.

Registrace prvního uzlu v clusteru

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.

Než začnete

Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

1	Přihlaste se k https://admin.webex.com.
2	V nabídce na levé straně obrazovky vyberte možnost Služby.
3	V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit. Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
4	Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další.
5	V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel. Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas"
6	Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
7	Klikněte na možnost Přejít do uzlu.
8	Ve zprávě upozornění klikněte na možnost Pokračovat. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
9	Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
10	Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvoření a registrace dalších uzlů

Než začnete

Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

1	Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS.
2	Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat.
3	Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS.
4	Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel.
5	Zaregistrujte uzel. V části https://admin.webex.com v nabídce na levé straně obrazovky vyberte možnost Služby. V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zdroje. Zobrazí se stránka Zdroje hybridního zabezpečení dat. Klikněte na možnost Přidat zdroj. V prvním poli vyberte název stávajícího clusteru. Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do cloudu Webex. Klikněte na možnost Přejít do uzlu. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete své organizaci udělit oprávnění pro přístup k vašemu uzlu. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex. Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.

Co dělat dál

Spustit zkušební verzi a přesunout do výroby (další kapitola)

Spustit zkušební verzi a přejít do výroby

Zkušební postup do výroby

Než začnete

1	Pokud je to relevantní, synchronizujte `HdsTrialGroup` skupinový objekt. Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat `HdsTrialGroup` před spuštěním zkušební verze seskupte objekt pro synchronizaci do cloudu. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.
2	Aktivovat zkušební verzi Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.
3	Otestujte nasazení hybridního zabezpečení dat Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat.
4	Monitorovat zdraví hybridního zabezpečení dat Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy.
5	Přidání nebo odebrání uživatelů ze zkušební verze
6	Dokončete zkušební fázi jedním z následujících kroků: Přejít ze zkušební verze do výroby Ukončete zkušební verzi bez přechodu do výroby

Aktivovat zkušební verzi

Než začnete

1	Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Stav služby klikněte na možnost Zahájit zkušební verzi. Stav služby se změní na zkušební režim.
4	Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb. (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, `HdsTrialGroup`.)

Otestujte nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat.

Než začnete

Nastavte nasazení hybridního zabezpečení dat.
Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.
Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.

Odeslat zprávy do nového prostoru.

Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat.

Chcete-li zkontrolovat, zda uživatel nejprve vytváří zabezpečený kanál k KMS, filtrovat na kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Chcete-li zkontrolovat uživatele, který žádá o existující klíč z KMS, filtrování zapnuto kms.data.method=retrieve a kms.data.type=KEY:

Měli byste najít například:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Chcete-li zkontrolovat uživatele požadujícího vytvoření nového klíče KMS, filtrování zapnuto kms.data.method=create a kms.data.type=KEY_COLLECTION:

Měli byste najít například:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Měli byste najít například:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat zdraví hybridního zabezpečení dat

1	V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby.
2	V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení. Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3	V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter.

Přidání nebo odebrání uživatelů ze zkušební verze

Po aktivaci zkušební verze a přidání počáteční sady zkušebních uživatelů můžete členy zkušební verze přidat nebo odebrat kdykoli, když je zkušební verze aktivní.

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze.
4	Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit .

Přejít ze zkušební verze do výroby

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Stav služby klikněte na možnost Přesunout do výroby.
4	Potvrďte, že chcete přesunout všechny uživatele do výroby.

Ukončete zkušební verzi bez přechodu do výroby

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Deaktivovat klikněte na možnost Deaktivovat.
4	Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit.

Správa nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.

Nastavit plán upgradu clusteru

Nastavení plánu upgradu:

1	Přihlaste se k Centrum Control Hub .
2	Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat.
3	Na stránce Prostředky zabezpečení hybridních dat vyberte cluster.
4	Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru.
5	Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu. Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit.

Změna konfigurace uzlu

Příležitostně můžete potřebovat změnit konfiguraci uzlu zabezpečení hybridních dat, a to z například:

Změna certifikátů x.509 z důvodu vypršení nebo z jiných důvodů.

Změna název domény CN certifikátu nepodporujeme. Doména se musí shodovat s původní doménou použité k registraci clusteru.

Aktualizace nastavení databáze za účelem změny na repliku databáze PostgreSQL nebo Microsoft SQL Server.

Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server ani opačným způsobem. Chcete-li přepnout prostředí databáze, spusťte nové nasazení zabezpečení hybridních dat.

Probíhá vytváření nové konfigurace pro přípravu nového datové centrum.

Měkký reset – Staré i nové heslo platí až 10 dní. Tuto tečku použijte k postupnému nahrazování souboru ISO v uzlech.
Tvrdý reset – Stará hesla přestanou okamžitě fungovat.

Pokud platnost vašich hesel vyprší, aniž by byla resetována, má to vliv na službu HDS a vyžaduje okamžitý tvrdý reset a nahrazení souboru ISO ve všech uzlech.

Tento postup slouží ke vygenerování nového konfiguračního souboru ISO a jeho použití v clusteru.

Než začnete

Popis	Proměnná
proxy server HTTP bez ověření	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez ověření	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy server HTTP s ověřováním	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s ověřováním	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

K vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO . ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Dokument ISO potřebujete při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace.

Na místním počítači pomocí Dockeru spusťte nástroj Nastavení HDS.

Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

V běžných prostředích:

docker rmi ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:
```
docker login -u hdscustomersro
```
Po zobrazení výzvy k zadání hesla zadejte tento hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

V běžných prostředích:

docker pull ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Pro tento postup musíte mít nejnovější instalační nástroj. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

V běžných prostředích bez serveru proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V běžném prostředí s proxy serverem <UNK>:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V prostředích FedRAMP bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

Pomocí prohlížeče se připojte k hostiteli localhost, http://127.0.0.1:8080.

Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Po zobrazení výzvy zadejte své přihlašovací údaje zákazníka Control Hub a potom klikněte Přijmout pro pokračování.
Importujte soubor ISO aktuální konfigurace.
Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

Chcete-li instalační nástroj vypnout, zadejte CTRL+C.
Vytvořte záložní kopii aktualizovaného souboru v jiném datové centrum.

Nainstalujte hostitelské zařízení OVA HDS.
Nastavte VM počítač HDS .
Připojte aktualizovaný konfigurační soubor.
Zaregistrujte nový uzel v centru Control Hub.

Vypněte virtuální počítač.
V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .
Klikněte CD/DVD Drive 1, vyberte možnost pro připojení ze souboru ISO a přejděte do umístění, kam jste stáhli nový konfigurační soubor ISO .
Zkontrolujte Připojit při zapnutí .
Uložte změny a zapněte virtuální počítač.

Opakujte krok 3, chcete-li nahradit konfiguraci v každém zbývajícím uzlu, ve kterém je spuštěna stará konfigurace.

Vypnout blokovaný režim externího rozlišení DNS

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.

Než začnete

Ujistěte se, že interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.

1	Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se.
2	Přejděte na Přehled (výchozí stránka). Když je povolena, Blokováno externí rozlišení DNS je nastavena na Ano .
3	Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy.
4	Klikněte na možnost Zkontrolovat připojení proxy. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No.

Co dělat dál

Opakujte test připojení proxy na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač.

Odstranit uzel:

Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
Na kartě zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.
Výběrem clusteru zobrazíte jeho panel Přehled.
Klikněte na možnost Otevřít seznam uzlů.
Na kartě Uzly vyberte uzel, který chcete odebrat.
Klepněte na tlačítko Akce > Zrušit registraci uzlu.

V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.)

Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač.

Zotavení po havárii pomocí pohotovostního datového centra

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.

Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte passiveMode konfigurace, aby byl uzel aktivní. Jakmile je uzel nakonfigurován, může zpracovávat provoz.


passiveMode: 'false'

Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.

Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.

Zkontrolujte výstup syslog a ověřte, že uzly pohotovostního datového centra nejsou v pasivním režimu. „KMS nakonfigurováno v pasivním režimu“ se nesmí zobrazovat v syslogs.

Co dělat dál

(Volitelně) Odpojit ISO po konfiguraci HDS

Než začnete

Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.

1	Vypněte jeden z vašich HDS uzlů.
2	Ve vCenter Server Appliance vyberte uzel HDS.
3	Vybrat Upravit nastavení > jednotka CD/DVD a zrušit zaškrtnutí souboru ISO datastore.
4	Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut.
5	Opakujte postupně pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazení upozornění a řešení potíží

Nové prostory nelze vytvořit (nelze vytvořit nové klíče)
Zprávy a názvy prostorů se nepodařilo dešifrovat pro:
- Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)
- Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)
Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.

Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.

Výstrahy

Tabulka 1. Společné problémy a kroky k jejich vyřešení
Upozorňovat	Akce
Přístup k místní databázi selhal.	Zkontrolujte chyby databáze nebo problémy s místní sítí.
Připojení k místní databázi selhalo.	Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby.
Přístup ke cloudové službě selhal.	Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení.
Obnovování registrace cloudových služeb.	Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace.
Registrace cloudových služeb byla přerušena.	Registrace ke cloudovým službám byla ukončena. Služba se vypíná.
Služba ještě nebyla aktivována.	Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby.
Nakonfigurovaná doména neodpovídá certifikátu serveru.	Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby. Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení.
Ověření ke cloudovým službám se nezdařilo.	Zkontrolujte přesnost a případné vypršení pověření účtu služby.
Nepodařilo se otevřít místní soubor úložiště klíčů.	Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.
Certifikát místního serveru je neplatný.	Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.
Nelze odeslat metriky.	Zkontrolujte přístup k externím cloudovým službám v místní síti.
Adresář /media/configudrive/hds neexistuje.	Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů s hybridním zabezpečením dat použijte následující obecné pokyny.

1	Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete.
2	Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat.
3	Kontaktujte podporu společnosti Cisco.

Ostatní poznámky

Známé problémy zabezpečení hybridních dat

Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.
Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.

Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).

K vygenerování souboru PKCS12 použijte OpenSSL

Než začnete

OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.
Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.
Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.
Vytvořte soukromý klíč.
Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).

1	Když obdržíte certifikát serveru od certifikační autority, uložte jej jako `hdsnode.pem`.
2	Zobrazit certifikát jako text a ověřit podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem `hdsnode-bundle.pem`. Soubor balíčku musí obsahovat certifikát serveru, všechny certifikáty prostřední certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Vytvořte soubor .p12 s přátelským jménem `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Zkontrolujte podrobnosti o certifikátu serveru. `openssl pkcs12 -in hdsnode.p12` Zadejte heslo na výzvu k zašifrování soukromého klíče tak, aby byl uveden ve výstupu. Poté ověřte, zda soukromý klíč a první certifikát obsahují řádky. `friendlyName: kms-private-key`. Příklad: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Co dělat dál

Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz kolekce odchozích metrik

Příchozí Provoz

Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:

Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou
Aktualizace softwaru uzlu

Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat

Websocket se nemůže připojit prostřednictvím proxy serveru squid

Olihně 4 a 5

Přidat on_unsupported_protocol směrnice squid.conf:

on_unsupported_protocol tunnel all

Oliheň 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Předmluva

Nové a změněné informace

Datum

Provedené změny

20. října 2023

Byly aktualizovány informace v požadavcích na databázový server.
Bylo přidáno nastavení pohotovostního datového centra pro obnovení po havárii.
Aktualizované informace v pohotovostním datovém centru pro zotavení po havárii a zotavení po havárii pomocí datového centra v pohotovostním režimu.

07. srpna 2023

Přidána poznámka do položky Stáhnout instalační soubory.
Přidána poznámka do Vytvoření ISO konfigurace pro hostitele HDS a změna konfigurace uzlu.

23. května 2023

Byly odstraněny informace z požadavků databázového serveru a požadovaly povolení funkce kontaktováním týmu pro účty.
Byly aktualizovány informace v části Požadavky na externí připojení a byly přidány Kanada do tabulky hostitelů CI.
Přidána poznámka do části Očekávání nasazení hybridního zabezpečení dat týkající se nedostupnosti mechanismů pro přesun klíčů zpět do cloudu.

06. prosince 2022

Obrázky nástroje pro nastavení HDS jsou nyní hostovány v ciscocitg úložiště dockerhub.
Aktualizováno Vytvoření ISO konfigurace pro hostitele HDS a změna témat konfigurace uzlu tak, aby se změny v příkazech zrušily.

23. listopadu 2022

Uzly HDS mohou nyní používat ověřování systému Windows proti serveru Microsoft SQL.

Bylo aktualizováno téma Požadavky databázového serveru o další požadavky na tento režim ověřování.

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s postupem konfigurace ověřování systému Windows v uzlech.
Bylo aktualizováno téma Požadavky databázového serveru o nové minimální požadované verze (PostgreSQL 10).

13. října 2021

Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker.

24. června 2021

30. dubna 2021

Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele.

24. února 2021

Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS.

2. února 2021

HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

11. ledna 2021

Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS.

13. října 2020

Aktualizováno Stáhnout instalační soubory.

8. října 2020

Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP.

14. srpna 2020

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování.

5. srpna 2020

Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu.

Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů.

16. června 2020

Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub.

4. června 2020

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit.

29. května 2020

Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními.

5. května 2020

Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5.

21. dubna 2020

Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI.

1. dubna 2020

Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI.

20. února 2020 Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS.

4. února 2020 Byly aktualizovány požadavky na proxy server.

16. prosince 2019 Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server.

19. listopadu 2019

Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech:

Podpora proxy serverů
Konfigurace uzlu HDS pro integraci proxy serveru
Vypnout blokovaný režim externího rozlišení DNS

8. listopadu 2019

Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později.

Byly odpovídajícím způsobem aktualizovány následující části:

Tok úloh nasazení hybridního zabezpečení dat
Instalace HDS Host OVA
Nastavení hybridního virtuálního počítače zabezpečení dat

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

6. září 2019

Byl přidán standard serveru SQL Server k požadavkům databázového serveru.

20. srpna 2019

Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex.

Podpora proxy serverů
Požadavky na proxy server
Konfigurace uzlu HDS pro integraci proxy serveru

Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy.

6. března 2019

Požadavky a předpoklady jsme přesunuli do samostatné kapitoly Příprava prostředí.
Přidán Tok úloh nasazení hybridního zabezpečení dat přehled v kapitole Nastavení hybridního datového bezpečnostního clusteru...

Všimněte si, že dokud nezahájíte zkušební verzi (podle pokynů v následující kapitole), vaše uzly vygenerují alarm, že služba ještě není aktivována.
Byla přidána možnost Trial to Production Task Flow v kapitole Run a Trial and Move to Production.

28. února 2019

Opravili jsme množství místa na pevném disku na server, které byste měli vyčlenit při přípravě virtuálních hostitelů, kteří se stanou uzly hybridního zabezpečení dat, a to z 50 GB na 20 GB, aby odráželo velikost disku, který OVA vytvoří.

26. února 2019

Uzly hybridního zabezpečení dat nyní podporují šifrovaná připojení s databázovými servery PostgreSQL a šifrovaná protokolovací připojení k serveru syslog podporujícímu protokol TLS. Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS pomocí pokynů.
Cílové <UNK> byly odebrány z tabulky "Požadavky na připojení k internetu pro hybridní datové bezpečnostní uzly VMS". Tabulka nyní odkazuje na seznam udržovaný v tabulce „Další verze <UNK> pro hybridní služby Webex Teams“ obsahující síťové požadavky pro služby Webex Teams.

24. ledna 2019

5. listopadu 2018

Byl přidán předběžný krok k vyčištění všech existujících instancí ukotvičů HDS v části Vytvoření ISO konfigurace pro hostitele HDS a změna konfigurace uzlu.
Byl aktualizován krok úrovně přístupu klíče v části Vytvořit ISO konfigurace pro hostitele HDS tak, aby odpovídal rozhraní.

19. října 2018

V části Dokončete předpoklady pro hybridní zabezpečení dat rozdělte informace o připojení brány firewall do požadavků na uzel a požadavky na konfigurační počítač ISO.

31. července 2018

Byl přidán port 22 (přístup SSH) a informace o připojení NAT a brány firewall pro Dokončení předpokladů pro hybridní zabezpečení dat.

21. května 2018

Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:

Služba Cisco Spark Hybrid Data Security je nyní hybridní zabezpečení dat.
Aplikace Cisco Spark je nyní aplikací Webex.
Cloud Cisco Collaboraton je nyní cloudem Webex.

11. dubna 2018

Bylo přidáno pohotovostní datové centrum pro zotavení po havárii.
Aktualizováno Vyplňte předpoklady pro hybridní zabezpečení dat a zadejte, že záložní prostředí by mělo být v jiném datovém centru.
Aktualizováno obnovení po havárii pomocí datového centra v pohotovostním režimu.

22. února 2018

Byly přidány informace o heslu účtu služby po 9 měsících životnosti a pomocí nástroje Setup HDS k resetování hesel účtu služby v části Create a Configuration ISO for HDS Hosts and Change the Node Configuration.

15. února 2018

V tabulce Požadavky na certifikát X.509 bylo uvedeno, že certifikát nemůže být certifikátem zástupných znaků a že KMS používá doménu CN, nikoli doménu definovanou v polích x.509v3 SAN.

18. ledna 2018

Přidána příloha, Provoz mezi uzly HDS a cloudem.
Byl odebrán vyřešený problém ze známých problémů zabezpečení hybridních dat.
Byl změněn index.docker.io na *.docker.io a přidán *.cloudfront.net do seznamu požadavků na připojení TCP pro uzly HDS v části Dokončete předpoklady pro zabezpečení hybridních dat.
Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS , která indikuje, že pokud hostitel databáze a server Syslogd nejsou z uzlů HDS řešitelné DNS, musíte je nakonfigurovat pomocí adres IP.

2. listopadu 2017

Objasněna synchronizace adresáře skupiny H .
Opravené pokyny pro nahrání konfiguračního souboru ISO pro montáž do uzlů virtuálního počítače.

18. srpna 2017

První publikováno

Začínáme se zabezpečením hybridních dat

Přehled hybridního zabezpečení dat

Architektura sféry zabezpečení

Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.

Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.
Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.
Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.
Zašifrovaná zpráva je uložena v doméně úložiště.

Spolupráce s jinými organizacemi

Očekávání ohledně nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:

Zabezpečené datové centrum v zemi, která je podporovaným místem pro plány aplikace Cisco Webex Teams.
Vybavení, software a přístup k síti popsané v části Prepare Your Environment.

Spravujte zálohování a obnovu databáze a konfigurační ISO.
Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.

Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:

Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.
V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.
Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.
Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.

Model nasazení hybridního zabezpečení dat

Model nasazení hybridního zabezpečení dat

Pro každou organizaci podporujeme pouze jeden cluster.

Zkušební režim hybridního zabezpečení dat

Pohotovostní datové centrum pro zotavení po havárii

Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.

Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server.

Nastavení datového centra pohotovostního režimu pro obnovení po havárii

Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:

Než začnete

Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)
Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

Soubor ISO musí být kopií původního souboru ISO primárního datového centra, do kterého mají být provedeny následující aktualizace konfigurace.

Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.


passiveMode: 'true'

Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.

Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.

Zkontrolujte syslogs a ověřte, zda jsou uzly v pasivním režimu. Měli byste mít možnost zobrazit zprávu „KMS nakonfigurován v pasivním režimu“ v syslogs.

Co dělat dál

Podpora proxy serverů

Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:

Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.
Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:
1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.
2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.
3. Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:
  - HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.
  - HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.
4. Typ ověření – vyberte si z následujících typů ověření:
  - Žádné – není vyžadováno žádné další ověření.
    
    K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
  - Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.
    
    K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
  - Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.
    
    K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla do každého uzlu.

Příklad hybridních datových bezpečnostních uzlů a proxy serveru

Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)

Připravte si prostředí

Požadavky na zabezpečení hybridních dat

Licenční požadavky služby Cisco Webex

Nasazení hybridního zabezpečení dat:

Musíte mít sadu Pro Pack pro centrum Cisco Webex Control Hub. (viz https://www.cisco.com/go/pro-pack.)

Požadavky na plochu docker

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat
Požadavek	Podrobnosti
Podepsáno důvěryhodnou certifikační autoritou (CA)	Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs.
Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat Není zástupným certifikátem	Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například `hds.company.com`. KN nesmí obsahovat znak * (zástupný znak). Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN. Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení.
Podpis bez SHA1	Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací.
Formátováno jako soubor PKCS č. 12 chráněný heslem Použít přátelský název `kms-private-key` pro označení certifikátu, soukromého klíče a všech mezilehlých certifikátů k nahrání.	Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL. Po spuštění instalačního nástroje HDS budete muset zadat heslo.

Požadavky virtuálního hostitele

Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:

Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru
VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.

Pokud máte starší verzi ESXi, musíte provést upgrade.
Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server

Požadavky na databázový server

Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze.

Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

Postgrexové SQL

Microsoft SQL Server

Postgresql 14, 15 nebo 16 je nainstalován a spuštěn.

Nainstalován SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

SQL Server 2016 vyžaduje aktualizaci Service Pack 2 a Cumulative Update 2 nebo novější.

Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:

Postgrexové SQL

Microsoft SQL Server

Postgres JDBC ovladač 42.2.5

SQL Server JDBC ovladač 4.6

Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On).

Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server

Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.
Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.
Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).
Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.

Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace	Protokol	Port	Směr z aplikace	Cíl
Uzly hybridního zabezpečení dat	TCP	443	Odchozí HTTPS a WSS	Servery Webex: .wbx2.com .ciscospark.com Všichni hostitelé Common Identity Další verze <UNK>, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další verze <UNK> pro hybridní služby Webex obsahující síťové požadavky pro služby Webex
Nástroj pro nastavení HDS	TCP	443	Odchozí protokol HTTPS	*.wbx2.com Všichni hostitelé Common Identity Docker (rozcestník)

Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:

Oblast	Hostitelé identity Common Identity
Jižní a Severní Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropská unie	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Požadavky na proxy server

Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.

Transparentní proxy – Cisco Web Security Appliance (WSA).

Explicitní proxy – Squid.

Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:
- Žádné ověřování pomocí protokolu HTTP nebo HTTPS
- Základní ověřování pomocí protokolu HTTP nebo HTTPS
- Provést ověření pouze pomocí protokolu HTTPS
Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.
Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.
Servery proxy, které kontrolují webový provoz, mohou rušit připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na wbx2.com a ciscospark.com vyřeší problém.

Vyplňte předpoklady pro zabezpečení hybridních dat

Pomocí tohoto kontrolního seznamu se ujistěte, že jste připraveni nainstalovat a nakonfigurovat cluster hybridního zabezpečení dat.

Vytvořte databázi pro ukládání klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Po instalaci aplikace HDS vytvoří schéma databáze.)
Shromážďte podrobnosti, které uzly budou používat ke komunikaci s databázovým serverem:
- název hostitele nebo IP adresa (hostitel) a port
- název databáze (dbname) pro ukládání klíčů
- uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů

Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514).

Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení.

Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení.

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavení hybridního datového bezpečnostního clusteru

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

Stáhněte soubor OVA do místního počítače pro pozdější použití.

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

Nastavení hybridního virtuálního počítače zabezpečení dat

Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

Nastavení hybridního datového bezpečnostního clusteru

Dokončete nastavení klastru.

Spustit zkušební verzi a přesunout do výroby (další kapitola)

Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.

Stáhnout instalační soubory

Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby.

V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další.

Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.

Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete

Popis	Proměnná
proxy server HTTP bez ověření	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez ověření	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy server HTTP s ověřováním	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s ověřováním	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:
- Pověření databáze
- Aktualizace certifikátu
- Změny autorizačních zásad
Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.

Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

V běžných prostředích:

docker rmi ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:

docker login -u hdscustomersro

Po zobrazení výzvy k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

V běžných prostředích:

docker pull ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

V běžných prostředích bez serveru proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V prostředích FedRAMP bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Chcete-li přejít na localhost, použijte webový prohlížeč http://127.0.0.1:8080 a na výzvu zadejte uživatelské jméno správce zákazníka pro prostředí Control Hub.

Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení.

Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat.

Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme.

Na stránce Import ISO máte tyto možnosti:

Ne – Pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
Ano – Pokud jste již vytvořili uzly HDS, vyberte v prohlížení soubor ISO a nahrajte jej.

Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.

Pokud jste nikdy předtím nenahráli certifikát, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte možnost Ne pro Pokračovat v používání řetězce certifikátů HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.

Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti:

Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

Pokud zvolíte server Microsoft SQL Server, zobrazí se pole Typ ověřování.
(pouze Microsoft SQL Server) Vyberte typ ověření:
- Základní ověření: V poli Uživatelské jméno potřebujete název účtu místního serveru SQL.
- Ověření systému Windows: Potřebujete účet systému Windows ve formátu username@DOMAIN do pole Uživatelské jméno.
Zadejte adresu databázového serveru ve formuláři <hostname>:<port> nebo <IP-address>:<port>.

Příklad:
dbhost.example.org:1433 nebo 198.51.100.17:1433

Pokud uzly nemohou k vyřešení názvu hostitele použít server DNS, můžete použít adresu IP.

Pokud používáte ověřování systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433
Zadejte název databáze.
Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložišť klíčů.

Vyberte režim připojení databáze TLS:

Režim

Popis

Preferovat TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázový server TLS . Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí o šifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a podepisovatel certifikátu

Tento režim nelze použít pro databáze SQL Server.

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.
Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.

Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

Vyžadovat TLS a ověřit podepisovatele certifikátu a název hostitele

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.
Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.
Uzly také ověřují, zda název hostitele v certifikátu serveru odpovídá názvu hostitele v poli Hostitel databáze a port. Názvy se musí přesně shodovat, jinak uzel přeruší připojení.

Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

Zadejte adresu URL serveru syslog.

Pokud server není z uzlů pro cluster HDS řešitelný server DNS, použijte adresu IP v adrese URL.

Příklad:
udp://10.92.43.23:514 označuje přihlášení k hostiteli Syslogd 10.92.43.23 na UDP portu 514.
Pokud jste nastavili server tak, aby používal šifrování TLS, zkontrolujte, zda je server syslog nakonfigurován pro šifrování SSL?.

Pokud zaškrtnete toto políčko, ujistěte se, že zadáte adresu URL TCP, například tcp://10.92.43.23:514.
V rozevíracím seznamu Choose syslog record termination (Ukončení záznamu syslog) zvolte příslušné nastavení pro váš soubor ISO: Vyberte nebo Newline je použit pro Graylog a Rsyslog TCP
- Nulový bajt -- \x00
- Newline -- \n– Vyberte tuto volbu pro Graylog a Rsyslog TCP.
Klikněte na tlačítko Pokračovat.

app_datasource_connection_pool_maxSize: 10

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat.

Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO.

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

Vytvořte záložní kopii souboru ISO v místním systému.

Chcete-li instalační nástroj vypnout, zadejte CTRL+C.

Co dělat dál

Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte.

Instalace HDS Host OVA

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.

Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači.

Vyberte Soubor > Nasazení šablony OVF.

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další.

Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně.

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další.

Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače.

Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači.

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

Název hostitele – zadejte název FQDN (název hostitele a doména) nebo název hostitele jednoho slova pro uzel.

Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.
Chcete-li zajistit úspěšnou registraci do cloudu, používejte pouze malá písmena v názvu FQDN nebo názvu hostitele, který jste pro uzel nastavili. Kapitalizace není v tuto chvíli podporována.
Celková délka čísla FQDN nesmí překročit 64 znaků.

Adresa IP– Zadejte adresu IP interního rozhraní uzlu.

Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.
Maska – Zadejte adresu masky podsítě do tečkového desetinného zápisu. Například 255.255.255.0.
Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod k jiné síti.
Servery DNS – Zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné adresy IP. (Povoleny jsou až 4 DNS záznamy.)
Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze použít ve vaší organizaci. Výchozí servery NTP nemusí fungovat pro všechny podniky. K zadání více serverů NTP můžete také použít seznam oddělený čárkami.

Nasaďte všechny uzly do stejné podsítě nebo sítě VLAN, aby byly všechny uzly v clusteru dosažitelné od klientů v síti pro administrativní účely.

Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost (ROZCESTNÍK) Napájení > Zapnutí napájení.

Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Nastavení hybridního virtuálního počítače zabezpečení dat

1	V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola. Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2	K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo: Přihlášení: `admin` Heslo: `cisco` Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce.
3	Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci.
4	Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.
5	(Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě. Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.
6	Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrát a připojit ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Nahrajte soubor ISO z počítače:

V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.
V seznamu Hardware na kartě Konfigurace klikněte na možnost Úložiště.
V seznamu Datastores klikněte pravým tlačítkem na datastore pro vaše VMS a klikněte na Procházet datastore.
Klikněte na ikonu Nahrát soubory a potom na možnost Nahrát soubor.
Přejděte na umístění, kde jste soubor ISO stáhli do počítače, a klikněte na Otevřít.
Kliknutím na tlačítko Ano přijmete upozornění na operaci nahrávání/stahování a zavřete dialogové okno datové schránky.

Připojit soubor ISO:

V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .
Kliknutím na tlačítko OK přijmete upozornění na omezené možnosti úprav.
Klikněte CD/DVD Drive 1, vyberte možnost, kterou chcete připojit ze souboru ISO datastore, a přejděte na umístění, kam jste nahráli konfigurační soubor ISO.
Zkontrolujte Připojeno a Připojit je zapnuto.
Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

Konfigurace uzlu HDS pro integraci proxy serveru

Než začnete

Přehled podporovaných možností proxy serveru najdete v části Podpora proxy.
Požadavky na proxy server

1	Zadejte adresu URL nastavení uzlu HDS `https://[HDS Node IP or FQDN]/setup` ve webovém prohlížeči zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a klikněte na Přihlásit se.
2	Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost: Žádný proxy – výchozí možnost před integrací proxy serveru. Není vyžadována žádná aktualizace certifikátu. Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu. Transparentní kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, uzly HDS však potřebují kořenový certifikát, aby mohly proxy serveru důvěřovat. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS). Explicitní proxy – U explicitního proxy sdělíte klientovi (uzlům HDS), který proxy server má používat, a tato možnost podporuje několik typů ověřování. Po zvolení této možnosti musíte zadat následující informace: IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz. Protokol proxy – zvolte http (zobrazení a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje serveru kanál a klient přijme a ověří certifikát serveru). Vyberte možnost podle toho, co váš proxy server podporuje. Typ ověření – vyberte si z následujících typů ověření: Žádné – není vyžadováno žádné další ověření. K dispozici pro proxy servery HTTP nebo HTTPS. Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64. K dispozici pro proxy servery HTTP nebo HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť. Dostupné pouze pro proxy servery HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS.
3	Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy. Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát.
4	Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy. Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS.
5	Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund.
6	Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni. Uzel se restartuje během několika minut.
7	Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu. Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány.

Registrace prvního uzlu v clusteru

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.

Než začnete

Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

1	Přihlaste se k https://admin.webex.com.
2	V nabídce na levé straně obrazovky vyberte možnost Služby.
3	V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit. Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
4	Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další.
5	V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel. Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas"
6	Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
7	Klikněte na možnost Přejít do uzlu.
8	Ve zprávě upozornění klikněte na možnost Pokračovat. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
9	Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
10	Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvoření a registrace dalších uzlů

Než začnete

Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

1	Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS.
2	Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat.
3	Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS.
4	Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel.
5	Zaregistrujte uzel. V části https://admin.webex.com v nabídce na levé straně obrazovky vyberte možnost Služby. V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zdroje. Zobrazí se stránka Zdroje hybridního zabezpečení dat. Klikněte na možnost Přidat zdroj. V prvním poli vyberte název stávajícího clusteru. Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do cloudu Webex. Klikněte na možnost Přejít do uzlu. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete své organizaci udělit oprávnění pro přístup k vašemu uzlu. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex. Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.

Co dělat dál

Spustit zkušební verzi a přesunout do výroby (další kapitola)

Spustit zkušební verzi a přejít do výroby

Zkušební postup do výroby

Než začnete

1	Pokud je to relevantní, synchronizujte `HdsTrialGroup` skupinový objekt. Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat `HdsTrialGroup` před spuštěním zkušební verze seskupte objekt pro synchronizaci do cloudu. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.
2	Aktivovat zkušební verzi Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.
3	Otestujte nasazení hybridního zabezpečení dat Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat.
4	Monitorovat zdraví hybridního zabezpečení dat Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy.
5	Přidání nebo odebrání uživatelů ze zkušební verze
6	Dokončete zkušební fázi jedním z následujících kroků: Přejít ze zkušební verze do výroby Ukončete zkušební verzi bez přechodu do výroby

Aktivovat zkušební verzi

Než začnete

1	Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Stav služby klikněte na možnost Zahájit zkušební verzi. Stav služby se změní na zkušební režim.
4	Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb. (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, `HdsTrialGroup`.)

Otestujte nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat.

Než začnete

Nastavte nasazení hybridního zabezpečení dat.
Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.
Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.

Odeslat zprávy do nového prostoru.

Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat.

Chcete-li zkontrolovat, zda uživatel nejprve vytváří zabezpečený kanál k KMS, filtrovat na kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Chcete-li zkontrolovat uživatele, který žádá o existující klíč z KMS, filtrování zapnuto kms.data.method=retrieve a kms.data.type=KEY:

Měli byste najít například:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Chcete-li zkontrolovat uživatele požadujícího vytvoření nového klíče KMS, filtrování zapnuto kms.data.method=create a kms.data.type=KEY_COLLECTION:

Měli byste najít například:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Měli byste najít například:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat zdraví hybridního zabezpečení dat

1	V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby.
2	V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení. Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3	V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter.

Přidání nebo odebrání uživatelů ze zkušební verze

Po aktivaci zkušební verze a přidání počáteční sady zkušebních uživatelů můžete členy zkušební verze přidat nebo odebrat kdykoli, když je zkušební verze aktivní.

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze.
4	Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit .

Přejít ze zkušební verze do výroby

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Stav služby klikněte na možnost Přesunout do výroby.
4	Potvrďte, že chcete přesunout všechny uživatele do výroby.

Ukončete zkušební verzi bez přechodu do výroby

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Deaktivovat klikněte na možnost Deaktivovat.
4	Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit.

Správa nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.

Nastavit plán upgradu clusteru

Nastavení plánu upgradu:

1	Přihlaste se k Centrum Control Hub .
2	Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat.
3	Na stránce Prostředky zabezpečení hybridních dat vyberte cluster.
4	Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru.
5	Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu. Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit.

Změna konfigurace uzlu

Příležitostně můžete potřebovat změnit konfiguraci uzlu zabezpečení hybridních dat, a to z například:

Změna certifikátů x.509 z důvodu vypršení nebo z jiných důvodů.

Změna název domény CN certifikátu nepodporujeme. Doména se musí shodovat s původní doménou použité k registraci clusteru.

Aktualizace nastavení databáze za účelem změny na repliku databáze PostgreSQL nebo Microsoft SQL Server.

Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server ani opačným způsobem. Chcete-li přepnout prostředí databáze, spusťte nové nasazení zabezpečení hybridních dat.

Probíhá vytváření nové konfigurace pro přípravu nového datové centrum.

Měkký reset – Staré i nové heslo platí až 10 dní. Tuto tečku použijte k postupnému nahrazování souboru ISO v uzlech.
Tvrdý reset – Stará hesla přestanou okamžitě fungovat.

Pokud platnost vašich hesel vyprší, aniž by byla resetována, má to vliv na službu HDS a vyžaduje okamžitý tvrdý reset a nahrazení souboru ISO ve všech uzlech.

Tento postup slouží ke vygenerování nového konfiguračního souboru ISO a jeho použití v clusteru.

Než začnete

Popis	Proměnná
proxy server HTTP bez ověření	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez ověření	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy server HTTP s ověřováním	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s ověřováním	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

K vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO . ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Dokument ISO potřebujete při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace.

Na místním počítači pomocí Dockeru spusťte nástroj Nastavení HDS.

Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

V běžných prostředích:

docker rmi ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:
```
docker login -u hdscustomersro
```
Po zobrazení výzvy k zadání hesla zadejte tento hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

V běžných prostředích:

docker pull ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Pro tento postup musíte mít nejnovější instalační nástroj. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

V běžných prostředích bez serveru proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V běžném prostředí s proxy serverem <UNK>:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V prostředích FedRAMP bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

Pomocí prohlížeče se připojte k hostiteli localhost, http://127.0.0.1:8080.

Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Po zobrazení výzvy zadejte své přihlašovací údaje zákazníka Control Hub a potom klikněte Přijmout pro pokračování.
Importujte soubor ISO aktuální konfigurace.
Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

Chcete-li instalační nástroj vypnout, zadejte CTRL+C.
Vytvořte záložní kopii aktualizovaného souboru v jiném datové centrum.

Nainstalujte hostitelské zařízení OVA HDS.
Nastavte VM počítač HDS .
Připojte aktualizovaný konfigurační soubor.
Zaregistrujte nový uzel v centru Control Hub.

Vypněte virtuální počítač.
V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .
Klikněte CD/DVD Drive 1, vyberte možnost pro připojení ze souboru ISO a přejděte do umístění, kam jste stáhli nový konfigurační soubor ISO .
Zkontrolujte Připojit při zapnutí .
Uložte změny a zapněte virtuální počítač.

Opakujte krok 3, chcete-li nahradit konfiguraci v každém zbývajícím uzlu, ve kterém je spuštěna stará konfigurace.

Vypnout blokovaný režim externího rozlišení DNS

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.

Než začnete

Ujistěte se, že interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.

1	Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se.
2	Přejděte na Přehled (výchozí stránka). Když je povolena, Blokováno externí rozlišení DNS je nastavena na Ano .
3	Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy.
4	Klikněte na možnost Zkontrolovat připojení proxy. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No.

Co dělat dál

Opakujte test připojení proxy na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač.

Odstranit uzel:

Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
Na kartě zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.
Výběrem clusteru zobrazíte jeho panel Přehled.
Klikněte na možnost Otevřít seznam uzlů.
Na kartě Uzly vyberte uzel, který chcete odebrat.
Klepněte na tlačítko Akce > Zrušit registraci uzlu.

V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.)

Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač.

Zotavení po havárii pomocí pohotovostního datového centra

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.

Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte passiveMode konfigurace, aby byl uzel aktivní. Jakmile je uzel nakonfigurován, může zpracovávat provoz.


passiveMode: 'false'

Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.

Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.

Zkontrolujte výstup syslog a ověřte, že uzly pohotovostního datového centra nejsou v pasivním režimu. „KMS nakonfigurováno v pasivním režimu“ se nesmí zobrazovat v syslogs.

Co dělat dál

(Volitelně) Odpojit ISO po konfiguraci HDS

Než začnete

Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.

1	Vypněte jeden z vašich HDS uzlů.
2	Ve vCenter Server Appliance vyberte uzel HDS.
3	Vybrat Upravit nastavení > jednotka CD/DVD a zrušit zaškrtnutí souboru ISO datastore.
4	Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut.
5	Opakujte postupně pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazení upozornění a řešení potíží

Nové prostory nelze vytvořit (nelze vytvořit nové klíče)
Zprávy a názvy prostorů se nepodařilo dešifrovat pro:
- Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)
- Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)
Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.

Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.

Výstrahy

Tabulka 1. Společné problémy a kroky k jejich vyřešení
Upozorňovat	Akce
Přístup k místní databázi selhal.	Zkontrolujte chyby databáze nebo problémy s místní sítí.
Připojení k místní databázi selhalo.	Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby.
Přístup ke cloudové službě selhal.	Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení.
Obnovování registrace cloudových služeb.	Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace.
Registrace cloudových služeb byla přerušena.	Registrace ke cloudovým službám byla ukončena. Služba se vypíná.
Služba ještě nebyla aktivována.	Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby.
Nakonfigurovaná doména neodpovídá certifikátu serveru.	Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby. Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení.
Ověření ke cloudovým službám se nezdařilo.	Zkontrolujte přesnost a případné vypršení pověření účtu služby.
Nepodařilo se otevřít místní soubor úložiště klíčů.	Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.
Certifikát místního serveru je neplatný.	Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.
Nelze odeslat metriky.	Zkontrolujte přístup k externím cloudovým službám v místní síti.
Adresář /media/configudrive/hds neexistuje.	Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů s hybridním zabezpečením dat použijte následující obecné pokyny.

1	Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete.
2	Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat.
3	Kontaktujte podporu společnosti Cisco.

Ostatní poznámky

Známé problémy zabezpečení hybridních dat

Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.
Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.

Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).

K vygenerování souboru PKCS12 použijte OpenSSL

Než začnete

OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.
Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.
Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.
Vytvořte soukromý klíč.
Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).

1	Když obdržíte certifikát serveru od certifikační autority, uložte jej jako `hdsnode.pem`.
2	Zobrazit certifikát jako text a ověřit podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem `hdsnode-bundle.pem`. Soubor balíčku musí obsahovat certifikát serveru, všechny certifikáty prostřední certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Vytvořte soubor .p12 s přátelským jménem `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Zkontrolujte podrobnosti o certifikátu serveru. `openssl pkcs12 -in hdsnode.p12` Zadejte heslo na výzvu k zašifrování soukromého klíče tak, aby byl uveden ve výstupu. Poté ověřte, zda soukromý klíč a první certifikát obsahují řádky. `friendlyName: kms-private-key`. Příklad: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Co dělat dál

Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz kolekce odchozích metrik

Příchozí Provoz

Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:

Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou
Aktualizace softwaru uzlu

Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat

Websocket se nemůže připojit prostřednictvím proxy serveru squid

Olihně 4 a 5

Přidat on_unsupported_protocol směrnice squid.conf:

on_unsupported_protocol tunnel all

Oliheň 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Předmluva

Nové a změněné informace

Datum

Provedené změny

20. října 2023

Byly aktualizovány informace v požadavcích na databázový server.
Bylo přidáno nastavení pohotovostního datového centra pro obnovení po havárii.
Aktualizované informace v pohotovostním datovém centru pro zotavení po havárii a zotavení po havárii pomocí datového centra v pohotovostním režimu.

07. srpna 2023

Přidána poznámka do položky Stáhnout instalační soubory.
Přidána poznámka do Vytvoření ISO konfigurace pro hostitele HDS a změna konfigurace uzlu.

23. května 2023

Byly odstraněny informace z požadavků databázového serveru a požadovaly povolení funkce kontaktováním týmu pro účty.
Byly aktualizovány informace v části Požadavky na externí připojení a byly přidány Kanada do tabulky hostitelů CI.
Přidána poznámka do části Očekávání nasazení hybridního zabezpečení dat týkající se nedostupnosti mechanismů pro přesun klíčů zpět do cloudu.

06. prosince 2022

Obrázky nástroje pro nastavení HDS jsou nyní hostovány v ciscocitg úložiště dockerhub.
Aktualizováno Vytvoření ISO konfigurace pro hostitele HDS a změna témat konfigurace uzlu tak, aby se změny v příkazech zrušily.

23. listopadu 2022

Uzly HDS mohou nyní používat ověřování systému Windows proti serveru Microsoft SQL.

Bylo aktualizováno téma Požadavky databázového serveru o další požadavky na tento režim ověřování.

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s postupem konfigurace ověřování systému Windows v uzlech.
Bylo aktualizováno téma Požadavky databázového serveru o nové minimální požadované verze (PostgreSQL 10).

13. října 2021

Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker.

24. června 2021

30. dubna 2021

Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele.

24. února 2021

Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS.

2. února 2021

HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

11. ledna 2021

Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS.

13. října 2020

Aktualizováno Stáhnout instalační soubory.

8. října 2020

Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP.

14. srpna 2020

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování.

5. srpna 2020

Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu.

Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů.

16. června 2020

Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub.

4. června 2020

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit.

29. května 2020

Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními.

5. května 2020

Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5.

21. dubna 2020

Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI.

1. dubna 2020

Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI.

20. února 2020 Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS.

4. února 2020 Byly aktualizovány požadavky na proxy server.

16. prosince 2019 Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server.

19. listopadu 2019

Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech:

Podpora proxy serverů
Konfigurace uzlu HDS pro integraci proxy serveru
Vypnout blokovaný režim externího rozlišení DNS

8. listopadu 2019

Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později.

Byly odpovídajícím způsobem aktualizovány následující části:

Tok úloh nasazení hybridního zabezpečení dat
Instalace HDS Host OVA
Nastavení hybridního virtuálního počítače zabezpečení dat

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

6. září 2019

Byl přidán standard serveru SQL Server k požadavkům databázového serveru.

20. srpna 2019

Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex.

Podpora proxy serverů
Požadavky na proxy server
Konfigurace uzlu HDS pro integraci proxy serveru

Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy.

6. března 2019

Požadavky a předpoklady jsme přesunuli do samostatné kapitoly Příprava prostředí.
Přidán Tok úloh nasazení hybridního zabezpečení dat přehled v kapitole Nastavení hybridního datového bezpečnostního clusteru...

Všimněte si, že dokud nezahájíte zkušební verzi (podle pokynů v následující kapitole), vaše uzly vygenerují alarm, že služba ještě není aktivována.
Byla přidána možnost Trial to Production Task Flow v kapitole Run a Trial and Move to Production.

28. února 2019

Opravili jsme množství místa na pevném disku na server, které byste měli vyčlenit při přípravě virtuálních hostitelů, kteří se stanou uzly hybridního zabezpečení dat, a to z 50 GB na 20 GB, aby odráželo velikost disku, který OVA vytvoří.

26. února 2019

Uzly hybridního zabezpečení dat nyní podporují šifrovaná připojení s databázovými servery PostgreSQL a šifrovaná protokolovací připojení k serveru syslog podporujícímu protokol TLS. Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS pomocí pokynů.
Cílové <UNK> byly odebrány z tabulky "Požadavky na připojení k internetu pro hybridní datové bezpečnostní uzly VMS". Tabulka nyní odkazuje na seznam udržovaný v tabulce „Další verze <UNK> pro hybridní služby Webex Teams“ obsahující síťové požadavky pro služby Webex Teams.

24. ledna 2019

5. listopadu 2018

Byl přidán předběžný krok k vyčištění všech existujících instancí ukotvičů HDS v části Vytvoření ISO konfigurace pro hostitele HDS a změna konfigurace uzlu.
Byl aktualizován krok úrovně přístupu klíče v části Vytvořit ISO konfigurace pro hostitele HDS tak, aby odpovídal rozhraní.

19. října 2018

V části Dokončete předpoklady pro hybridní zabezpečení dat rozdělte informace o připojení brány firewall do požadavků na uzel a požadavky na konfigurační počítač ISO.

31. července 2018

Byl přidán port 22 (přístup SSH) a informace o připojení NAT a brány firewall pro Dokončení předpokladů pro hybridní zabezpečení dat.

21. května 2018

Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:

Služba Cisco Spark Hybrid Data Security je nyní hybridní zabezpečení dat.
Aplikace Cisco Spark je nyní aplikací Webex.
Cloud Cisco Collaboraton je nyní cloudem Webex.

11. dubna 2018

Bylo přidáno pohotovostní datové centrum pro zotavení po havárii.
Aktualizováno Vyplňte předpoklady pro hybridní zabezpečení dat a zadejte, že záložní prostředí by mělo být v jiném datovém centru.
Aktualizováno obnovení po havárii pomocí datového centra v pohotovostním režimu.

22. února 2018

Byly přidány informace o heslu účtu služby po 9 měsících životnosti a pomocí nástroje Setup HDS k resetování hesel účtu služby v části Create a Configuration ISO for HDS Hosts and Change the Node Configuration.

15. února 2018

V tabulce Požadavky na certifikát X.509 bylo uvedeno, že certifikát nemůže být certifikátem zástupných znaků a že KMS používá doménu CN, nikoli doménu definovanou v polích x.509v3 SAN.

18. ledna 2018

Přidána příloha, Provoz mezi uzly HDS a cloudem.
Byl odebrán vyřešený problém ze známých problémů zabezpečení hybridních dat.
Byl změněn index.docker.io na *.docker.io a přidán *.cloudfront.net do seznamu požadavků na připojení TCP pro uzly HDS v části Dokončete předpoklady pro zabezpečení hybridních dat.
Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS , která indikuje, že pokud hostitel databáze a server Syslogd nejsou z uzlů HDS řešitelné DNS, musíte je nakonfigurovat pomocí adres IP.

2. listopadu 2017

Objasněna synchronizace adresáře skupiny H .
Opravené pokyny pro nahrání konfiguračního souboru ISO pro montáž do uzlů virtuálního počítače.

18. srpna 2017

První publikováno

Začínáme se zabezpečením hybridních dat

Přehled hybridního zabezpečení dat

Architektura sféry zabezpečení

Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.

Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.
Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.
Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.
Zašifrovaná zpráva je uložena v doméně úložiště.

Spolupráce s jinými organizacemi

Očekávání ohledně nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:

Zabezpečené datové centrum v zemi, která je podporovaným místem pro plány aplikace Cisco Webex Teams.
Vybavení, software a přístup k síti popsané v části Prepare Your Environment.

Spravujte zálohování a obnovu databáze a konfigurační ISO.
Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.

Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:

Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.
V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.
Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.
Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.

Model nasazení hybridního zabezpečení dat

Model nasazení hybridního zabezpečení dat

Pro každou organizaci podporujeme pouze jeden cluster.

Zkušební režim hybridního zabezpečení dat

Pohotovostní datové centrum pro zotavení po havárii

Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.

Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server.

Nastavení datového centra pohotovostního režimu pro obnovení po havárii

Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:

Než začnete

Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)
Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

Soubor ISO musí být kopií původního souboru ISO primárního datového centra, do kterého mají být provedeny následující aktualizace konfigurace.

Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.


passiveMode: 'true'

Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.

Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.

Zkontrolujte syslogs a ověřte, zda jsou uzly v pasivním režimu. Měli byste mít možnost zobrazit zprávu „KMS nakonfigurován v pasivním režimu“ v syslogs.

Co dělat dál

Podpora proxy serverů

Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:

Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.
Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:
1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.
2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.
3. Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:
  - HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.
  - HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.
4. Typ ověření – vyberte si z následujících typů ověření:
  - Žádné – není vyžadováno žádné další ověření.
    
    K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
  - Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.
    
    K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
  - Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.
    
    K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla do každého uzlu.

Příklad hybridních datových bezpečnostních uzlů a proxy serveru

Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)

Připravte si prostředí

Požadavky na zabezpečení hybridních dat

Licenční požadavky služby Cisco Webex

Nasazení hybridního zabezpečení dat:

Musíte mít sadu Pro Pack pro centrum Cisco Webex Control Hub. (viz https://www.cisco.com/go/pro-pack.)

Požadavky na plochu docker

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat
Požadavek	Podrobnosti
Podepsáno důvěryhodnou certifikační autoritou (CA)	Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs.
Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat Není zástupným certifikátem	Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například `hds.company.com`. KN nesmí obsahovat znak * (zástupný znak). Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN. Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení.
Podpis bez SHA1	Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací.
Formátováno jako soubor PKCS č. 12 chráněný heslem Použít přátelský název `kms-private-key` pro označení certifikátu, soukromého klíče a všech mezilehlých certifikátů k nahrání.	Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL. Po spuštění instalačního nástroje HDS budete muset zadat heslo.

Požadavky virtuálního hostitele

Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:

Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru
VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.

Pokud máte starší verzi ESXi, musíte provést upgrade.
Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server

Požadavky na databázový server

Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze.

Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

Postgrexové SQL

Microsoft SQL Server

Postgresql 14, 15 nebo 16 je nainstalován a spuštěn.

Nainstalován SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

SQL Server 2016 vyžaduje aktualizaci Service Pack 2 a Cumulative Update 2 nebo novější.

Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:

Postgrexové SQL

Microsoft SQL Server

Postgres JDBC ovladač 42.2.5

SQL Server JDBC ovladač 4.6

Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On).

Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server

Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.
Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.
Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).
Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.

Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace	Protokol	Port	Směr z aplikace	Cíl
Uzly hybridního zabezpečení dat	TCP	443	Odchozí HTTPS a WSS	Servery Webex: .wbx2.com .ciscospark.com Všichni hostitelé Common Identity Další verze <UNK>, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další verze <UNK> pro hybridní služby Webex obsahující síťové požadavky pro služby Webex
Nástroj pro nastavení HDS	TCP	443	Odchozí protokol HTTPS	*.wbx2.com Všichni hostitelé Common Identity Docker (rozcestník)

Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:

Oblast	Hostitelé identity Common Identity
Jižní a Severní Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropská unie	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Požadavky na proxy server

Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.

Transparentní proxy – Cisco Web Security Appliance (WSA).

Explicitní proxy – Squid.

Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:
- Žádné ověřování pomocí protokolu HTTP nebo HTTPS
- Základní ověřování pomocí protokolu HTTP nebo HTTPS
- Provést ověření pouze pomocí protokolu HTTPS
Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.
Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.
Servery proxy, které kontrolují webový provoz, mohou rušit připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na wbx2.com a ciscospark.com vyřeší problém.

Vyplňte předpoklady pro zabezpečení hybridních dat

Pomocí tohoto kontrolního seznamu se ujistěte, že jste připraveni nainstalovat a nakonfigurovat cluster hybridního zabezpečení dat.

Vytvořte databázi pro ukládání klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Po instalaci aplikace HDS vytvoří schéma databáze.)
Shromážďte podrobnosti, které uzly budou používat ke komunikaci s databázovým serverem:
- název hostitele nebo IP adresa (hostitel) a port
- název databáze (dbname) pro ukládání klíčů
- uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů

Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514).

Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení.

Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení.

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavení hybridního datového bezpečnostního clusteru

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

Stáhněte soubor OVA do místního počítače pro pozdější použití.

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

Nastavení hybridního virtuálního počítače zabezpečení dat

Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

Nastavení hybridního datového bezpečnostního clusteru

Dokončete nastavení klastru.

Spustit zkušební verzi a přesunout do výroby (další kapitola)

Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.

Stáhnout instalační soubory

Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby.

V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další.

Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.

Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete

Popis	Proměnná
proxy server HTTP bez ověření	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez ověření	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy server HTTP s ověřováním	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s ověřováním	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:
- Pověření databáze
- Aktualizace certifikátu
- Změny autorizačních zásad
Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.

Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

V běžných prostředích:

docker rmi ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:

docker login -u hdscustomersro

Po zobrazení výzvy k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

V běžných prostředích:

docker pull ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

V běžných prostředích bez serveru proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V prostředích FedRAMP bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Chcete-li přejít na localhost, použijte webový prohlížeč http://127.0.0.1:8080 a na výzvu zadejte uživatelské jméno správce zákazníka pro prostředí Control Hub.

Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení.

Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat.

Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme.

Na stránce Import ISO máte tyto možnosti:

Ne – Pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
Ano – Pokud jste již vytvořili uzly HDS, vyberte v prohlížení soubor ISO a nahrajte jej.

Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.

Pokud jste nikdy předtím nenahráli certifikát, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte možnost Ne pro Pokračovat v používání řetězce certifikátů HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.

Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti:

Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

Pokud zvolíte server Microsoft SQL Server, zobrazí se pole Typ ověřování.
(pouze Microsoft SQL Server) Vyberte typ ověření:
- Základní ověření: V poli Uživatelské jméno potřebujete název účtu místního serveru SQL.
- Ověření systému Windows: Potřebujete účet systému Windows ve formátu username@DOMAIN do pole Uživatelské jméno.
Zadejte adresu databázového serveru ve formuláři <hostname>:<port> nebo <IP-address>:<port>.

Příklad:
dbhost.example.org:1433 nebo 198.51.100.17:1433

Pokud uzly nemohou k vyřešení názvu hostitele použít server DNS, můžete použít adresu IP.

Pokud používáte ověřování systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433
Zadejte název databáze.
Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložišť klíčů.

Vyberte režim připojení databáze TLS:

Režim

Popis

Preferovat TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázový server TLS . Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí o šifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a podepisovatel certifikátu

Tento režim nelze použít pro databáze SQL Server.

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.
Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.

Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

Vyžadovat TLS a ověřit podepisovatele certifikátu a název hostitele

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.
Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.
Uzly také ověřují, zda název hostitele v certifikátu serveru odpovídá názvu hostitele v poli Hostitel databáze a port. Názvy se musí přesně shodovat, jinak uzel přeruší připojení.

Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

Zadejte adresu URL serveru syslog.

Pokud server není z uzlů pro cluster HDS řešitelný server DNS, použijte adresu IP v adrese URL.

Příklad:
udp://10.92.43.23:514 označuje přihlášení k hostiteli Syslogd 10.92.43.23 na UDP portu 514.
Pokud jste nastavili server tak, aby používal šifrování TLS, zkontrolujte, zda je server syslog nakonfigurován pro šifrování SSL?.

Pokud zaškrtnete toto políčko, ujistěte se, že zadáte adresu URL TCP, například tcp://10.92.43.23:514.
V rozevíracím seznamu Choose syslog record termination (Ukončení záznamu syslog) zvolte příslušné nastavení pro váš soubor ISO: Vyberte nebo Newline je použit pro Graylog a Rsyslog TCP
- Nulový bajt -- \x00
- Newline -- \n– Vyberte tuto volbu pro Graylog a Rsyslog TCP.
Klikněte na tlačítko Pokračovat.

app_datasource_connection_pool_maxSize: 10

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat.

Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO.

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

Vytvořte záložní kopii souboru ISO v místním systému.

Chcete-li instalační nástroj vypnout, zadejte CTRL+C.

Co dělat dál

Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte.

Instalace HDS Host OVA

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.

Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači.

Vyberte Soubor > Nasazení šablony OVF.

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další.

Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně.

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další.

Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače.

Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači.

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

Název hostitele – zadejte název FQDN (název hostitele a doména) nebo název hostitele jednoho slova pro uzel.

Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.
Chcete-li zajistit úspěšnou registraci do cloudu, používejte pouze malá písmena v názvu FQDN nebo názvu hostitele, který jste pro uzel nastavili. Kapitalizace není v tuto chvíli podporována.
Celková délka čísla FQDN nesmí překročit 64 znaků.

Adresa IP– Zadejte adresu IP interního rozhraní uzlu.

Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.
Maska – Zadejte adresu masky podsítě do tečkového desetinného zápisu. Například 255.255.255.0.
Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod k jiné síti.
Servery DNS – Zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné adresy IP. (Povoleny jsou až 4 DNS záznamy.)
Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze použít ve vaší organizaci. Výchozí servery NTP nemusí fungovat pro všechny podniky. K zadání více serverů NTP můžete také použít seznam oddělený čárkami.

Nasaďte všechny uzly do stejné podsítě nebo sítě VLAN, aby byly všechny uzly v clusteru dosažitelné od klientů v síti pro administrativní účely.

Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost (ROZCESTNÍK) Napájení > Zapnutí napájení.

Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Nastavení hybridního virtuálního počítače zabezpečení dat

1	V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola. Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2	K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo: Přihlášení: `admin` Heslo: `cisco` Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce.
3	Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci.
4	Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.
5	(Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě. Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.
6	Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrát a připojit ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Nahrajte soubor ISO z počítače:

V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.
V seznamu Hardware na kartě Konfigurace klikněte na možnost Úložiště.
V seznamu Datastores klikněte pravým tlačítkem na datastore pro vaše VMS a klikněte na Procházet datastore.
Klikněte na ikonu Nahrát soubory a potom na možnost Nahrát soubor.
Přejděte na umístění, kde jste soubor ISO stáhli do počítače, a klikněte na Otevřít.
Kliknutím na tlačítko Ano přijmete upozornění na operaci nahrávání/stahování a zavřete dialogové okno datové schránky.

Připojit soubor ISO:

V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .
Kliknutím na tlačítko OK přijmete upozornění na omezené možnosti úprav.
Klikněte CD/DVD Drive 1, vyberte možnost, kterou chcete připojit ze souboru ISO datastore, a přejděte na umístění, kam jste nahráli konfigurační soubor ISO.
Zkontrolujte Připojeno a Připojit je zapnuto.
Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

Konfigurace uzlu HDS pro integraci proxy serveru

Než začnete

Přehled podporovaných možností proxy serveru najdete v části Podpora proxy.
Požadavky na proxy server

1	Zadejte adresu URL nastavení uzlu HDS `https://[HDS Node IP or FQDN]/setup` ve webovém prohlížeči zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a klikněte na Přihlásit se.
2	Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost: Žádný proxy – výchozí možnost před integrací proxy serveru. Není vyžadována žádná aktualizace certifikátu. Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu. Transparentní kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, uzly HDS však potřebují kořenový certifikát, aby mohly proxy serveru důvěřovat. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS). Explicitní proxy – U explicitního proxy sdělíte klientovi (uzlům HDS), který proxy server má používat, a tato možnost podporuje několik typů ověřování. Po zvolení této možnosti musíte zadat následující informace: IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz. Protokol proxy – zvolte http (zobrazení a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje serveru kanál a klient přijme a ověří certifikát serveru). Vyberte možnost podle toho, co váš proxy server podporuje. Typ ověření – vyberte si z následujících typů ověření: Žádné – není vyžadováno žádné další ověření. K dispozici pro proxy servery HTTP nebo HTTPS. Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64. K dispozici pro proxy servery HTTP nebo HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť. Dostupné pouze pro proxy servery HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS.
3	Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy. Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát.
4	Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy. Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS.
5	Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund.
6	Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni. Uzel se restartuje během několika minut.
7	Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu. Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány.

Registrace prvního uzlu v clusteru

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.

Než začnete

Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

1	Přihlaste se k https://admin.webex.com.
2	V nabídce na levé straně obrazovky vyberte možnost Služby.
3	V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit. Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
4	Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další.
5	V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel. Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas"
6	Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
7	Klikněte na možnost Přejít do uzlu.
8	Ve zprávě upozornění klikněte na možnost Pokračovat. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
9	Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
10	Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvoření a registrace dalších uzlů

Než začnete

Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

1	Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS.
2	Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat.
3	Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS.
4	Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel.
5	Zaregistrujte uzel. V části https://admin.webex.com v nabídce na levé straně obrazovky vyberte možnost Služby. V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zdroje. Zobrazí se stránka Zdroje hybridního zabezpečení dat. Klikněte na možnost Přidat zdroj. V prvním poli vyberte název stávajícího clusteru. Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do cloudu Webex. Klikněte na možnost Přejít do uzlu. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete své organizaci udělit oprávnění pro přístup k vašemu uzlu. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex. Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.

Co dělat dál

Spustit zkušební verzi a přesunout do výroby (další kapitola)

Spustit zkušební verzi a přejít do výroby

Zkušební postup do výroby

Než začnete

1	Pokud je to relevantní, synchronizujte `HdsTrialGroup` skupinový objekt. Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat `HdsTrialGroup` před spuštěním zkušební verze seskupte objekt pro synchronizaci do cloudu. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.
2	Aktivovat zkušební verzi Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.
3	Otestujte nasazení hybridního zabezpečení dat Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat.
4	Monitorovat zdraví hybridního zabezpečení dat Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy.
5	Přidání nebo odebrání uživatelů ze zkušební verze
6	Dokončete zkušební fázi jedním z následujících kroků: Přejít ze zkušební verze do výroby Ukončete zkušební verzi bez přechodu do výroby

Aktivovat zkušební verzi

Než začnete

1	Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Stav služby klikněte na možnost Zahájit zkušební verzi. Stav služby se změní na zkušební režim.
4	Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb. (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, `HdsTrialGroup`.)

Otestujte nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat.

Než začnete

Nastavte nasazení hybridního zabezpečení dat.
Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.
Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.

Odeslat zprávy do nového prostoru.

Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat.

Chcete-li zkontrolovat, zda uživatel nejprve vytváří zabezpečený kanál k KMS, filtrovat na kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Chcete-li zkontrolovat uživatele, který žádá o existující klíč z KMS, filtrování zapnuto kms.data.method=retrieve a kms.data.type=KEY:

Měli byste najít například:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Chcete-li zkontrolovat uživatele požadujícího vytvoření nového klíče KMS, filtrování zapnuto kms.data.method=create a kms.data.type=KEY_COLLECTION:

Měli byste najít například:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Měli byste najít například:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat zdraví hybridního zabezpečení dat

1	V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby.
2	V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení. Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3	V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter.

Přidání nebo odebrání uživatelů ze zkušební verze

Po aktivaci zkušební verze a přidání počáteční sady zkušebních uživatelů můžete členy zkušební verze přidat nebo odebrat kdykoli, když je zkušební verze aktivní.

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze.
4	Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit .

Přejít ze zkušební verze do výroby

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Stav služby klikněte na možnost Přesunout do výroby.
4	Potvrďte, že chcete přesunout všechny uživatele do výroby.

Ukončete zkušební verzi bez přechodu do výroby

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Deaktivovat klikněte na možnost Deaktivovat.
4	Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit.

Správa nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.

Nastavit plán upgradu clusteru

Nastavení plánu upgradu:

1	Přihlaste se k Centrum Control Hub .
2	Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat.
3	Na stránce Prostředky zabezpečení hybridních dat vyberte cluster.
4	Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru.
5	Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu. Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit.

Změna konfigurace uzlu

Příležitostně můžete potřebovat změnit konfiguraci uzlu zabezpečení hybridních dat, a to z například:

Změna certifikátů x.509 z důvodu vypršení nebo z jiných důvodů.

Změna název domény CN certifikátu nepodporujeme. Doména se musí shodovat s původní doménou použité k registraci clusteru.

Aktualizace nastavení databáze za účelem změny na repliku databáze PostgreSQL nebo Microsoft SQL Server.

Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server ani opačným způsobem. Chcete-li přepnout prostředí databáze, spusťte nové nasazení zabezpečení hybridních dat.

Probíhá vytváření nové konfigurace pro přípravu nového datové centrum.

Měkký reset – Staré i nové heslo platí až 10 dní. Tuto tečku použijte k postupnému nahrazování souboru ISO v uzlech.
Tvrdý reset – Stará hesla přestanou okamžitě fungovat.

Pokud platnost vašich hesel vyprší, aniž by byla resetována, má to vliv na službu HDS a vyžaduje okamžitý tvrdý reset a nahrazení souboru ISO ve všech uzlech.

Tento postup slouží ke vygenerování nového konfiguračního souboru ISO a jeho použití v clusteru.

Než začnete

Popis	Proměnná
proxy server HTTP bez ověření	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez ověření	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy server HTTP s ověřováním	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s ověřováním	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

K vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO . ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Dokument ISO potřebujete při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace.

Na místním počítači pomocí Dockeru spusťte nástroj Nastavení HDS.

Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

V běžných prostředích:

docker rmi ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:
```
docker login -u hdscustomersro
```
Po zobrazení výzvy k zadání hesla zadejte tento hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

V běžných prostředích:

docker pull ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Pro tento postup musíte mít nejnovější instalační nástroj. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

V běžných prostředích bez serveru proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V běžném prostředí s proxy serverem <UNK>:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V prostředích FedRAMP bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

Pomocí prohlížeče se připojte k hostiteli localhost, http://127.0.0.1:8080.

Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Po zobrazení výzvy zadejte své přihlašovací údaje zákazníka Control Hub a potom klikněte Přijmout pro pokračování.
Importujte soubor ISO aktuální konfigurace.
Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

Chcete-li instalační nástroj vypnout, zadejte CTRL+C.
Vytvořte záložní kopii aktualizovaného souboru v jiném datové centrum.

Nainstalujte hostitelské zařízení OVA HDS.
Nastavte VM počítač HDS .
Připojte aktualizovaný konfigurační soubor.
Zaregistrujte nový uzel v centru Control Hub.

Vypněte virtuální počítač.
V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .
Klikněte CD/DVD Drive 1, vyberte možnost pro připojení ze souboru ISO a přejděte do umístění, kam jste stáhli nový konfigurační soubor ISO .
Zkontrolujte Připojit při zapnutí .
Uložte změny a zapněte virtuální počítač.

Opakujte krok 3, chcete-li nahradit konfiguraci v každém zbývajícím uzlu, ve kterém je spuštěna stará konfigurace.

Vypnout blokovaný režim externího rozlišení DNS

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.

Než začnete

Ujistěte se, že interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.

1	Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se.
2	Přejděte na Přehled (výchozí stránka). Když je povolena, Blokováno externí rozlišení DNS je nastavena na Ano .
3	Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy.
4	Klikněte na možnost Zkontrolovat připojení proxy. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No.

Co dělat dál

Opakujte test připojení proxy na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač.

Odstranit uzel:

Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
Na kartě zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.
Výběrem clusteru zobrazíte jeho panel Přehled.
Klikněte na možnost Otevřít seznam uzlů.
Na kartě Uzly vyberte uzel, který chcete odebrat.
Klepněte na tlačítko Akce > Zrušit registraci uzlu.

V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.)

Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač.

Zotavení po havárii pomocí pohotovostního datového centra

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.

Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte passiveMode konfigurace, aby byl uzel aktivní. Jakmile je uzel nakonfigurován, může zpracovávat provoz.


passiveMode: 'false'

Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.

Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.

Zkontrolujte výstup syslog a ověřte, že uzly pohotovostního datového centra nejsou v pasivním režimu. „KMS nakonfigurováno v pasivním režimu“ se nesmí zobrazovat v syslogs.

Co dělat dál

(Volitelně) Odpojit ISO po konfiguraci HDS

Než začnete

Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.

1	Vypněte jeden z vašich HDS uzlů.
2	Ve vCenter Server Appliance vyberte uzel HDS.
3	Vybrat Upravit nastavení > jednotka CD/DVD a zrušit zaškrtnutí souboru ISO datastore.
4	Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut.
5	Opakujte postupně pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazení upozornění a řešení potíží

Nové prostory nelze vytvořit (nelze vytvořit nové klíče)
Zprávy a názvy prostorů se nepodařilo dešifrovat pro:
- Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)
- Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)
Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.

Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.

Výstrahy

Tabulka 1. Společné problémy a kroky k jejich vyřešení
Upozorňovat	Akce
Přístup k místní databázi selhal.	Zkontrolujte chyby databáze nebo problémy s místní sítí.
Připojení k místní databázi selhalo.	Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby.
Přístup ke cloudové službě selhal.	Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení.
Obnovování registrace cloudových služeb.	Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace.
Registrace cloudových služeb byla přerušena.	Registrace ke cloudovým službám byla ukončena. Služba se vypíná.
Služba ještě nebyla aktivována.	Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby.
Nakonfigurovaná doména neodpovídá certifikátu serveru.	Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby. Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení.
Ověření ke cloudovým službám se nezdařilo.	Zkontrolujte přesnost a případné vypršení pověření účtu služby.
Nepodařilo se otevřít místní soubor úložiště klíčů.	Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.
Certifikát místního serveru je neplatný.	Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.
Nelze odeslat metriky.	Zkontrolujte přístup k externím cloudovým službám v místní síti.
Adresář /media/configudrive/hds neexistuje.	Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů s hybridním zabezpečením dat použijte následující obecné pokyny.

1	Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete.
2	Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat.
3	Kontaktujte podporu společnosti Cisco.

Ostatní poznámky

Známé problémy zabezpečení hybridních dat

Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.
Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.

Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).

K vygenerování souboru PKCS12 použijte OpenSSL

Než začnete

OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.
Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.
Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.
Vytvořte soukromý klíč.
Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).

1	Když obdržíte certifikát serveru od certifikační autority, uložte jej jako `hdsnode.pem`.
2	Zobrazit certifikát jako text a ověřit podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem `hdsnode-bundle.pem`. Soubor balíčku musí obsahovat certifikát serveru, všechny certifikáty prostřední certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Vytvořte soubor .p12 s přátelským jménem `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Zkontrolujte podrobnosti o certifikátu serveru. `openssl pkcs12 -in hdsnode.p12` Zadejte heslo na výzvu k zašifrování soukromého klíče tak, aby byl uveden ve výstupu. Poté ověřte, zda soukromý klíč a první certifikát obsahují řádky. `friendlyName: kms-private-key`. Příklad: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Co dělat dál

Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz kolekce odchozích metrik

Příchozí Provoz

Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:

Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou
Aktualizace softwaru uzlu

Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat

Websocket se nemůže připojit prostřednictvím proxy serveru squid

Olihně 4 a 5

Přidat on_unsupported_protocol směrnice squid.conf:

on_unsupported_protocol tunnel all

Oliheň 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Předmluva

Nové a změněné informace

Datum

Provedené změny

20. října 2023

Byly aktualizovány informace v požadavcích na databázový server.
Bylo přidáno nastavení pohotovostního datového centra pro obnovení po havárii.
Aktualizované informace v pohotovostním datovém centru pro zotavení po havárii a zotavení po havárii pomocí datového centra v pohotovostním režimu.

07. srpna 2023

Přidána poznámka do položky Stáhnout instalační soubory.
Přidána poznámka do Vytvoření ISO konfigurace pro hostitele HDS a změna konfigurace uzlu.

23. května 2023

Byly odstraněny informace z požadavků databázového serveru a požadovaly povolení funkce kontaktováním týmu pro účty.
Byly aktualizovány informace v části Požadavky na externí připojení a byly přidány Kanada do tabulky hostitelů CI.
Přidána poznámka do části Očekávání nasazení hybridního zabezpečení dat týkající se nedostupnosti mechanismů pro přesun klíčů zpět do cloudu.

06. prosince 2022

Obrázky nástroje pro nastavení HDS jsou nyní hostovány v ciscocitg úložiště dockerhub.
Aktualizováno Vytvoření ISO konfigurace pro hostitele HDS a změna témat konfigurace uzlu tak, aby se změny v příkazech zrušily.

23. listopadu 2022

Uzly HDS mohou nyní používat ověřování systému Windows proti serveru Microsoft SQL.

Bylo aktualizováno téma Požadavky databázového serveru o další požadavky na tento režim ověřování.

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s postupem konfigurace ověřování systému Windows v uzlech.
Bylo aktualizováno téma Požadavky databázového serveru o nové minimální požadované verze (PostgreSQL 10).

13. října 2021

Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker.

24. června 2021

30. dubna 2021

Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele.

24. února 2021

Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS.

2. února 2021

HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

11. ledna 2021

Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS.

13. října 2020

Aktualizováno Stáhnout instalační soubory.

8. října 2020

Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP.

14. srpna 2020

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování.

5. srpna 2020

Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu.

Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů.

16. června 2020

Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub.

4. června 2020

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit.

29. května 2020

Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními.

5. května 2020

Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5.

21. dubna 2020

Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI.

1. dubna 2020

Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI.

20. února 2020 Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS.

4. února 2020 Byly aktualizovány požadavky na proxy server.

16. prosince 2019 Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server.

19. listopadu 2019

Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech:

Podpora proxy serverů
Konfigurace uzlu HDS pro integraci proxy serveru
Vypnout blokovaný režim externího rozlišení DNS

8. listopadu 2019

Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později.

Byly odpovídajícím způsobem aktualizovány následující části:

Tok úloh nasazení hybridního zabezpečení dat
Instalace HDS Host OVA
Nastavení hybridního virtuálního počítače zabezpečení dat

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

6. září 2019

Byl přidán standard serveru SQL Server k požadavkům databázového serveru.

20. srpna 2019

Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex.

Podpora proxy serverů
Požadavky na proxy server
Konfigurace uzlu HDS pro integraci proxy serveru

Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy.

6. března 2019

Požadavky a předpoklady jsme přesunuli do samostatné kapitoly Příprava prostředí.
Přidán Tok úloh nasazení hybridního zabezpečení dat přehled v kapitole Nastavení hybridního datového bezpečnostního clusteru...

Všimněte si, že dokud nezahájíte zkušební verzi (podle pokynů v následující kapitole), vaše uzly vygenerují alarm, že služba ještě není aktivována.
Byla přidána možnost Trial to Production Task Flow v kapitole Run a Trial and Move to Production.

28. února 2019

Opravili jsme množství místa na pevném disku na server, které byste měli vyčlenit při přípravě virtuálních hostitelů, kteří se stanou uzly hybridního zabezpečení dat, a to z 50 GB na 20 GB, aby odráželo velikost disku, který OVA vytvoří.

26. února 2019

Uzly hybridního zabezpečení dat nyní podporují šifrovaná připojení s databázovými servery PostgreSQL a šifrovaná protokolovací připojení k serveru syslog podporujícímu protokol TLS. Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS pomocí pokynů.
Cílové <UNK> byly odebrány z tabulky "Požadavky na připojení k internetu pro hybridní datové bezpečnostní uzly VMS". Tabulka nyní odkazuje na seznam udržovaný v tabulce „Další verze <UNK> pro hybridní služby Webex Teams“ obsahující síťové požadavky pro služby Webex Teams.

24. ledna 2019

5. listopadu 2018

Byl přidán předběžný krok k vyčištění všech existujících instancí ukotvičů HDS v části Vytvoření ISO konfigurace pro hostitele HDS a změna konfigurace uzlu.
Byl aktualizován krok úrovně přístupu klíče v části Vytvořit ISO konfigurace pro hostitele HDS tak, aby odpovídal rozhraní.

19. října 2018

V části Dokončete předpoklady pro hybridní zabezpečení dat rozdělte informace o připojení brány firewall do požadavků na uzel a požadavky na konfigurační počítač ISO.

31. července 2018

Byl přidán port 22 (přístup SSH) a informace o připojení NAT a brány firewall pro Dokončení předpokladů pro hybridní zabezpečení dat.

21. května 2018

Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:

Služba Cisco Spark Hybrid Data Security je nyní hybridní zabezpečení dat.
Aplikace Cisco Spark je nyní aplikací Webex.
Cloud Cisco Collaboraton je nyní cloudem Webex.

11. dubna 2018

Bylo přidáno pohotovostní datové centrum pro zotavení po havárii.
Aktualizováno Vyplňte předpoklady pro hybridní zabezpečení dat a zadejte, že záložní prostředí by mělo být v jiném datovém centru.
Aktualizováno obnovení po havárii pomocí datového centra v pohotovostním režimu.

22. února 2018

Byly přidány informace o heslu účtu služby po 9 měsících životnosti a pomocí nástroje Setup HDS k resetování hesel účtu služby v části Create a Configuration ISO for HDS Hosts and Change the Node Configuration.

15. února 2018

V tabulce Požadavky na certifikát X.509 bylo uvedeno, že certifikát nemůže být certifikátem zástupných znaků a že KMS používá doménu CN, nikoli doménu definovanou v polích x.509v3 SAN.

18. ledna 2018

Přidána příloha, Provoz mezi uzly HDS a cloudem.
Byl odebrán vyřešený problém ze známých problémů zabezpečení hybridních dat.
Byl změněn index.docker.io na *.docker.io a přidán *.cloudfront.net do seznamu požadavků na připojení TCP pro uzly HDS v části Dokončete předpoklady pro zabezpečení hybridních dat.
Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS , která indikuje, že pokud hostitel databáze a server Syslogd nejsou z uzlů HDS řešitelné DNS, musíte je nakonfigurovat pomocí adres IP.

2. listopadu 2017

Objasněna synchronizace adresáře skupiny H .
Opravené pokyny pro nahrání konfiguračního souboru ISO pro montáž do uzlů virtuálního počítače.

18. srpna 2017

První publikováno

Začínáme se zabezpečením hybridních dat

Přehled hybridního zabezpečení dat

Architektura sféry zabezpečení

Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.

Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.
Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.
Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.
Zašifrovaná zpráva je uložena v doméně úložiště.

Spolupráce s jinými organizacemi

Očekávání ohledně nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:

Zabezpečené datové centrum v zemi, která je podporovaným místem pro plány aplikace Cisco Webex Teams.
Vybavení, software a přístup k síti popsané v části Prepare Your Environment.

Spravujte zálohování a obnovu databáze a konfigurační ISO.
Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.

Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:

Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.
V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.
Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.
Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.

Model nasazení hybridního zabezpečení dat

Model nasazení hybridního zabezpečení dat

Pro každou organizaci podporujeme pouze jeden cluster.

Zkušební režim hybridního zabezpečení dat

Pohotovostní datové centrum pro zotavení po havárii

Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.

Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server.

Nastavení datového centra pohotovostního režimu pro obnovení po havárii

Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:

Než začnete

Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)
Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

Soubor ISO musí být kopií původního souboru ISO primárního datového centra, do kterého mají být provedeny následující aktualizace konfigurace.

Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.


passiveMode: 'true'

Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.

Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.

Zkontrolujte syslogs a ověřte, zda jsou uzly v pasivním režimu. Měli byste mít možnost zobrazit zprávu „KMS nakonfigurován v pasivním režimu“ v syslogs.

Co dělat dál

Podpora proxy serverů

Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:

Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.
Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:
1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.
2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.
3. Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:
  - HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.
  - HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.
4. Typ ověření – vyberte si z následujících typů ověření:
  - Žádné – není vyžadováno žádné další ověření.
    
    K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
  - Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.
    
    K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
  - Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.
    
    K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla do každého uzlu.

Příklad hybridních datových bezpečnostních uzlů a proxy serveru

Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)

Připravte si prostředí

Požadavky na zabezpečení hybridních dat

Licenční požadavky služby Cisco Webex

Nasazení hybridního zabezpečení dat:

Musíte mít sadu Pro Pack pro centrum Cisco Webex Control Hub. (viz https://www.cisco.com/go/pro-pack.)

Požadavky na plochu docker

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat
Požadavek	Podrobnosti
Podepsáno důvěryhodnou certifikační autoritou (CA)	Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs.
Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat Není zástupným certifikátem	Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například `hds.company.com`. KN nesmí obsahovat znak * (zástupný znak). Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN. Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení.
Podpis bez SHA1	Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací.
Formátováno jako soubor PKCS č. 12 chráněný heslem Použít přátelský název `kms-private-key` pro označení certifikátu, soukromého klíče a všech mezilehlých certifikátů k nahrání.	Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL. Po spuštění instalačního nástroje HDS budete muset zadat heslo.

Požadavky virtuálního hostitele

Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:

Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru
VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.

Pokud máte starší verzi ESXi, musíte provést upgrade.
Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server

Požadavky na databázový server

Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze.

Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

Postgrexové SQL

Microsoft SQL Server

Postgresql 14, 15 nebo 16 je nainstalován a spuštěn.

Nainstalován SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

SQL Server 2016 vyžaduje aktualizaci Service Pack 2 a Cumulative Update 2 nebo novější.

Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:

Postgrexové SQL

Microsoft SQL Server

Postgres JDBC ovladač 42.2.5

SQL Server JDBC ovladač 4.6

Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On).

Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server

Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.
Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.
Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).
Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.

Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace	Protokol	Port	Směr z aplikace	Cíl
Uzly hybridního zabezpečení dat	TCP	443	Odchozí HTTPS a WSS	Servery Webex: .wbx2.com .ciscospark.com Všichni hostitelé Common Identity Další verze <UNK>, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další verze <UNK> pro hybridní služby Webex obsahující síťové požadavky pro služby Webex
Nástroj pro nastavení HDS	TCP	443	Odchozí protokol HTTPS	*.wbx2.com Všichni hostitelé Common Identity Docker (rozcestník)

Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:

Oblast	Hostitelé identity Common Identity
Jižní a Severní Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropská unie	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Požadavky na proxy server

Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.

Transparentní proxy – Cisco Web Security Appliance (WSA).

Explicitní proxy – Squid.

Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:
- Žádné ověřování pomocí protokolu HTTP nebo HTTPS
- Základní ověřování pomocí protokolu HTTP nebo HTTPS
- Provést ověření pouze pomocí protokolu HTTPS
Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.
Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.
Servery proxy, které kontrolují webový provoz, mohou rušit připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na wbx2.com a ciscospark.com vyřeší problém.

Vyplňte předpoklady pro zabezpečení hybridních dat

Pomocí tohoto kontrolního seznamu se ujistěte, že jste připraveni nainstalovat a nakonfigurovat cluster hybridního zabezpečení dat.

Vytvořte databázi pro ukládání klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Po instalaci aplikace HDS vytvoří schéma databáze.)
Shromážďte podrobnosti, které uzly budou používat ke komunikaci s databázovým serverem:
- název hostitele nebo IP adresa (hostitel) a port
- název databáze (dbname) pro ukládání klíčů
- uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů

Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514).

Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení.

Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení.

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavení hybridního datového bezpečnostního clusteru

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

Stáhněte soubor OVA do místního počítače pro pozdější použití.

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

Nastavení hybridního virtuálního počítače zabezpečení dat

Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

Nastavení hybridního datového bezpečnostního clusteru

Dokončete nastavení klastru.

Spustit zkušební verzi a přesunout do výroby (další kapitola)

Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.

Stáhnout instalační soubory

Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby.

V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další.

Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.

Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete

Popis	Proměnná
proxy server HTTP bez ověření	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez ověření	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy server HTTP s ověřováním	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s ověřováním	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:
- Pověření databáze
- Aktualizace certifikátu
- Změny autorizačních zásad
Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.

Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

V běžných prostředích:

docker rmi ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:

docker login -u hdscustomersro

Po zobrazení výzvy k zadání hesla zadejte tento hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

V běžných prostředích:

docker pull ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

V běžných prostředích bez serveru proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V prostředích FedRAMP bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Chcete-li přejít na localhost, použijte webový prohlížeč http://127.0.0.1:8080 a na výzvu zadejte uživatelské jméno správce zákazníka pro prostředí Control Hub.

Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení.

Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat.

Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme.

Na stránce Import ISO máte tyto možnosti:

Ne – Pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
Ano – Pokud jste již vytvořili uzly HDS, vyberte v prohlížení soubor ISO a nahrajte jej.

Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.

Pokud jste nikdy předtím nenahráli certifikát, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte možnost Ne pro Pokračovat v používání řetězce certifikátů HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.

Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti:

Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

Pokud zvolíte server Microsoft SQL Server, zobrazí se pole Typ ověřování.
(pouze Microsoft SQL Server) Vyberte typ ověření:
- Základní ověření: V poli Uživatelské jméno potřebujete název účtu místního serveru SQL.
- Ověření systému Windows: Potřebujete účet systému Windows ve formátu username@DOMAIN do pole Uživatelské jméno.
Zadejte adresu databázového serveru ve formuláři <hostname>:<port> nebo <IP-address>:<port>.

Příklad:
dbhost.example.org:1433 nebo 198.51.100.17:1433

Pokud uzly nemohou k vyřešení názvu hostitele použít server DNS, můžete použít adresu IP.

Pokud používáte ověřování systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433
Zadejte název databáze.
Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložišť klíčů.

Vyberte režim připojení databáze TLS:

Režim

Popis

Preferovat TLS (výchozí možnost)

Uzly HDS nevyžadují pro připojení k databázový server TLS . Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí o šifrované připojení.

Vyžadovat TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.

Vyžadovat TLS a podepisovatel certifikátu

Tento režim nelze použít pro databáze SQL Server.

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.
Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.

Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

Vyžadovat TLS a ověřit podepisovatele certifikátu a název hostitele

Uzly HDS se připojují pouze v případě, že databázový server může vyjednat TLS.
Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel zruší připojení.
Uzly také ověřují, zda název hostitele v certifikátu serveru odpovídá názvu hostitele v poli Hostitel databáze a port. Názvy se musí přesně shodovat, jinak uzel přeruší připojení.

Použijte možnost kořenový certifikát databáze pod rozevíracím seznamem a nahrát kořenový certifikát pro tuto možnost.

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

Zadejte adresu URL serveru syslog.

Pokud server není z uzlů pro cluster HDS řešitelný server DNS, použijte adresu IP v adrese URL.

Příklad:
udp://10.92.43.23:514 označuje přihlášení k hostiteli Syslogd 10.92.43.23 na UDP portu 514.
Pokud jste nastavili server tak, aby používal šifrování TLS, zkontrolujte, zda je server syslog nakonfigurován pro šifrování SSL?.

Pokud zaškrtnete toto políčko, ujistěte se, že zadáte adresu URL TCP, například tcp://10.92.43.23:514.
V rozevíracím seznamu Choose syslog record termination (Ukončení záznamu syslog) zvolte příslušné nastavení pro váš soubor ISO: Vyberte nebo Newline je použit pro Graylog a Rsyslog TCP
- Nulový bajt -- \x00
- Newline -- \n– Vyberte tuto volbu pro Graylog a Rsyslog TCP.
Klikněte na tlačítko Pokračovat.

app_datasource_connection_pool_maxSize: 10

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat.

Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO.

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

Vytvořte záložní kopii souboru ISO v místním systému.

Chcete-li instalační nástroj vypnout, zadejte CTRL+C.

Co dělat dál

Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte.

Instalace HDS Host OVA

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.

Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači.

Vyberte Soubor > Nasazení šablony OVF.

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další.

Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně.

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další.

Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače.

Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači.

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

Název hostitele – zadejte název FQDN (název hostitele a doména) nebo název hostitele jednoho slova pro uzel.

Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.
Chcete-li zajistit úspěšnou registraci do cloudu, používejte pouze malá písmena v názvu FQDN nebo názvu hostitele, který jste pro uzel nastavili. Kapitalizace není v tuto chvíli podporována.
Celková délka čísla FQDN nesmí překročit 64 znaků.

Adresa IP– Zadejte adresu IP interního rozhraní uzlu.

Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.
Maska – Zadejte adresu masky podsítě do tečkového desetinného zápisu. Například 255.255.255.0.
Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod k jiné síti.
Servery DNS – Zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné adresy IP. (Povoleny jsou až 4 DNS záznamy.)
Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze použít ve vaší organizaci. Výchozí servery NTP nemusí fungovat pro všechny podniky. K zadání více serverů NTP můžete také použít seznam oddělený čárkami.

Nasaďte všechny uzly do stejné podsítě nebo sítě VLAN, aby byly všechny uzly v clusteru dosažitelné od klientů v síti pro administrativní účely.

Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost (ROZCESTNÍK) Napájení > Zapnutí napájení.

Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Nastavení hybridního virtuálního počítače zabezpečení dat

1	V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola. Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2	K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo: Přihlášení: `admin` Heslo: `cisco` Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce.
3	Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci.
4	Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.
5	(Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě. Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.
6	Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrát a připojit ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Nahrajte soubor ISO z počítače:

V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.
V seznamu Hardware na kartě Konfigurace klikněte na možnost Úložiště.
V seznamu Datastores klikněte pravým tlačítkem na datastore pro vaše VMS a klikněte na Procházet datastore.
Klikněte na ikonu Nahrát soubory a potom na možnost Nahrát soubor.
Přejděte na umístění, kde jste soubor ISO stáhli do počítače, a klikněte na Otevřít.
Kliknutím na tlačítko Ano přijmete upozornění na operaci nahrávání/stahování a zavřete dialogové okno datové schránky.

Připojit soubor ISO:

V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .
Kliknutím na tlačítko OK přijmete upozornění na omezené možnosti úprav.
Klikněte CD/DVD Drive 1, vyberte možnost, kterou chcete připojit ze souboru ISO datastore, a přejděte na umístění, kam jste nahráli konfigurační soubor ISO.
Zkontrolujte Připojeno a Připojit je zapnuto.
Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

Konfigurace uzlu HDS pro integraci proxy serveru

Než začnete

Přehled podporovaných možností proxy serveru najdete v části Podpora proxy.
Požadavky na proxy server

1	Zadejte adresu URL nastavení uzlu HDS `https://[HDS Node IP or FQDN]/setup` ve webovém prohlížeči zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a klikněte na Přihlásit se.
2	Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost: Žádný proxy – výchozí možnost před integrací proxy serveru. Není vyžadována žádná aktualizace certifikátu. Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu. Transparentní kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, uzly HDS však potřebují kořenový certifikát, aby mohly proxy serveru důvěřovat. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS). Explicitní proxy – U explicitního proxy sdělíte klientovi (uzlům HDS), který proxy server má používat, a tato možnost podporuje několik typů ověřování. Po zvolení této možnosti musíte zadat následující informace: IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz. Protokol proxy – zvolte http (zobrazení a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje serveru kanál a klient přijme a ověří certifikát serveru). Vyberte možnost podle toho, co váš proxy server podporuje. Typ ověření – vyberte si z následujících typů ověření: Žádné – není vyžadováno žádné další ověření. K dispozici pro proxy servery HTTP nebo HTTPS. Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64. K dispozici pro proxy servery HTTP nebo HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť. Dostupné pouze pro proxy servery HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS.
3	Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy. Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát.
4	Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy. Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS.
5	Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund.
6	Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni. Uzel se restartuje během několika minut.
7	Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu. Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány.

Registrace prvního uzlu v clusteru

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.

Než začnete

Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

1	Přihlaste se k https://admin.webex.com.
2	V nabídce na levé straně obrazovky vyberte možnost Služby.
3	V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit. Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
4	Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další.
5	V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel. Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas"
6	Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
7	Klikněte na možnost Přejít do uzlu.
8	Ve zprávě upozornění klikněte na možnost Pokračovat. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
9	Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
10	Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvoření a registrace dalších uzlů

Než začnete

Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

1	Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS.
2	Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat.
3	Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS.
4	Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel.
5	Zaregistrujte uzel. V části https://admin.webex.com v nabídce na levé straně obrazovky vyberte možnost Služby. V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zdroje. Zobrazí se stránka Zdroje hybridního zabezpečení dat. Klikněte na možnost Přidat zdroj. V prvním poli vyberte název stávajícího clusteru. Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do cloudu Webex. Klikněte na možnost Přejít do uzlu. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete své organizaci udělit oprávnění pro přístup k vašemu uzlu. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex. Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.

Co dělat dál

Spustit zkušební verzi a přesunout do výroby (další kapitola)

Spustit zkušební verzi a přejít do výroby

Zkušební postup do výroby

Než začnete

1	Pokud je to relevantní, synchronizujte `HdsTrialGroup` skupinový objekt. Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat `HdsTrialGroup` před spuštěním zkušební verze seskupte objekt pro synchronizaci do cloudu. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.
2	Aktivovat zkušební verzi Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.
3	Otestujte nasazení hybridního zabezpečení dat Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat.
4	Monitorovat zdraví hybridního zabezpečení dat Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy.
5	Přidání nebo odebrání uživatelů ze zkušební verze
6	Dokončete zkušební fázi jedním z následujících kroků: Přejít ze zkušební verze do výroby Ukončete zkušební verzi bez přechodu do výroby

Aktivovat zkušební verzi

Než začnete

1	Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Stav služby klikněte na možnost Zahájit zkušební verzi. Stav služby se změní na zkušební režim.
4	Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb. (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, `HdsTrialGroup`.)

Otestujte nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat.

Než začnete

Nastavte nasazení hybridního zabezpečení dat.
Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.
Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.

Odeslat zprávy do nového prostoru.

Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat.

Chcete-li zkontrolovat, zda uživatel nejprve vytváří zabezpečený kanál k KMS, filtrovat na kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Chcete-li zkontrolovat uživatele, který žádá o existující klíč z KMS, filtrování zapnuto kms.data.method=retrieve a kms.data.type=KEY:

Měli byste najít například:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Chcete-li zkontrolovat uživatele požadujícího vytvoření nového klíče KMS, filtrování zapnuto kms.data.method=create a kms.data.type=KEY_COLLECTION:

Měli byste najít například:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Měli byste najít například:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat zdraví hybridního zabezpečení dat

1	V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby.
2	V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení. Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3	V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter.

Přidání nebo odebrání uživatelů ze zkušební verze

Po aktivaci zkušební verze a přidání počáteční sady zkušebních uživatelů můžete členy zkušební verze přidat nebo odebrat kdykoli, když je zkušební verze aktivní.

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze.
4	Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Potom klikněte Uložit .

Přejít ze zkušební verze do výroby

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Stav služby klikněte na možnost Přesunout do výroby.
4	Potvrďte, že chcete přesunout všechny uživatele do výroby.

Ukončete zkušební verzi bez přechodu do výroby

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Deaktivovat klikněte na možnost Deaktivovat.
4	Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit.

Správa nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.

Nastavit plán upgradu clusteru

Nastavení plánu upgradu:

1	Přihlaste se k Centrum Control Hub .
2	Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat.
3	Na stránce Prostředky zabezpečení hybridních dat vyberte cluster.
4	Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru.
5	Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu. Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit.

Změna konfigurace uzlu

Příležitostně můžete potřebovat změnit konfiguraci uzlu zabezpečení hybridních dat, a to z například:

Změna certifikátů x.509 z důvodu vypršení nebo z jiných důvodů.

Změna název domény CN certifikátu nepodporujeme. Doména se musí shodovat s původní doménou použité k registraci clusteru.

Aktualizace nastavení databáze za účelem změny na repliku databáze PostgreSQL nebo Microsoft SQL Server.

Nepodporujeme migraci dat z PostgreSQL na Microsoft SQL Server ani opačným způsobem. Chcete-li přepnout prostředí databáze, spusťte nové nasazení zabezpečení hybridních dat.

Probíhá vytváření nové konfigurace pro přípravu nového datové centrum.

Měkký reset – Staré i nové heslo platí až 10 dní. Tuto tečku použijte k postupnému nahrazování souboru ISO v uzlech.
Tvrdý reset – Stará hesla přestanou okamžitě fungovat.

Pokud platnost vašich hesel vyprší, aniž by byla resetována, má to vliv na službu HDS a vyžaduje okamžitý tvrdý reset a nahrazení souboru ISO ve všech uzlech.

Tento postup slouží ke vygenerování nového konfiguračního souboru ISO a jeho použití v clusteru.

Než začnete

Popis	Proměnná
proxy server HTTP bez ověření	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS proxy bez ověření	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
proxy server HTTP s ověřováním	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS proxy s ověřováním	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

K vygenerování nové konfigurace potřebujete kopii aktuálního konfiguračního souboru ISO . ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Dokument ISO potřebujete při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace.

Na místním počítači pomocí Dockeru spusťte nástroj Nastavení HDS.

Na příkazovém řádku počítače zadejte příkaz příslušný pro své prostředí:

V běžných prostředích:

docker rmi ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vymaže předchozí obrázky nástroje pro nastavení HDS. Pokud nejsou k dispozici žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

Chcete-li se přihlásit se k registru bitových kopií Docker, zadejte následující:
```
docker login -u hdscustomersro
```
Po zobrazení výzvy k zadání hesla zadejte tento hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Stáhněte si nejnovější stabilní bitovou kopii pro vaše prostředí:

V běžných prostředích:

docker pull ciscocitg/hds-setup:stable

V prostředích FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Pro tento postup musíte mít nejnovější instalační nástroj. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro obnovení hesla.

Po dokončení stahování zadejte příkaz příslušný pro vaše prostředí:

V běžných prostředích bez serveru proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V běžných prostředích s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V běžném prostředí s proxy serverem <UNK>:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V prostředích FedRAMP bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V prostředích FedRAMP s proxy serverem HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Za běhu kontejneru se zobrazuje „Expresní server naslouchá na portu 8080“.

Pomocí prohlížeče se připojte k hostiteli localhost, http://127.0.0.1:8080.

Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Po zobrazení výzvy zadejte své přihlašovací údaje zákazníka Control Hub a potom klikněte Přijmout pro pokračování.
Importujte soubor ISO aktuální konfigurace.
Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

Chcete-li instalační nástroj vypnout, zadejte CTRL+C.
Vytvořte záložní kopii aktualizovaného souboru v jiném datové centrum.

Nainstalujte hostitelské zařízení OVA HDS.
Nastavte VM počítač HDS .
Připojte aktualizovaný konfigurační soubor.
Zaregistrujte nový uzel v centru Control Hub.

Vypněte virtuální počítač.
V levém navigačním podokně klienta VMware vSphere kliknout pravým tlačítkem na VM a klikněte Upravit nastavení .
Klikněte CD/DVD Drive 1, vyberte možnost pro připojení ze souboru ISO a přejděte do umístění, kam jste stáhli nový konfigurační soubor ISO .
Zkontrolujte Připojit při zapnutí .
Uložte změny a zapněte virtuální počítač.

Opakujte krok 3, chcete-li nahradit konfiguraci v každém zbývajícím uzlu, ve kterém je spuštěna stará konfigurace.

Vypnout blokovaný režim externího rozlišení DNS

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.

Než začnete

Ujistěte se, že interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.

1	Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se.
2	Přejděte na Přehled (výchozí stránka). Když je povolena, Blokováno externí rozlišení DNS je nastavena na Ano .
3	Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy.
4	Klikněte na možnost Zkontrolovat připojení proxy. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No.

Co dělat dál

Opakujte test připojení proxy na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač.

Odstranit uzel:

Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
Na kartě zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.
Výběrem clusteru zobrazíte jeho panel Přehled.
Klikněte na možnost Otevřít seznam uzlů.
Na kartě Uzly vyberte uzel, který chcete odebrat.
Klepněte na tlačítko Akce > Zrušit registraci uzlu.

V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.)

Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač.

Zotavení po havárii pomocí pohotovostního datového centra

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.

Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte passiveMode konfigurace, aby byl uzel aktivní. Jakmile je uzel nakonfigurován, může zpracovávat provoz.


passiveMode: 'false'

Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.

Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.

Zkontrolujte výstup syslog a ověřte, že uzly pohotovostního datového centra nejsou v pasivním režimu. „KMS nakonfigurováno v pasivním režimu“ se nesmí zobrazovat v syslogs.

Co dělat dál

(Volitelně) Odpojit ISO po konfiguraci HDS

Než začnete

Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.

1	Vypněte jeden z vašich HDS uzlů.
2	Ve vCenter Server Appliance vyberte uzel HDS.
3	Vybrat Upravit nastavení > jednotka CD/DVD a zrušit zaškrtnutí souboru ISO datastore.
4	Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut.
5	Opakujte postupně pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazení upozornění a řešení potíží

Nové prostory nelze vytvořit (nelze vytvořit nové klíče)
Zprávy a názvy prostorů se nepodařilo dešifrovat pro:
- Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)
- Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)
Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.

Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.

Výstrahy

Tabulka 1. Společné problémy a kroky k jejich vyřešení
Upozorňovat	Akce
Přístup k místní databázi selhal.	Zkontrolujte chyby databáze nebo problémy s místní sítí.
Připojení k místní databázi selhalo.	Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby.
Přístup ke cloudové službě selhal.	Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení.
Obnovování registrace cloudových služeb.	Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace.
Registrace cloudových služeb byla přerušena.	Registrace ke cloudovým službám byla ukončena. Služba se vypíná.
Služba ještě nebyla aktivována.	Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby.
Nakonfigurovaná doména neodpovídá certifikátu serveru.	Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby. Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení.
Ověření ke cloudovým službám se nezdařilo.	Zkontrolujte přesnost a případné vypršení pověření účtu služby.
Nepodařilo se otevřít místní soubor úložiště klíčů.	Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.
Certifikát místního serveru je neplatný.	Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.
Nelze odeslat metriky.	Zkontrolujte přístup k externím cloudovým službám v místní síti.
Adresář /media/configudrive/hds neexistuje.	Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů s hybridním zabezpečením dat použijte následující obecné pokyny.

1	Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete.
2	Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat.
3	Kontaktujte podporu společnosti Cisco.

Ostatní poznámky

Známé problémy zabezpečení hybridních dat

Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.
Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.

Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).

K vygenerování souboru PKCS12 použijte OpenSSL

Než začnete

OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.
Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.
Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.
Vytvořte soukromý klíč.
Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).

1	Když obdržíte certifikát serveru od certifikační autority, uložte jej jako `hdsnode.pem`.
2	Zobrazit certifikát jako text a ověřit podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem `hdsnode-bundle.pem`. Soubor balíčku musí obsahovat certifikát serveru, všechny certifikáty prostřední certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Vytvořte soubor .p12 s přátelským jménem `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Zkontrolujte podrobnosti o certifikátu serveru. `openssl pkcs12 -in hdsnode.p12` Zadejte heslo na výzvu k zašifrování soukromého klíče tak, aby byl uveden ve výstupu. Poté ověřte, zda soukromý klíč a první certifikát obsahují řádky. `friendlyName: kms-private-key`. Příklad: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Co dělat dál

Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz kolekce odchozích metrik

Příchozí Provoz

Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:

Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou
Aktualizace softwaru uzlu

Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat

Websocket se nemůže připojit prostřednictvím proxy serveru squid

Olihně 4 a 5

Přidat on_unsupported_protocol směrnice squid.conf:

on_unsupported_protocol tunnel all

Oliheň 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Předmluva

Nové a změněné informace

Datum

Provedené změny

20. října 2023

Byly aktualizovány informace v požadavcích na databázový server.
Bylo přidáno nastavení pohotovostního datového centra pro obnovení po havárii.
Aktualizované informace v pohotovostním datovém centru pro zotavení po havárii a zotavení po havárii pomocí datového centra v pohotovostním režimu.

07. srpna 2023

Přidána poznámka do položky Stáhnout instalační soubory.
Přidána poznámka do Vytvoření ISO konfigurace pro hostitele HDS a změna konfigurace uzlu.

23. května 2023

Byly odstraněny informace z požadavků databázového serveru a požadovaly povolení funkce kontaktováním týmu pro účty.
Byly aktualizovány informace v části Požadavky na externí připojení a byly přidány Kanada do tabulky hostitelů CI.
Přidána poznámka do části Očekávání nasazení hybridního zabezpečení dat týkající se nedostupnosti mechanismů pro přesun klíčů zpět do cloudu.

06. prosince 2022

Obrázky nástroje pro nastavení HDS jsou nyní hostovány v ciscocitg úložiště dockerhubu.
Aktualizováno Vytvoření ISO konfigurace pro hostitele HDS a změna témat konfigurace uzlu tak, aby se změny v příkazech zrušily.

23. listopadu 2022

Uzly HDS mohou nyní používat ověřování systému Windows proti serveru Microsoft SQL.

Bylo aktualizováno téma Požadavky databázového serveru o další požadavky na tento režim ověřování.

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s postupem konfigurace ověřování systému Windows v uzlech.
Bylo aktualizováno téma Požadavky databázového serveru o nové minimální požadované verze (PostgreSQL 10).

13. října 2021

Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker.

24. června 2021

30. dubna 2021

Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele.

24. února 2021

Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS.

2. února 2021

HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

11. ledna 2021

Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS.

13. října 2020

Aktualizováno Stáhnout instalační soubory.

8. října 2020

Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP.

14. srpna 2020

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování.

5. srpna 2020

Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu.

Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů.

16. června 2020

Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub.

4. června 2020

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit.

29. května 2020

Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními.

5. května 2020

Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5.

21. dubna 2020

Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI.

1. dubna 2020

Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI.

20. února 2020 Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS.

4. února 2020 Byly aktualizovány požadavky na proxy server.

16. prosince 2019 Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server.

19. listopadu 2019

Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech:

Podpora proxy serveru
Konfigurace uzlu HDS pro integraci proxy serveru
Vypnout blokovaný režim externího rozlišení DNS

8. listopadu 2019

Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později.

Byly odpovídajícím způsobem aktualizovány následující části:

Tok úloh nasazení hybridního zabezpečení dat
Instalace HDS Host OVA
Nastavení hybridního virtuálního počítače zabezpečení dat

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

6. září 2019

Byl přidán standard serveru SQL Server k požadavkům databázového serveru.

20. srpna 2019

Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex.

Podpora proxy serveru
Požadavky na proxy server
Konfigurace uzlu HDS pro integraci proxy serveru

Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy.

6. března 2019

Požadavky a předpoklady jsme přesunuli do samostatné kapitoly Příprava prostředí.
Přidán Tok úloh nasazení hybridního zabezpečení dat přehled v kapitole Nastavení hybridního datového bezpečnostního clusteru...

Všimněte si, že dokud nezahájíte zkušební verzi (podle pokynů v následující kapitole), vaše uzly vygenerují alarm, že služba ještě není aktivována.
Byla přidána možnost Trial to Production Task Flow v kapitole Run a Trial and Move to Production.

28. února 2019

Opravili jsme množství místa na pevném disku na server, které byste měli vyčlenit při přípravě virtuálních hostitelů, kteří se stanou uzly hybridního zabezpečení dat, a to z 50 GB na 20 GB, aby odráželo velikost disku, který OVA vytvoří.

26. února 2019

Uzly hybridního zabezpečení dat nyní podporují šifrovaná připojení s databázovými servery PostgreSQL a šifrovaná protokolovací připojení k serveru syslog podporujícímu protokol TLS. Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS pomocí pokynů.
Cílové <UNK> byly odebrány z tabulky "Požadavky na připojení k internetu pro hybridní datové bezpečnostní uzly VMS". Tabulka nyní odkazuje na seznam udržovaný v tabulce „Další verze <UNK> pro hybridní služby Webex Teams“ obsahující síťové požadavky pro služby Webex Teams.

24. ledna 2019

5. listopadu 2018

Byl přidán předběžný krok k vyčištění všech existujících instancí ukotvičů HDS v části Vytvoření ISO konfigurace pro hostitele HDS a změna konfigurace uzlu.
Byl aktualizován krok úrovně přístupu klíče v části Vytvořit ISO konfigurace pro hostitele HDS tak, aby odpovídal rozhraní.

19. října 2018

V části Dokončete předpoklady pro hybridní zabezpečení dat rozdělte informace o připojení brány firewall do požadavků na uzel a požadavky na konfigurační počítač ISO.

31. července 2018

Byl přidán port 22 (přístup SSH) a informace o připojení NAT a brány firewall pro Dokončení předpokladů pro hybridní zabezpečení dat.

21. května 2018

Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:

Služba Cisco Spark Hybrid Data Security je nyní hybridní zabezpečení dat.
Aplikace Cisco Spark je nyní aplikací Webex.
Cloud Cisco Collaboraton je nyní cloudem Webex.

11. dubna 2018

Bylo přidáno pohotovostní datové centrum pro zotavení po havárii.
Aktualizováno Vyplňte předpoklady pro hybridní zabezpečení dat a zadejte, že záložní prostředí by mělo být v jiném datovém centru.
Aktualizováno obnovení po havárii pomocí datového centra v pohotovostním režimu.

22. února 2018

Byly přidány informace o heslu účtu služby po 9 měsících životnosti a pomocí nástroje Setup HDS k resetování hesel účtu služby v části Create a Configuration ISO for HDS Hosts and Change the Node Configuration.

15. února 2018

V tabulce Požadavky na certifikát X.509 bylo uvedeno, že certifikát nemůže být certifikátem zástupných znaků a že KMS používá doménu CN, nikoli doménu definovanou v polích x.509v3 SAN.

18. ledna 2018

Přidána příloha, Provoz mezi uzly HDS a cloudem.
Byl odebrán vyřešený problém ze známých problémů zabezpečení hybridních dat.
Byl změněn index.docker.io na *.docker.io a přidán *.cloudfront.net do seznamu požadavků na připojení TCP pro uzly HDS v části Dokončete předpoklady pro zabezpečení hybridních dat.
Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS , která indikuje, že pokud hostitel databáze a server Syslogd nejsou z uzlů HDS řešitelné DNS, musíte je nakonfigurovat pomocí adres IP.

2. listopadu 2017

Objasněna synchronizace adresáře skupiny H .
Opravené pokyny pro nahrání konfiguračního souboru ISO pro montáž do uzlů virtuálního počítače.

18. srpna 2017

První publikováno

Začínáme se zabezpečením hybridních dat

Přehled hybridního zabezpečení dat

Od prvního dne byla při navrhování aplikace Webex hlavním zaměřením na zabezpečení dat. Základním kamenem tohoto zabezpečení je šifrování obsahu mezi koncovými zařízeními, které umožňují klienti aplikace Webex interagující se službou správy klíčů (KMS). KMS je zodpovědný za vytváření a správu šifrovacích klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování mezi koncovými body pomocí dynamických klíčů uložených v cloudovém KMS v doméně zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související se zabezpečením do podnikového datového centra, takže nikdo kromě vás nedrží klíče k šifrovanému obsahu.

Architektura sféry zabezpečení

Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.

Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.
Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.
Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.
Zašifrovaná zpráva je uložena v doméně úložiště.

Spolupráce s jinými organizacemi

Očekávání ohledně nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:

Zabezpečené datové centrum v zemi, která je podporovaným místem pro plány aplikace Cisco Webex Teams.
Vybavení, software a přístup k síti popsané v části Prepare Your Environment.

Spravujte zálohování a obnovu databáze a konfigurační ISO.
Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.

Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:

Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.
V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.
Udržujte nasazení hybridního zabezpečení dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.
Seznamte se s běžnými výstrahami, kroky při řešení potíží a známými problémy– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.

Model nasazení hybridního zabezpečení dat

Model nasazení hybridního zabezpečení dat

Pro každou organizaci podporujeme pouze jeden cluster.

Zkušební režim hybridního zabezpečení dat

Pohotovostní datové centrum pro zotavení po havárii

Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.

Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server.

Nastavení datového centra pohotovostního režimu pro obnovení po havárii

Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:

Než začnete

Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, mělo by mít záložní prostředí 3 VMS. (Přehled tohoto modelu převzetí při selhání naleznete v pohotovostním datovém centru pro obnovení po havárii.)
Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

Soubor ISO musí být kopií původního souboru ISO primárního datového centra, do kterého mají být provedeny následující aktualizace konfigurace.

Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.


passiveMode: 'true'

Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.

Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.

Zkontrolujte syslogs a ověřte, zda jsou uzly v pasivním režimu. Měli byste mít možnost zobrazit zprávu „KMS nakonfigurován v pasivním režimu“ v syslogs.

Co dělat dál

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní inspekční a neinspekční proxy servery. Tyto proxy servery můžete propojit se svým nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Pro správu certifikátů a kontrolu celkového stavu připojení po nastavení proxy serveru v uzlech můžete použít rozhraní správce platformy v uzlech.

Uzly hybridního zabezpečení dat podporují následující možnosti proxy serveru:

Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není vyžadována žádná aktualizace certifikátu.
Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu.
Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V uzlech nejsou nutné žádné změny konfigurace protokolu HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS).
Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma použít. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:
1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.
2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.
3. Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:
  - HTTP – zobrazení a ovládání všech požadavků, které klient odesílá.
  - HTTPS – poskytuje kanál serveru. Klient obdrží a ověří certifikát serveru.
4. Typ ověření – vyberte si z následujících typů ověření:
  - Žádné – není vyžadováno žádné další ověření.
    
    K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
  - Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.
    
    K dispozici, pokud jako protokol proxy vyberete protokol HTTP nebo HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla do každého uzlu.
  - Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť.
    
    K dispozici pouze v případě, že jako protokol proxy vyberete protokol HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla do každého uzlu.

Příklad hybridních datových bezpečnostních uzlů a proxy serveru

Blokovaný režim externího rozlišení DNS (explicitní konfigurace proxy)

Připravte si prostředí

Požadavky na zabezpečení hybridních dat

Licenční požadavky služby Cisco Webex

Nasazení hybridního zabezpečení dat:

Musíte mít sadu Pro Pack pro centrum Cisco Webex Control Hub. (viz https://www.cisco.com/go/pro-pack.)

Požadavky na plochu docker

Před instalací uzlů HDS je třeba, aby Docker Desktop spustil instalační program. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro aplikaci Docker Desktop. Podrobnosti najdete na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat
Požadavek	Podrobnosti
Podepsáno důvěryhodnou certifikační autoritou (CA)	Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs.
Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat Není zástupným certifikátem	Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název, který odráží vaši organizaci, například `hds.company.com`. KN nesmí obsahovat znak * (zástupný znak). Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN. Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení.
Podpis bez SHA1	Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací.
Formátováno jako soubor PKCS č. 12 chráněný heslem Použít přátelský název `kms-private-key` pro označení certifikátu, soukromého klíče a všech mezilehlých certifikátů k nahrání.	Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL. Po spuštění instalačního nástroje HDS budete muset zadat heslo.

Požadavky virtuálního hostitele

Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:

Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru
VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.

Pokud máte starší verzi ESXi, musíte provést upgrade.
Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server

Požadavky na databázový server

Vytvořit novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze.

Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

Postgrexové SQL

Microsoft SQL Server

Postgresql 14, 15 nebo 16 je nainstalován a spuštěn.

Nainstalován SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

SQL Server 2016 vyžaduje aktualizaci Service Pack 2 a Cumulative Update 2 nebo novější.

Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:

Postgrexové SQL

Microsoft SQL Server

Postgres JDBC ovladač 42.2.5

SQL Server JDBC ovladač 4.6

Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On).

Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server

Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.
Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.
Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).
Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.

Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace	Protokol	Port	Směr z aplikace	Cíl
Uzly hybridního zabezpečení dat	TCP	443	Odchozí HTTPS a WSS	Servery Webex: .wbx2.com .ciscospark.com Všichni hostitelé Common Identity Další verze <UNK>, které jsou uvedeny pro zabezpečení hybridních dat v tabulce Další verze <UNK> pro hybridní služby Webex obsahující síťové požadavky pro služby Webex
Nástroj pro nastavení HDS	TCP	443	Odchozí protokol HTTPS	*.wbx2.com Všichni hostitelé Common Identity Docker (rozcestník)

Zkratky <UNK> pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:

Oblast	Hostitelé identity Common Identity
Jižní a Severní Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropská unie	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Požadavky na proxy server

Oficiálně podporujeme následující řešení proxy, která lze integrovat s vašimi uzly hybridního zabezpečení dat.

Transparentní proxy – Cisco Web Security Appliance (WSA).

Explicitní proxy – Squid.

Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:
- Žádné ověřování pomocí protokolu HTTP nebo HTTPS
- Základní ověřování pomocí protokolu HTTP nebo HTTPS
- Provést ověření pouze pomocí protokolu HTTPS
Pro transparentní kontrolu proxy serveru nebo explicitního proxy serveru HTTPS musíte mít kopii kořenového certifikátu proxy. Pokyny k nasazení v této příručce vám říkají, jak nahrát kopii do důvěryhodných úložišť uzlů zabezpečení hybridních dat.
Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí provoz TCP na portu 443 směrování přes proxy.
Proxy servery, které kontrolují webový provoz, mohou zasahovat do připojení webového soketu. Pokud k tomuto problému dojde, obejít (nekontrolovat) provoz na wbx2.com a ciscospark.com vyřeší problém.

Vyplňte předpoklady pro zabezpečení hybridních dat

Pomocí tohoto kontrolního seznamu se ujistěte, že jste připraveni nainstalovat a nakonfigurovat cluster hybridního zabezpečení dat.

Vytvořte databázi pro ukládání klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Po instalaci aplikace HDS vytvoří schéma databáze.)
Shromážďte podrobnosti, které uzly budou používat ke komunikaci s databázovým serverem:
- název hostitele nebo IP adresa (hostitel) a port
- název databáze (dbname) pro ukládání klíčů
- uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů

Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514).

Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení.

Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení.

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Nastavení hybridního datového bezpečnostního clusteru

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

Stáhněte soubor OVA do místního počítače pro pozdější použití.

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

Nastavení hybridního virtuálního počítače zabezpečení dat

Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.

Nastavení hybridního datového bezpečnostního clusteru

Dokončete nastavení klastru.

Spustit zkušební verzi a přesunout do výroby (další kapitola)

Dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že služba ještě nebyla aktivována.

Stáhnout instalační soubory

Přihlaste se ke službě https://admin.webex.com a klikněte na možnost Služby.

V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na tlačítko Nastavit.

Výběrem možnosti Ne označte, že jste uzel ještě nenastavili, a klikněte na tlačítko Další.

Soubor OVA se automaticky začne stahovat. Uložte soubor do umístění v počítači.

Volitelně klikněte na Otevřít příručku nasazení a zkontrolujte, zda je k dispozici novější verze této příručky.

Vytvoření ISO konfigurace pro hostitele HDS

Proces nastavení hybridního zabezpečení dat vytvoří soubor ISO. Systém ISO pak použijete ke konfiguraci hostitele zabezpečení hybridních dat.

Než začnete

Nástroj HDS Setup běží jako ukotvitelný kontejner na místním počítači. Pro přístup k němu spusťte Dockera na tom stroji. Proces nastavení vyžaduje pověření účtu centra Control Hub s plnými právy správce pro vaši organizaci.

Popis	Proměnná
HTTP proxy bez ověření	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS bez ověření	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s ověřením	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS s ověřením	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfigurační ISO soubor, který vytvoříte, obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Kdykoli provedete změny konfigurace, budete potřebovat nejnovější kopii tohoto souboru:
- Pověření databáze
- Aktualizace certifikátu
- Změny autorizačních zásad
Pokud plánujete šifrovat připojení k databázi, nastavte nasazení PostgreSQL nebo SQL Server pro TLS.

Na příkazové řádce počítače zadejte příslušný příkaz pro vaše prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stable

V prostředích RAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí obrázky předchozích instalačních nástrojů HDS. Pokud nejsou žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

Chcete-li se přihlásit do registru obrázků Docker, zadejte následující:

docker login -u hdscustomersro

Na výzvu k zadání hesla zadejte hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Stáhněte si nejnovější stabilní obraz pro vaše prostředí:

V běžném prostředí:

docker pull ciscocitg/hds-setup:stable

V prostředích RAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

V běžných prostředích bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V běžných prostředích s HTTP proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V běžném prostředí s proxy serverem HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V prostředích RAMP bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V prostředích RAMP s HTTP proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V prostředích RAMP <UNK> s proxy serverem HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, uvidíte "Express server listening on port 8080".

Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Chcete-li přejít na localhost, použijte webový prohlížeč http://127.0.0.1:8080 a na výzvu zadejte uživatelské jméno správce zákazníka pro prostředí Control Hub.

Nástroj použije toto první zadání uživatelského jména k nastavení správného prostředí pro daný účet. Nástroj poté zobrazí standardní výzvu k přihlášení.

Po výzvě zadejte přihlašovací údaje správce zákazníka centra Control Hub a poté klikněte na Přihlásit a povolte přístup k požadovaným službám pro zabezpečení hybridních dat.

Na stránce přehledu nástroje nastavení klikněte na možnost Začínáme.

Na stránce Import ISO máte tyto možnosti:

Ne – Pokud vytváříte první uzel HDS, nemáte k dispozici soubor ISO k nahrání.
Ano – Pokud jste již vytvořili uzly HDS, vyberte v prohlížení soubor ISO a nahrajte jej.

Zkontrolujte, zda váš certifikát X.509 splňuje požadavky uvedené v Požadavky na certifikát X.509.

Pokud jste nikdy předtím nenahráli certifikát, nahrajte certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.
Pokud je certifikát v pořádku, klikněte na tlačítko Pokračovat.
Pokud platnost certifikátu vypršela nebo jej chcete nahradit, vyberte možnost Ne pro Pokračovat v používání řetězce certifikátů HDS a soukromého klíče z předchozí normy ISO?. Nahrajte nový certifikát X.509, zadejte heslo a klikněte na tlačítko Pokračovat.

Zadejte adresu databáze a účet pro HDS pro přístup ke klíčovému datovému úložišti:

Vyberte typ databáze (PostgreSQL nebo Microsoft SQL Server).

Pokud zvolíte server Microsoft SQL Server, zobrazí se pole Typ ověřování.
(pouze Microsoft SQL Server) Vyberte typ ověření:
- Základní ověření: V poli Uživatelské jméno potřebujete název účtu místního serveru SQL.
- Ověření systému Windows: Potřebujete účet systému Windows ve formátu username@DOMAIN do pole Uživatelské jméno.
Zadejte adresu databázového serveru ve formuláři <hostname>:<port> nebo <IP-address>:<port>.

Příklad:
dbhost.example.org:1433 nebo 198.51.100.17:1433

Pokud uzly nemohou k vyřešení názvu hostitele použít server DNS, můžete použít adresu IP.

Pokud používáte ověřování systému Windows, musíte zadat plně kvalifikovaný název domény ve formátu dbhost.example.org:1433
Zadejte název databáze.
Zadejte uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložišť klíčů.

Vyberte režim připojení databáze TLS:

Režim

Popis

Upřednostnit TLS(výchozí volba)

Uzly HDS nevyžadují pro připojení k databázovému serveru protokol TLS. Pokud na databázovém serveru povolíte protokol TLS, uzly se pokusí o šifrované připojení.

Vyžadovat protokol TLS

Uzly HDS se připojují pouze v případě, že databázový server může vyjednávat protokol TLS.

Vyžadovat protokol TLS a ověřit podepisovatele certifikátu

Tento režim nelze použít pro databáze SQL Server.

Uzly HDS se připojují pouze v případě, že databázový server může vyjednávat protokol TLS.
Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel připojení upustí.

Pomocí ovládacího prvku Kořenový certifikát databáze pod rozevíracím rozevíracím seznamu nahrajte kořenový certifikát pro tuto možnost.

Vyžadovat protokol TLS a ověřit podepisovatele certifikátu a název hostitele

Uzly HDS se připojují pouze v případě, že databázový server může vyjednávat protokol TLS.
Po navázání připojení TLS uzel porovná podepisovatele certifikátu z databázového serveru s certifikační autoritou v kořenovém certifikátu databáze. Pokud se neshodují, uzel připojení upustí.
Uzly také ověřují, zda název hostitele v certifikátu serveru odpovídá názvu hostitele v poli Hostitel databáze a port. Názvy se musí přesně shodovat, jinak uzel připojení upustí.

Pomocí ovládacího prvku Kořenový certifikát databáze pod rozevíracím rozevíracím seznamu nahrajte kořenový certifikát pro tuto možnost.

Když nahrajete kořenový certifikát (v případě potřeby) a kliknete na Pokračovat, instalační nástroj HDS testuje připojení TLS k databázovému serveru. Nástroj také ověří podepisovatele certifikátu a jméno hostitele, pokud je to relevantní. Pokud test selže, nástroj zobrazí chybovou zprávu popisující problém. Můžete zvolit, zda chcete chybu ignorovat a pokračovat v nastavení. (Kvůli rozdílům v konektivitě mohou uzly HDS vytvořit připojení TLS, i když jej počítač HDS Setup Tool nemůže úspěšně otestovat.)

Na stránce Systémové protokoly nakonfigurujte server Syslogd:

Zadejte adresu URL serveru syslog.

Pokud server není z uzlů pro cluster HDS řešitelný server DNS, použijte adresu IP v adrese URL.

Příklad:
udp://10.92.43.23:514 označuje přihlášení k hostiteli Syslogd 10.92.43.23 na UDP portu 514.
Pokud jste nastavili server tak, aby používal šifrování TLS, zkontrolujte, zda je server syslog nakonfigurován pro šifrování SSL?.

Pokud zaškrtnete toto políčko, ujistěte se, že zadáte adresu URL TCP, například tcp://10.92.43.23:514.
V rozevíracím seznamu Choose syslog record termination (Ukončení záznamu syslog) zvolte příslušné nastavení pro váš soubor ISO: Vyberte nebo Newline je použit pro Graylog a Rsyslog TCP
- Nulový bajt -- \x00
- Newline -- \n– Vyberte tuto volbu pro Graylog a Rsyslog TCP.
Klikněte na tlačítko Pokračovat.

app_datasource_connection_pool_maxSize: 10

Na obrazovce Resetovat heslo účtů služby klikněte na tlačítko Pokračovat.

Hesla k účtu služby mají životnost devět měsíců. Tuto obrazovku použijte, když se vaše hesla blíží vypršení platnosti nebo je chcete resetovat a zneplatnit předchozí soubory ISO.

Klikněte na možnost Stáhnout soubor ISO. Uložte soubor do umístění, které lze snadno najít.

17 (číslo)

Vytvořte záložní kopii souboru ISO v místním systému.

Chcete-li nástroj Nastavení vypnout, zadejte CTRL+C.

Co dělat dál

Nikdy nemáme kopii tohoto klíče a nemůžeme pomoci, pokud ho ztratíte.

Instalace HDS Host OVA

Tento postup použijte k vytvoření virtuálního počítače ze souboru OVA.

Přihlaste se k virtuálnímu hostiteli ESXI pomocí klienta VMware vSphere v počítači.

Vyberte Soubor > Nasazení šablony OVF.

V průvodci zadejte umístění souboru OVA, který jste stáhli dříve, a klikněte na tlačítko Další.

Platí pro Vybrat výpočetní prostředek stránka, vyberte cílový výpočetní zdroj a klikněte na Další.

Probíhá kontrola ověření. Po dokončení se zobrazí podrobnosti o šabloně.

Ověřte podrobnosti o šabloně a klikněte na tlačítko Další.

Pokud budete vyzváni, abyste zvolili konfiguraci prostředků v Konfigurace stránka, klepněte na 4 PROCESORŮ a potom klepněte na Další.

Platí pro Vybrat úložiště stránka, klepněte na Další přijmout výchozí formát disku a zásady úložiště virtuálního počítače.

Platí pro Vybrat sítě, vyberte ze seznamu záznamů možnost sítě, abyste zajistili požadované připojení ke virtuálnímu počítači.

Na stránce Přizpůsobit šablonu nakonfigurujte následující nastavení sítě:

Název hostitele – zadejte název FQDN (název hostitele a doména) nebo název hostitele jednoho slova pro uzel.

Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.
Chcete-li zajistit úspěšnou registraci do cloudu, používejte pouze malá písmena v názvu FQDN nebo názvu hostitele, který jste pro uzel nastavili. Kapitalizace není v tuto chvíli podporována.
Celková délka čísla FQDN nesmí překročit 64 znaků.

Adresa IP– Zadejte adresu IP interního rozhraní uzlu.

Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.
Maska – Zadejte adresu masky podsítě do tečkového desetinného zápisu. Například 255.255.255.0.
Brána – zadejte adresu IP brány. Brána je síťový uzel, který slouží jako přístupový bod k jiné síti.
Servery DNS – Zadejte seznam serverů DNS oddělených čárkami, které zpracovávají překlad názvů domén na číselné adresy IP. (Povoleny jsou až 4 DNS záznamy.)
Servery NTP – Zadejte server NTP vaší organizace nebo jiný externí server NTP, který lze použít ve vaší organizaci. Výchozí servery NTP nemusí fungovat pro všechny podniky. K zadání více serverů NTP můžete také použít seznam oddělený čárkami.

Nasaďte všechny uzly do stejné podsítě nebo sítě VLAN, aby byly všechny uzly v clusteru dosažitelné od klientů v síti pro administrativní účely.

Pokud chcete, můžete konfiguraci nastavení sítě přeskočit a podle kroků v části Nastavení hybridního virtuálního počítače zabezpečení dat nakonfigurovat nastavení z konzole uzlu.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

Klikněte pravým tlačítkem myši na virtuální počítač uzlu a vyberte možnost (ROZCESTNÍK) Napájení > Zapnutí napájení.

Software Hybrid Data Security je nainstalován jako host na VM Host. Nyní jste připraveni přihlásit se ke konzoli a nakonfigurovat uzel.

Tipy pro řešení potíží

Nastavení hybridního virtuálního počítače zabezpečení dat

1	V klientovi VMware vSphere vyberte VM uzlu hybridního zabezpečení dat a vyberte kartu Konzola. Virtuální počítač se spustí a zobrazí se výzva k přihlášení. Pokud se výzva k přihlášení nezobrazí, stiskněte tlačítko Enter.
2	K přihlášení a změně přihlašovacích údajů použijte následující výchozí přihlašovací údaje a heslo: Přihlášení: `admin` Heslo: `cisco` Jelikož se k virtuálnímu počítači přihlašujete poprvé, musíte změnit heslo správce.
3	Pokud jste již nakonfigurovali nastavení sítě v části Instalace HDS Host OVA, přeskočte zbytek tohoto postupu. V opačném případě v hlavní nabídce zvolte možnost Upravit konfiguraci.
4	Nastavte statickou konfiguraci s adresou IP, maskou, bránou a informacemi DNS. Uzel by měl mít interní IP adresu a název DNS. Protokol DHCP není podporován.
5	(Volitelně) V případě potřeby změňte název hostitele, doménu nebo serveru NTP, aby odpovídaly zásadám sítě. Doménu nemusíte nastavovat tak, aby odpovídala doméně, kterou jste použili k získání certifikátu X.509.
6	Uložte konfiguraci sítě a restartujte virtuální počítač, aby se změny projevily.

Nahrát a připojit ISO konfigurace HDS

Tento postup použijte ke konfiguraci virtuálního počítače ze souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Než začnete

Nahrajte soubor ISO z počítače:

V levém navigačním podokně klienta VMware vSphere klikněte na server ESXi.
V seznamu Hardware na kartě Konfigurace klikněte na možnost Úložiště.
V seznamu Datastores klikněte pravým tlačítkem na datastore pro vaše VMS a klikněte na Procházet datastore.
Klikněte na ikonu Nahrát soubory a potom na možnost Nahrát soubor.
Přejděte na umístění, kde jste soubor ISO stáhli do počítače, a klikněte na Otevřít.
Kliknutím na tlačítko Ano přijmete upozornění na operaci nahrávání/stahování a zavřete dialogové okno datové schránky.

Připojit soubor ISO:

V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.
Kliknutím na tlačítko OK přijmete upozornění na omezené možnosti úprav.
Klikněte CD/DVD Drive 1, vyberte možnost, kterou chcete připojit ze souboru ISO datastore, a přejděte na umístění, kam jste nahráli konfigurační soubor ISO.
Zkontrolujte Připojeno a Připojit je zapnuto.
Uložte změny a restartujte virtuální počítač.

Co dělat dál

Pokud vaše zásady IT vyžadují, můžete volitelně odpojit soubor ISO poté, co všechny uzly zaznamenají změny konfigurace. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

Konfigurace uzlu HDS pro integraci proxy serveru

Než začnete

Přehled podporovaných možností proxy serveru najdete v části Podpora proxy.
Požadavky na proxy server

1	Zadejte adresu URL nastavení uzlu HDS `https://[HDS Node IP or FQDN]/setup` ve webovém prohlížeči zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a klikněte na Přihlásit se.
2	Přejděte do Úložiště důvěryhodných certifikátů a proxy a vyberte možnost: Žádný proxy – výchozí možnost před integrací proxy serveru. Není vyžadována žádná aktualizace certifikátu. Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a neměly by vyžadovat žádné změny pro práci s nekontrolovaným proxy serverem. Není vyžadována žádná aktualizace certifikátu. Transparentní kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. V nasazení hybridního zabezpečení dat nejsou nutné žádné změny konfigurace HTTPS, uzly HDS však potřebují kořenový certifikát, aby mohly serveru proxy důvěřovat. Kontrola proxy serverů je obvykle používána IT k prosazování zásad, na kterých lze webové stránky navštěvovat a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý provoz (dokonce i protokol HTTPS). Explicitní proxy – U explicitního proxy řeknete klientovi (uzlům HDS), který proxy server má používat, a tato možnost podporuje několik typů ověřování. Po zvolení této možnosti musíte zadat následující informace: IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz. Protokol proxy – zvolte http (zobrazení a ovládá všechny požadavky přijaté od klienta) nebo https (poskytuje serveru kanál a klient přijme a ověří certifikát serveru). Vyberte možnost podle toho, co váš proxy server podporuje. Typ ověření – vyberte si z následujících typů ověření: Žádné – není vyžadováno žádné další ověření. K dispozici pro proxy servery HTTP nebo HTTPS. Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64. K dispozici pro proxy servery HTTP nebo HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Digest – slouží k potvrzení účtu před odesláním citlivých informací. Použije funkci hash na uživatelské jméno a heslo před odesláním přes síť. Dostupné pouze pro proxy servery HTTPS. Pokud zvolíte tuto možnost, musíte také zadat uživatelské jméno a heslo. Postupujte podle následujících kroků pro transparentní kontrolu proxy serveru, explicitní proxy server HTTP se základním ověřením nebo explicitní proxy server HTTPS.
3	Klikněte na možnost Nahrát kořenový certifikát nebo certifikát koncového subjektu a přejděte na volbu kořenového certifikátu proxy. Certifikát je nahrán, ale ještě není nainstalován, protože chcete-li certifikát nainstalovat, musíte uzel restartovat. Chcete-li získat další podrobnosti, klikněte na šipku šipky vedle názvu vydavatele certifikátu nebo klikněte na Odstranit, pokud jste udělali chybu a chcete soubor znovu nahrát.
4	Kliknutím na možnost Zkontrolovat připojení proxy otestujte síťové připojení mezi uzlem a proxy. Pokud test připojení selže, zobrazí se chybová zpráva, která ukazuje důvod a způsob, jak problém opravit. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS. Tato podmínka se očekává v mnoha explicitních konfiguracích proxy serveru. Můžete pokračovat v nastavení a uzel bude fungovat v režimu Blokované externí rozlišení DNS. Pokud si myslíte, že se jedná o chybu, proveďte tyto kroky a pak se podívejte na Vypnout režim externího rozlišení DNS.
5	Po ověření připojení u explicitního serveru proxy nastaveného pouze na https zapněte přepínač na Směrovat všechny požadavky portů 443/444 https z tohoto uzlu přes explicitní server proxy. Zavedení tohoto nastavení vyžaduje 15 sekund.
6	Klikněte na Instalovat všechny certifikáty do úložiště důvěryhodných certifikátů (zobrazí se u explicitního proxy serveru HTTPS nebo průhledného inspekčního proxy serveru) nebo Restartovat (zobrazí se u explicitního proxy serveru HTTP), přečtěte si výzvu a klikněte na Instalovat , pokud jste připraveni. Uzel se restartuje během několika minut.
7	Po restartování uzlu se v případě potřeby znovu přihlaste a poté otevřete stránku Přehled a zkontrolujte kontroly připojení, zda jsou všechny v zeleném stavu. Kontrola připojení proxy testuje pouze subdoménu webex.com. Pokud se vyskytnou problémy s připojením, častým problémem je, že některé cloudové domény uvedené v instalačních pokynech jsou na serveru proxy blokovány.

Registrace prvního uzlu v clusteru

Při registraci prvního uzlu vytvoříte cluster, ke kterému je uzel přiřazen. Cluster obsahuje jeden nebo více uzlů nasazených k zajištění redundance.

Než začnete

Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

1	Přihlaste se k https://admin.webex.com.
2	V nabídce na levé straně obrazovky vyberte možnost Služby.
3	V části Hybridní služby vyhledejte hybridní zabezpečení dat a klikněte na možnost Nastavit. Zobrazí se stránka Registrovat hybridní datový bezpečnostní uzel.
4	Výběrem možnosti Ano označte, že jste uzel nastavili a jste připraveni jej zaregistrovat, a klikněte na tlačítko Další.
5	V prvním poli zadejte název clusteru, ke kterému chcete přiřadit hybridní datový bezpečnostní uzel. Doporučujeme pojmenovat cluster podle toho, kde se uzly clusteru nacházejí geograficky. Příklady: "San Francisco" nebo "New York" nebo "Dallas"
6	Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Tato IP adresa nebo FQDN by se měla shodovat s IP adresou nebo názvem hostitele a doménou, které jste použili v Set the Hybrid Data Security VM. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do služby Webex.
7	Klikněte na možnost Přejít do uzlu.
8	Ve zprávě upozornění klikněte na možnost Pokračovat. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete organizaci Webex udělit oprávnění pro přístup k vašemu uzlu.
9	Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex.
10	Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Na stránce Zabezpečení hybridních dat se zobrazí nový cluster obsahující registrovaný uzel. Uzel automaticky stáhne nejnovější software z cloudu.

Vytvoření a registrace dalších uzlů

Než začnete

Jakmile zahájíte registraci uzlu, musíte ji dokončit do 60 minut nebo musíte začít znovu.
Ujistěte se, že všechny blokující vyskakovací okna ve vašem prohlížeči jsou zakázány nebo že povolíte výjimku pro admin.webex.com.

1	Vytvořte nový virtuální počítač z OVA a opakujte kroky v části Instalace hostitele HDS.
2	Nastavte počáteční konfiguraci nového virtuálního počítače a opakujte kroky v části Nastavení hybridního virtuálního počítače zabezpečení dat.
3	Na novém virtuálním počítači opakujte kroky v části Nahrát a připojit ISO konfigurace HDS.
4	Pokud nastavujete server proxy pro své nasazení, opakujte kroky v části Konfigurace uzlu HDS pro integraci serveru proxy podle potřeby pro nový uzel.
5	Zaregistrujte uzel. V části https://admin.webex.com v nabídce na levé straně obrazovky vyberte možnost Služby. V části Hybridní služby vyhledejte kartu zabezpečení hybridních dat a klikněte na možnost Zdroje. Zobrazí se stránka Zdroje hybridního zabezpečení dat. Klikněte na možnost Přidat zdroj. V prvním poli vyberte název stávajícího clusteru. Do druhého pole zadejte interní IP adresu nebo plně kvalifikovaný název domény (FQDN) uzlu a klikněte na Další. Zobrazí se zpráva označující, že můžete svůj uzel zaregistrovat do cloudu Webex. Klikněte na možnost Přejít do uzlu. Po několika okamžicích budete přesměrováni na testy připojení uzlu pro služby Webex. Pokud jsou všechny testy úspěšné, zobrazí se stránka Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu. Zde potvrzujete, že chcete své organizaci udělit oprávnění pro přístup k vašemu uzlu. Zaškrtněte políčko Povolit přístup k hybridnímu datovému bezpečnostnímu uzlu a klikněte na tlačítko Pokračovat. Váš účet je ověřen a zpráva „Dokončení registrace“ značí, že váš uzel je nyní zaregistrován do cloudu Webex. Kliknutím na odkaz nebo zavřete kartu se vrátíte na stránku zabezpečení hybridních dat prostředí Control Hub. Váš uzel je zaregistrován. Povšimněte si, že dokud nezahájíte zkušební verzi, vaše uzly vygenerují výstrahu indikující, že vaše služba ještě nebyla aktivována.

Co dělat dál

Spustit zkušební verzi a přesunout do výroby (další kapitola)

Spustit zkušební verzi a přejít do výroby

Zkušební postup do výroby

Než začnete

1	Pokud je to relevantní, synchronizujte `HdsTrialGroup` skupinový objekt. Pokud vaše organizace používá synchronizaci adresářů pro uživatele, musíte vybrat `HdsTrialGroup` před spuštěním zkušební verze seskupte objekt pro synchronizaci do cloudu. Pokyny naleznete v Průvodci nasazením konektoru adresáře Cisco.
2	Aktivovat zkušební verzi Začněte zkušební verzi. Dokud tuto úlohu neuskutečníte, vaše uzly vygenerují výstrahu indikující, že služba ještě není aktivována.
3	Otestujte nasazení hybridního zabezpečení dat Zkontrolujte, zda jsou požadavky klíčů předávány vašemu nasazení hybridního zabezpečení dat.
4	Monitorovat zdraví hybridního zabezpečení dat Zkontrolujte stav a nastavte e-mailová oznámení pro výstrahy.
5	Přidání nebo odebrání uživatelů ze zkušební verze
6	Dokončete zkušební fázi jedním z následujících kroků: Přejít ze zkušební verze do výroby Ukončete zkušební verzi bez přechodu do výroby

Aktivovat zkušební verzi

Než začnete

1	Přihlaste se ke službě https://admin.webex.com a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Stav služby klikněte na možnost Zahájit zkušební verzi. Stav služby se změní na zkušební režim.
4	Klikněte na možnost Přidat uživatele a zadejte e-mailovou adresu jednoho nebo více uživatelů, abyste mohli pilotovat používání uzlů zabezpečení hybridních dat pro šifrování a indexování služeb. (Pokud vaše organizace používá synchronizaci adresářů, ke správě zkušební skupiny použijte službu Active Directory, `HdsTrialGroup`.)

Otestujte nasazení hybridního zabezpečení dat

Tento postup použijte k testování scénářů šifrování hybridního zabezpečení dat.

Než začnete

Nastavte nasazení hybridního zabezpečení dat.
Zkušební verzi aktivujte a přidejte několik zkušebních uživatelů.
Ujistěte se, že máte přístup k syslog a ověřte, že požadavky klíčů jsou předávány vašemu nasazení hybridního zabezpečení dat.

Odeslat zprávy do nového prostoru.

Zkontrolujte výstup syslog a ověřte, zda jsou požadavky klíče předávány vašemu nasazení hybridního zabezpečení dat.

Chcete-li zkontrolovat, zda uživatel nejprve vytváří zabezpečený kanál k KMS, filtrovat na kms.data.method=create a kms.data.type=EPHEMERAL_KEY_COLLECTION:

Měli byste najít například následující položky (identifikátory zkrácené pro čitelnost):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Chcete-li zkontrolovat uživatele, který žádá o existující klíč z KMS, filtrování zapnuto kms.data.method=retrieve a kms.data.type=KEY:

Měli byste najít například:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Chcete-li zkontrolovat uživatele požadujícího vytvoření nového klíče KMS, filtrování zapnuto kms.data.method=create a kms.data.type=KEY_COLLECTION:

Měli byste najít například:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Měli byste najít například:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitorovat zdraví hybridního zabezpečení dat

1	V prostředí Control Hub vyberte z nabídky na levé straně obrazovky možnost Služby.
2	V části Hybridní služby vyhledejte Zabezpečení hybridních dat a klikněte na Nastavení. Zobrazí se stránka Nastavení zabezpečení hybridních dat.
3	V části E-mailová oznámení zadejte jednu nebo více e-mailových adres oddělených čárkami a stiskněte tlačítko Enter.

Přidání nebo odebrání uživatelů ze zkušební verze

Po aktivaci zkušební verze a přidání počáteční sady zkušebních uživatelů můžete členy zkušební verze přidat nebo odebrat kdykoli, když je zkušební verze aktivní.

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Zkušební režim v oblasti Stav služby klikněte na možnost Přidat uživatele nebo kliknutím na možnost Zobrazit a upravit odeberte uživatele ze zkušební verze.
4	Zadejte e-mailovou adresu jednoho nebo více uživatelů, které chcete přidat, nebo kliknutím na tlačítko X podle ID uživatele odeberte uživatele ze zkušební verze. Poté klikněte na tlačítko Save.

Přejít ze zkušební verze do výroby

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Stav služby klikněte na možnost Přesunout do výroby.
4	Potvrďte, že chcete přesunout všechny uživatele do výroby.

Ukončete zkušební verzi bez přechodu do výroby

1	Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
2	V části Zabezpečení hybridních dat klikněte na možnost Nastavení.
3	V části Deaktivovat klikněte na možnost Deaktivovat.
4	Potvrďte, že chcete službu deaktivovat a zkušební verzi ukončit.

Správa nasazení HDS

Spravovat nasazení HDS

Pomocí zde popsaných úloh můžete spravovat nasazení hybridního zabezpečení dat.

Nastavit plán upgradu clusteru

Nastavení plánu upgradu:

1	Přihlaste se do prostředí Control Hub.
2	Na stránce Přehled v části Hybridní služby vyberte možnost Hybridní zabezpečení dat.
3	Na stránce Prostředky zabezpečení hybridních dat vyberte cluster.
4	Na panelu Přehled vpravo v části Nastavení clusteru vyberte název clusteru.
5	Na stránce Nastavení v části Upgrade vyberte čas a časové pásmo pro plán upgradu. Poznámka: V časovém pásmu se zobrazí další dostupné datum a čas upgradu. V případě potřeby můžete upgrade odložit na následující den kliknutím na tlačítko Odložit.

Změna konfigurace uzlu

Občas může být nutné změnit konfiguraci hybridního datového bezpečnostního uzlu z těchto důvodů:

Změna certifikátů x.509 z důvodu vypršení platnosti nebo z jiných důvodů.

Změnu názvu domény CN certifikátu nepodporujeme. Doména musí odpovídat původní doméně použité k registraci clusteru.

Aktualizace nastavení databáze pro změnu na repliku databáze PostgreSQL nebo Microsoft SQL Server.

Migraci dat z PostgreSQL na Microsoft SQL Server nepodporujeme. Chcete-li přepnout databázové prostředí, spusťte nové nasazení hybridního zabezpečení dat.

Vytvoření nové konfigurace pro přípravu nového datového centra.

Hybridní zabezpečení dat také z bezpečnostních důvodů používá hesla k účtu služby, která mají devítiměsíční životnost. Jakmile nástroj HDS Setup vygeneruje tato hesla, nasadíte je do každého uzlu HDS v konfiguračním souboru ISO. Když se blíží vypršení platnosti hesel vaší organizace, obdržíte od týmu Webex oznámení o obnovení hesla pro váš účet počítače. (E-mail obsahuje text „Použijte rozhraní API účtu počítače k aktualizaci hesla.“) Pokud vaše hesla ještě nevypršela, nástroj nabízí dvě možnosti:

Měkké reset– Staré i nové heslo fungují až 10 dní. Toto období použijte k postupnému nahrazení souboru ISO na uzlech.
Tvrdé reset – stará hesla okamžitě přestanou fungovat.

Pokud platnost hesel vyprší bez resetování, ovlivní to službu HDS, což vyžaduje okamžitý tvrdý resetování a výměnu souboru ISO ve všech uzlech.

Pomocí tohoto postupu vygenerujte nový konfigurační soubor ISO a použijte jej na cluster.

Než začnete

Popis	Proměnná
HTTP proxy bez ověření	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS bez ověření	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy s ověřením	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS s ověřením	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

K vygenerování nové konfigurace potřebujete kopii aktuálního ISO souboru. ISO obsahuje hlavní klíč šifrovající databázi PostgreSQL nebo Microsoft SQL Server. Při provádění změn konfigurace, včetně pověření databáze, aktualizací certifikátů nebo změn zásad autorizace, budete potřebovat ISO.

Pomocí Dockeru na místním počítači spusťte instalační nástroj HDS.

Na příkazové řádce počítače zadejte příslušný příkaz pro vaše prostředí:

V běžném prostředí:

docker rmi ciscocitg/hds-setup:stable

V prostředích RAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Tento krok vyčistí obrázky předchozích instalačních nástrojů HDS. Pokud nejsou žádné předchozí obrázky, vrátí chybu, kterou můžete ignorovat.

Chcete-li se přihlásit do registru obrázků Docker, zadejte následující:
```
docker login -u hdscustomersro
```
Na výzvu k zadání hesla zadejte hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Stáhněte si nejnovější stabilní obraz pro vaše prostředí:

V běžném prostředí:

docker pull ciscocitg/hds-setup:stable

V prostředích RAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Ujistěte se, že jste vytáhli nejnovější instalační nástroj pro tento postup. Verze nástroje vytvořené před 22. únorem 2018 nemají obrazovky pro resetování hesla.

Po dokončení tahu zadejte příslušný příkaz pro vaše prostředí:

V běžných prostředích bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V běžných prostředích s HTTP proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V běžném prostředí s proxy serverem <UNK>:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V prostředích RAMP bez proxy serveru:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V prostředích RAMP s HTTP proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V prostředích RAMP <UNK> s proxy serverem HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Když je kontejner spuštěn, uvidíte "Express server listening on port 8080".

K připojení k místnímu hostiteli použijte prohlížeč, http://127.0.0.1:8080.

Instalační nástroj nepodporuje připojení k localhost přes http://localhost:8080. Použijte http://127.0.0.1:8080 pro připojení k místnímu hostiteli.

Po výzvě zadejte přihlašovací údaje zákazníka centra Control Hub a pokračujte kliknutím na Přijmout.
Importovat aktuální konfigurační ISO soubor.
Podle pokynů dokončete nástroj a stáhněte aktualizovaný soubor.

Chcete-li nástroj Nastavení vypnout, zadejte CTRL+C.
Vytvořte záložní kopii aktualizovaného souboru v jiném datovém centru.

Pokud máte spuštěný pouze jeden uzel HDS, vytvořte nový virtuální počítač hybridního datového bezpečnostního uzlu a zaregistrujte jej pomocí nového konfiguračního souboru ISO. Podrobnější pokyny naleznete v tématu Vytvoření a registrace dalších uzlů.

Nainstalujte adresu OVA hostitele HDS.
Nastavte virtuální počítač HDS.
Připojit aktualizovaný konfigurační soubor.
Zaregistrujte nový uzel v prostředí Control Hub.

Pro stávající uzly HDS, ve kterých je spuštěn starší konfigurační soubor, připojte soubor ISO. U každého uzlu proveďte postupně následující postup, před vypnutím dalšího uzlu aktualizujte každý uzel:

Vypněte virtuální počítač.
V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení.
Klikněte CD/DVD Drive 1, vyberte možnost pro připojení ze souboru ISO a přejděte na umístění, kam jste stáhli nový konfigurační soubor ISO.
Zkontrolujte, zda Připojení je zapnuto.
Uložte změny a napájení ve virtuálním počítači.

Opakováním kroku 3 nahraďte konfiguraci na každém zbývajícím uzlu, na kterém je spuštěna stará konfigurace.

Vypnout blokovaný režim externího rozlišení DNS

Pokud jsou vaše uzly schopny vyřešit veřejné názvy DNS prostřednictvím interních serverů DNS, můžete tento režim vypnout opětovným spuštěním testu připojení proxy na každém uzlu.

Než začnete

Ujistěte se, že interní servery DNS mohou vyřešit veřejné názvy DNS a že s nimi mohou vaše uzly komunikovat.

1	Ve webovém prohlížeči otevřete rozhraní hybridního datového bezpečnostního uzlu (například adresa IP/nastavení https://192.0.2.0/setup), zadejte přihlašovací údaje správce, které jste pro daný uzel nastavili, a potom klikněte na Přihlásit se.
2	Přejděte na Přehled (výchozí stránka). Je-li tato možnost povolena, blokované externí rozlišení DNS je nastaveno na Ano.
3	Přejděte na stránku Úložiště důvěryhodných certifikátů a proxy.
4	Klikněte na možnost Zkontrolovat připojení proxy. Pokud se zobrazí zpráva, že externí rozlišení DNS nebylo úspěšné, uzel se nemohl dostat k serveru DNS a zůstane v tomto režimu. V opačném případě by po restartování uzlu a návratu na stránku Přehled mělo být Blokované externí rozlišení DNS nastaveno na hodnotu No.

Co dělat dál

Opakujte test připojení proxy na každém uzlu v clusteru hybridního zabezpečení dat.

Odebrat uzel

Pomocí klienta VMware vSphere v počítači se přihlaste k virtuálnímu hostiteli ESXi a vypněte virtuální počítač.

Odstranit uzel:

Přihlaste se do prostředí Control Hub a vyberte možnost Služby.
Na kartě zabezpečení hybridních dat kliknutím na možnost Zobrazit vše zobrazíte stránku Zdroje zabezpečení hybridních dat.
Výběrem clusteru zobrazíte jeho panel Přehled.
Klikněte na možnost Otevřít seznam uzlů.
Na kartě Uzly vyberte uzel, který chcete odebrat.
Klepněte na tlačítko Akce > Zrušit registraci uzlu.

V klientovi vSphere odstraňte virtuální počítač. (V levém navigačním podokně klikněte pravým tlačítkem na virtuální počítač a klikněte na Odstranit.)

Pokud virtuální počítač neodstraníte, nezapomeňte odpojit konfigurační soubor ISO. Bez souboru ISO nemůžete ke svým bezpečnostním datům použít virtuální počítač.

Zotavení po havárii pomocí pohotovostního datového centra

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení.

Na stránce Rozšířená nastavení přidejte níže konfiguraci nebo odeberte passiveMode konfigurace, aby byl uzel aktivní. Jakmile je uzel nakonfigurován, může zpracovávat provoz.


passiveMode: 'false'

Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.

Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.

Zkontrolujte výstup syslog a ověřte, že uzly pohotovostního datového centra nejsou v pasivním režimu. „KMS nakonfigurováno v pasivním režimu“ se nesmí zobrazovat v syslogs.

Co dělat dál

(Volitelně) Odpojit ISO po konfiguraci HDS

Než začnete

Upgradujte všechny své uzly HDS na verzi 2021.01.22.4720 nebo novější.

1	Vypněte jeden z vašich HDS uzlů.
2	Ve vCenter Server Appliance vyberte uzel HDS.
3	Vybrat Upravit nastavení > jednotka CD/DVD a zrušit zaškrtnutí souboru ISO datastore.
4	Zapněte uzel HDS a zajistěte, aby nedošlo k poplachu alespoň 20 minut.
5	Opakujte postupně pro každý uzel HDS.

Řešení potíží se zabezpečením hybridních dat

Zobrazení upozornění a řešení potíží

Nové prostory nelze vytvořit (nelze vytvořit nové klíče)
Zprávy a názvy prostorů se nepodařilo dešifrovat pro:
- Do prostoru byli přidáni noví uživatelé (nelze načíst klíče)
- Stávající uživatelé v prostoru používající nového klienta (nelze načíst klíče)
Stávající uživatelé v prostoru budou pokračovat úspěšně v běhu, dokud budou mít jejich klienti mezipaměť šifrovacích klíčů.

Je důležité, abyste správně monitorovali cluster hybridního zabezpečení dat a neprodleně řešili veškerá upozornění, abyste zabránili přerušení služby.

Výstrahy

Tabulka 1. Společné problémy a kroky k jejich vyřešení
Upozorňovat	Akce
Přístup k místní databázi selhal.	Zkontrolujte chyby databáze nebo problémy s místní sítí.
Připojení k místní databázi selhalo.	Zkontrolujte, zda je databázový server dostupný a v konfiguraci uzlu byly použity správné přihlašovací údaje účtu služby.
Přístup ke cloudové službě selhal.	Zkontrolujte, zda mají uzly přístup k serverům Webex, jak je uvedeno v požadavcích na externí připojení.
Obnovování registrace cloudových služeb.	Registrace ke cloudovým službám byla zrušena. Probíhá obnova registrace.
Registrace cloudových služeb byla přerušena.	Registrace ke cloudovým službám byla ukončena. Služba se vypíná.
Služba ještě nebyla aktivována.	Aktivujte zkušební verzi nebo dokončete přesun zkušební verze do výroby.
Nakonfigurovaná doména neodpovídá certifikátu serveru.	Ujistěte se, že certifikát serveru odpovídá nakonfigurované doméně aktivace služby. Nejpravděpodobnější příčinou je, že kód CN certifikátu byl nedávno změněn a nyní se liší od kódu CN, který byl použit při počátečním nastavení.
Ověření ke cloudovým službám se nezdařilo.	Zkontrolujte přesnost a případné vypršení pověření účtu služby.
Nepodařilo se otevřít místní soubor úložiště klíčů.	Zkontrolujte integritu a přesnost hesla v místním souboru úložiště klíčů.
Certifikát místního serveru je neplatný.	Zkontrolujte datum vypršení platnosti certifikátu serveru a potvrďte, že byl vydán důvěryhodnou certifikační autoritou.
Nelze odeslat metriky.	Zkontrolujte přístup k externím cloudovým službám v místní síti.
Adresář /media/configudrive/hds neexistuje.	Zkontrolujte konfiguraci připojení ISO na virtuálním hostiteli. Ověřte, zda soubor ISO existuje, zda je nakonfigurován pro připojení při restartu a zda se úspěšně připojuje.

Řešení potíží se zabezpečením hybridních dat

Při řešení problémů s hybridním zabezpečením dat použijte následující obecné pokyny.

1	Zkontrolujte prostředí Control Hub a opravte všechny výstrahy, které tam najdete.
2	Zkontrolujte výstup serveru syslog pro aktivitu z nasazení hybridního zabezpečení dat.
3	Kontaktujte podporu společnosti Cisco.

Ostatní poznámky

Známé problémy zabezpečení hybridních dat

Pokud vypnete cluster hybridního zabezpečení dat (odstraněním v centru Control Hub nebo vypnutím všech uzlů), ztratíte konfigurační soubor ISO nebo ztratíte přístup k databázi úložiště klíčů, uživatelé aplikace Webex již nebudou moci používat prostory v seznamu lidí vytvořené pomocí klíčů z vašeho KMS. To platí jak pro zkušební, tak pro výrobní nasazení. V současné době nemáme řešení ani řešení tohoto problému a vyzýváme vás, abyste své služby HDS nevypnuli, jakmile budou zpracovávat aktivní uživatelské účty.
Klient, který má stávající připojení ECDH k KMS, toto připojení udržuje po určitou dobu (pravděpodobně jednu hodinu). Když se uživatel stane členem zkušební verze hybridního zabezpečení dat, klient uživatele bude nadále používat stávající připojení ECDH až do vypršení časového limitu. Případně se uživatel může odhlásit a znovu přihlásit do aplikace Webex a aktualizovat umístění, které aplikace kontaktuje pro šifrovací klíče.

Ke stejnému chování dochází, když přesunete zkušební verzi do výroby pro organizaci. Všichni nezkušební uživatelé s existujícím připojením ECDH k předchozím službám zabezpečení dat budou tyto služby nadále používat, dokud nebude znovu projednáno připojení ECDH (přes časový limit nebo odhlášením a opětovným připojením).

K vygenerování souboru PKCS12 použijte OpenSSL

Než začnete

OpenSSL je nástroj, který lze použít k vytvoření souboru PKCS12 ve správném formátu pro načtení v HDS Setup Tool. Existují i jiné způsoby, jak to udělat, a my nepodporujeme ani nepropagujeme jeden způsob před druhým.
Pokud se rozhodnete používat OpenSSL, poskytneme vám tento postup jako vodítko, které vám pomůže vytvořit soubor, který splňuje požadavky na certifikát X.509 v části X.509 Certificate Requirements. Než budete pokračovat, pochopte tyto požadavky.
Nainstalovat OpenSSL v podporovaném prostředí. Software a dokumentaci najdete v části https://www.openssl.org.
Vytvořte soukromý klíč.
Tento postup spusťte, když obdržíte certifikát serveru od certifikační autority (CA).

1	Když obdržíte certifikát serveru od certifikační autority, uložte jej jako `hdsnode.pem`.
2	Zobrazit certifikát jako text a ověřit podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Pomocí textového editoru vytvořte soubor svazku certifikátů s názvem `hdsnode-bundle.pem`. Soubor balíčku musí obsahovat certifikát serveru, všechny certifikáty prostřední certifikační autority a kořenové certifikáty certifikační autority v níže uvedeném formátu: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Vytvořte soubor .p12 s přátelským jménem `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Zkontrolujte podrobnosti o certifikátu serveru. `openssl pkcs12 -in hdsnode.p12` Zadejte heslo na výzvu k zašifrování soukromého klíče tak, aby byl uveden ve výstupu. Poté ověřte, zda soukromý klíč a první certifikát obsahují řádky. `friendlyName: kms-private-key`. Příklad: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Co dělat dál

Vraťte se na Vyplňte předpoklady pro zabezpečení hybridních dat. Použijete hdsnode.p12 a heslo, které jste pro něj nastavili, v části Vytvořit ISO konfigurace pro hostitele HDS.

Tyto soubory můžete znovu použít k vyžádání nového certifikátu, jakmile vyprší platnost původního certifikátu.

Provoz mezi uzly HDS a cloudem

Provoz kolekce odchozích metrik

Příchozí Provoz

Uzly hybridního zabezpečení dat obdrží z cloudu Webex následující typy příchozího provozu:

Požadavky na šifrování od klientů, které jsou směrovány šifrovací službou
Aktualizace softwaru uzlu

Konfigurace proxy serverů chobotnice pro zabezpečení hybridních dat

Websocket se nemůže připojit prostřednictvím proxy serveru squid

Olihně 4 a 5

Přidat on_unsupported_protocol směrnice squid.conf:

on_unsupported_protocol tunnel all

Oliheň 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Předmluva

Nové a změněné informace

Datum

Provedené změny

20. října 2023

Byly aktualizovány informace v požadavcích na databázový server.
Bylo přidáno nastavení pohotovostního datového centra pro obnovení po havárii.
Aktualizované informace v pohotovostním datovém centru pro zotavení po havárii a zotavení po havárii pomocí datového centra v pohotovostním režimu.

07. srpna 2023

Přidána poznámka do položky Stáhnout instalační soubory.
Přidána poznámka do Vytvoření ISO konfigurace pro hostitele HDS a změna konfigurace uzlu.

23. května 2023

Byly odstraněny informace z požadavků databázového serveru a požadovaly povolení funkce kontaktováním týmu pro účty.
Byly aktualizovány informace v části Požadavky na externí připojení a byly přidány Kanada do tabulky hostitelů CI.
Přidána poznámka do části Očekávání nasazení hybridního zabezpečení dat týkající se nedostupnosti mechanismů pro přesun klíčů zpět do cloudu.

06. prosince 2022

Obrázky nástroje pro nastavení HDS jsou nyní hostovány v úložišti ciscocitg dockerhub.
Aktualizováno Vytvoření ISO konfigurace pro hostitele HDS a změna témat konfigurace uzlu tak, aby se změny v příkazech zrušily.

23. listopadu 2022

Uzly HDS nyní mohou používat ověřování systému Windows proti serveru Microsoft SQL.

Bylo aktualizováno téma Požadavky databázového serveru o další požadavky na tento režim ověřování.

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s postupem konfigurace ověřování systému Windows v uzlech.
Bylo aktualizováno téma Požadavky databázového serveru o nové minimální požadované verze (PostgreSQL 10).

13. října 2021

Před instalací uzlů HDS musí Docker Desktop spustit instalační program. Viz Požadavky na plochu docker.

Června 24, 2021

30. dubna 2021

Byl změněn požadavek virtuálního počítače pro místo na místním pevném disku na 30 GB. Podrobnosti najdete v části Požadavky virtuálního hostitele .

24. února 2021

Nástroj pro nastavení HDS nyní může běžet za proxy serverem. Podrobnosti najdete v části Vytvoření normy ISO konfigurace pro hostitele HDS.

2. února 2021

HDS může nyní běžet bez připojeného ISO souboru. Podrobnosti viz (volitelné) Odpojení ISO po konfiguraci HDS.

11. ledna 2021

Byly přidány informace o nástroji nastavení HDS a proxy serveru pro vytvoření konfigurační normy ISO pro hostitele HDS.

13. října 2020

Aktualizováno Stáhnout instalační soubory.

8. října 2020

Aktualizováno Vytvoření konfigurace ISO pro hostitele HDS a změna konfigurace uzlu pomocí příkazů pro prostředí RAMP.

14. srpna 2020

Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS a změna konfigurace uzlu se změnami v procesu přihlašování.

5. srpna 2020

Aktualizováno Otestujte nasazení hybridního zabezpečení dat na změny ve zprávách protokolu.

Aktualizovány požadavky virtuálního hostitele pro odebrání maximálního počtu hostitelů.

16. června 2020

Aktualizováno Odebrání uzlu kvůli změnám v uživatelském rozhraní prostředí Control Hub.

4. června 2020

Aktualizováno Vytvoření ISO konfigurace pro hostitele HDS pro změny v rozšířených nastaveních, které můžete nastavit.

29. května 2020

Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS , abyste mohli také použít TLS s databázemi SQL Server, změnami uživatelského rozhraní a dalšími vysvětleními.

5. května 2020

Byly aktualizovány požadavky virtuálního hostitele pro zobrazení nového požadavku ESXI 6.5.

21. dubna 2020

Aktualizovány požadavky na externí připojení s novými hostiteli Americas CI.

1. dubna 2020

Byly aktualizovány požadavky na externí připojení s informacemi o regionálních hostitelích CI.

20. února 2020 Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS s informacemi na nové volitelné obrazovce Rozšířená nastavení v nástroji pro nastavení HDS.

12. února 2020 Byly aktualizovány požadavky na proxy server.

16. prosince 2019 Objasnil požadavek, aby režim blokovaného externího rozlišení DNS fungoval v požadavcích na proxy server.

19. listopadu 2019

Přidány informace o režimu externího rozlišení DNS blokovaného v následujících částech:

Podpora proxy serveru
Konfigurace uzlu HDS pro integraci proxy serveru
Vypnout blokovaný režim externího rozlišení DNS

8. listopadu 2019

Nyní můžete konfigurovat nastavení sítě pro uzel při nasazení OVA, nikoli později.

Byly odpovídajícím způsobem aktualizovány následující části:

Tok úloh nasazení hybridního zabezpečení dat
Instalace HDS Host OVA
Nastavení hybridního virtuálního počítače zabezpečení dat

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

6. září 2019

Byl přidán standard serveru SQL Server k požadavkům databázového serveru.

20. srpna 2019

Byly přidány a aktualizovány části pokrývající podporu proxy pro komunikaci uzlu hybridního zabezpečení dat do cloudu Webex.

Podpora proxy serveru
Požadavky na proxy server
Konfigurace uzlu HDS pro integraci proxy serveru

Přístup k obsahu podpory proxy pro stávající nasazení naleznete v článku Podpora proxy pro hybridní zabezpečení dat a Webex Video Mesh nápovědy.

13. června 2019 Byl aktualizován postup zkušební verze na výrobní úlohy s připomenutím synchronizace objektu skupiny H Group před zahájením zkušební verze, pokud vaše organizace používá synchronizaci adresáře.

6. března 2019

Požadavky a předpoklady jsme přesunuli do samostatné kapitoly Příprava prostředí.
Přidán Tok úloh nasazení hybridního zabezpečení dat přehled v kapitole Nastavení hybridního datového bezpečnostního clusteru...

Všimněte si, že dokud nezahájíte zkušební verzi (podle pokynů v následující kapitole), vaše uzly vygenerují alarm, že služba ještě není aktivována.
Byla přidána možnost Trial to Production Task Flow v kapitole Run a Trial and Move to Production.

28. února 2019

Opravili jsme množství místa na pevném disku na server, které byste měli vyčlenit při přípravě virtuálních hostitelů, kteří se stanou uzly hybridního zabezpečení dat, a to z 50 GB na 20 GB, aby odráželo velikost disku, který OVA vytvoří.

26. února 2019

Uzly hybridního zabezpečení dat nyní podporují šifrovaná připojení s databázovými servery PostgreSQL a šifrovaná protokolovací připojení k serveru syslog podporujícímu protokol TLS. Aktualizováno Vytvořte ISO konfigurace pro hostitele HDS pomocí pokynů.
Cílové byly odebrány z tabulky "Požadavky na připojení k internetu pro hybridní datové bezpečnostní uzly VMS". Tabulka nyní odkazuje na seznam udržovaný v tabulce „Další verze pro hybridní služby Webex Teams“ obsahující síťové požadavky pro služby Webex Teams.

24. ledna 2019

5. listopadu 2018

Byl přidán předběžný krok k vyčištění všech existujících instancí ukotvičů HDS v části Vytvoření ISO konfigurace pro hostitele HDS a změna konfigurace uzlu.
Byl aktualizován krok úrovně přístupu klíče v části Vytvořit ISO konfigurace pro hostitele HDS tak, aby odpovídal rozhraní.

19. října 2018

V části Dokončete předpoklady pro hybridní zabezpečení dat rozdělte informace o připojení brány firewall do požadavků na uzel a požadavky na konfigurační počítač ISO.

31. července 2018

Byl přidán port 22 (přístup SSH) a informace o připojení NAT a brány firewall pro Dokončení předpokladů pro hybridní zabezpečení dat.

21. května 2018

Změněná terminologie odrážející změnu názvu aplikace Cisco Spark:

Služba Cisco Spark Hybrid Data Security je nyní hybridní zabezpečení dat.
Aplikace Cisco Spark je nyní aplikací Webex.
Cloud Cisco Collaboraton je nyní cloudem Webex.

11. dubna 2018

Bylo přidáno pohotovostní datové centrum pro zotavení po havárii.
Aktualizováno Vyplňte předpoklady pro hybridní zabezpečení dat a zadejte, že záložní prostředí by mělo být v jiném datovém centru.
Aktualizováno obnovení po havárii pomocí datového centra v pohotovostním režimu.

22. února 2018

Byly přidány informace o heslu účtu služby po 9 měsících životnosti a pomocí nástroje Setup HDS k resetování hesel účtu služby v části Create a Configuration ISO for HDS Hosts and Change the Node Configuration.

15. února 2018

V tabulce Požadavky na certifikát X.509 bylo uvedeno, že certifikát nemůže být certifikátem zástupných znaků a že KMS používá doménu CN, nikoli doménu definovanou v polích x.509v3 SAN.

18. ledna 2018

Přidána příloha, Provoz mezi uzly HDS a cloudem.
Byl odebrán vyřešený problém ze známých problémů zabezpečení hybridních dat.
Byl změněn index.docker.io na *.docker.io a přidán *.cloudfront.net do seznamu požadavků na připojení TCP pro uzly HDS v části Dokončete předpoklady pro zabezpečení hybridních dat.
Aktualizováno Vytvoření normy ISO konfigurace pro hostitele HDS , která indikuje, že pokud hostitel databáze a server Syslogd nejsou z uzlů HDS řešitelné DNS, musíte je nakonfigurovat pomocí adres IP.

2. listopadu 2017

Objasněna synchronizace adresáře skupiny H .
Opravené pokyny pro nahrání konfiguračního souboru ISO pro montáž do uzlů virtuálního počítače.

18. srpna 2017

První publikováno

Začínáme se zabezpečením hybridních dat

Přehled hybridního zabezpečení dat

Od prvního dne byla při navrhování aplikace Webex hlavním zaměřením na zabezpečení dat. Základním kamenem tohoto zabezpečení je šifrování obsahu mezi koncovými zařízeními, které umožňují klienti aplikace Webex interagující se službou správy klíčů (KMS). Služba správy klíčů je zodpovědná za vytváření a správu kryptografických klíčů, které klienti používají k dynamickému šifrování a dešifrování zpráv a souborů.

Ve výchozím nastavení mají všichni zákazníci aplikace Webex šifrování mezi koncovými body pomocí dynamických klíčů uložených v cloudovém KMS v doméně zabezpečení společnosti Cisco. Hybridní zabezpečení dat přesune KMS a další funkce související s bezpečností do vašeho podnikového datového centra, takže nikdo kromě vás nedrží klíče k zašifrovanému obsahu.

Architektura sféry zabezpečení

Cloudová architektura Webex odděluje různé typy služeb do samostatných sfér nebo důvěryhodných domén, jak je znázorněno níže.

Klient vytvoří zabezpečené připojení ke službě správy klíčů (KMS) a poté požádá o klíč pro šifrování zprávy. Zabezpečené připojení používá ECDH a KMS šifruje klíč pomocí hlavního klíče AES-256.
Zpráva je před opuštěním klienta zašifrována. Klient jej odešle indexovací službě, která vytvoří šifrované vyhledávací indexy, které pomohou při budoucím vyhledávání obsahu.
Zašifrovaná zpráva je odeslána službě pro kontrolu souladu s předpisy.
Zašifrovaná zpráva je uložena v doméně úložiště.

Spolupráce s jinými organizacemi

Uživatelé ve vaší organizaci mohou pravidelně používat aplikaci Webex ke spolupráci s externími účastníky v jiných organizacích. Když jeden z vašich uživatelů požádá o klíč pro prostor, který vlastní vaše organizace (protože byl vytvořen jedním z vašich uživatelů), odešle KMS klíč klientovi přes zabezpečený kanál ECDH. Pokud však klíč pro daný prostor vlastní jiná organizace, váš KMS přesměruje žádost do cloudu Webex prostřednictvím samostatného kanálu ECDH, aby získal klíč z příslušného KMS, a poté klíč vrátí uživateli na původním kanálu.

Očekávání ohledně nasazení hybridního zabezpečení dat

Nasazení hybridního zabezpečení dat vyžaduje značné odhodlání zákazníků a povědomí o rizicích, která jsou spojena s vlastnictvím šifrovacích klíčů.

Chcete-li nasadit hybridní zabezpečení dat, musíte poskytnout:

Zabezpečené datové centrum v zemi, která je podporovaným místem pro plány aplikace Cisco Webex Teams.
Vybavení, software a přístup k síti popsané v části Prepare Your Environment.

Spravujte zálohování a obnovu databáze a konfigurační ISO.
Buďte připraveni na rychlé obnovení po havárii, pokud dojde ke katastrofě, například k selhání databázového disku nebo havárii v datovém centru.

Neexistuje žádný mechanismus pro přesun klíčů zpět do cloudu po nasazení HDS.

Proces nastavení na vysoké úrovni

Tento dokument se zabývá nastavením a správou nasazení hybridního zabezpečení dat:

Nastavení zabezpečení hybridních dat – zahrnuje přípravu požadované infrastruktury a instalaci softwaru pro zabezpečení hybridních dat, testování nasazení u podskupiny uživatelů ve zkušebním režimu a po dokončení testování přechod do výroby. Tím se celá organizace převede na používání clusteru hybridního zabezpečení dat pro bezpečnostní funkce.
V dalších třech kapitolách jsou podrobně popsány fáze nastavení, zkušební a výrobní fáze.
Udržujte nasazení zabezpečení hybridních dat – cloud Webex automaticky poskytuje průběžné upgrady. Vaše IT oddělení může poskytnout podporu první úrovně pro toto nasazení a podle potřeby zapojit podporu společnosti Cisco. V prostředí Control Hub můžete používat oznámení na obrazovce a nastavit e-mailové výstrahy.
Rozumějte běžným výstrahám, krokům při řešení potíží a známým problémům– Pokud narazíte na potíže s nasazením nebo používáním zabezpečení hybridních dat, může vám poslední kapitola této příručky a příloha se známými problémy pomoci určit a vyřešit problém.

Model nasazení hybridního zabezpečení dat

Model nasazení hybridního zabezpečení dat

Minimální počet uzlů, které můžete mít v clusteru, jsou dva. Doporučujeme minimálně tři a můžete mít až pět. Mít více uzlů zajišťuje, že služba nebude přerušena během upgradu softwaru nebo jiné činnosti údržby uzlu. (Cloud Webex aktualizuje vždy pouze jeden uzel.)

Pro každou organizaci podporujeme pouze jeden cluster.

Zkušební režim hybridního zabezpečení dat

Pokud jste spokojeni s tím, že nasazení funguje dobře pro zkušební uživatele a jste připraveni rozšířit zabezpečení hybridních dat na všechny své uživatele, přesunete nasazení do výroby. Pilotní uživatelé mají i nadále přístup ke klíčům, které se používaly během zkušební verze. Mezi produkčním režimem a původní zkušební verzí však nelze přecházet sem a tam. Pokud musíte službu deaktivovat, například provést obnovení po havárii, musíte při opětovné aktivaci spustit novou zkušební verzi a před návratem do produkčního režimu nastavit sadu pilotních uživatelů pro novou zkušební verzi. To, zda si uživatelé v tomto okamžiku uchovávají přístup k datům, závisí na tom, zda jste úspěšně udržovali zálohy úložiště klíčových dat a konfiguračního souboru ISO pro hybridní datové bezpečnostní uzly ve vašem clusteru.

Pohotovostní datové centrum pro zotavení po havárii

Během nasazení nastavíte zabezpečené pohotovostní datové centrum. V případě havárie datového centra můžete ručně selhat při nasazení do pohotovostního datového centra.

Před selháním má datové centrum A aktivní uzly HDS a primární databázi PostgreSQL nebo Microsoft SQL Server, zatímco B má kopii souboru ISO s dalšími konfiguracemi, VMS, které jsou registrovány v organizaci, a databázi pohotovostního režimu. Po převzetí služeb při selhání má datové centrum B aktivní uzly HDS a primární databázi, zatímco A má nezaregistrované VMS a kopii souboru ISO a databáze je v pohotovostním režimu. — ***Ruční převzetí při selhání do datového centra v pohotovostním režimu***

Aktivní uzly hybridního zabezpečení dat musí být vždy ve stejném datovém centru jako aktivní databázový server.

Nastavení datového centra pohotovostního režimu pro obnovení po havárii

Podle níže uvedených kroků nakonfigurujte soubor ISO datového centra pohotovostního režimu:

Než začnete

Pohotovostní datové centrum by mělo odrážet produkční prostředí VMS a záložní databázi PostgreSQL nebo Microsoft SQL Server. Pokud má například výroba 3 VMS s uzly HDS, záložní prostředí by mělo mít 3 VMS. (Přehled tohoto modelu převzetí při selhání najdete v pohotovostním datovém centru pro obnovení po havárii .)
Ujistěte se, že je povolena synchronizace databáze mezi databází aktivních a pasivních uzlů clusteru.

Spusťte nástroj pro nastavení HDS a postupujte podle kroků uvedených v části Vytvořit ISO konfigurace pro hostitele HDS.

Soubor ISO musí být kopií původního souboru ISO primárního datového centra, do kterého mají být provedeny následující aktualizace konfigurace.

Po konfiguraci serveru Syslogd klikněte na Rozšířená nastavení

  Režim: „pravda“

Dokončete proces konfigurace a uložte soubor ISO do umístění, které lze snadno najít.

Vytvořte záložní kopii souboru ISO v místním systému. Záložní kopii uchovávejte v bezpečí. Tento soubor obsahuje hlavní šifrovací klíč pro obsah databáze. Omezit přístup pouze na správce zabezpečení hybridních dat, kteří by měli provádět změny konfigurace.

V levém navigačním podokně klienta VMware vSphere klikněte pravým tlačítkem na virtuální počítač a klikněte na Upravit nastavení..

Klikněte na Upravit nastavení >Jednotka CD/DVD 1 a vyberte Soubor ISO datastore.

Ujistěte se, že jsou Připojeno a Připojit při zapnutí zaškrtnuty, aby se po spuštění uzlů mohly projevit aktualizované změny konfigurace.

Zapněte uzel HDS a ujistěte se, že po dobu alespoň 15 minut nejsou žádné alarmy.

Postup opakujte pro každý uzel v datovém centru pohotovostního režimu.

Zkontrolujte syslogs a ověřte, zda jsou uzly v pasivním režimu. Měli byste mít možnost zobrazit zprávu „KMS nakonfigurován v pasivním režimu“ v syslogs.

Co dělat dál

Po konfiguraci Mode v souboru ISO a jeho uložení můžete vytvořit další kopii souboru ISO bez konfigurace Mode a uložit ji na zabezpečené místo. Tato kopie souboru ISO bez konfigurace Mode může pomoci v rychlém procesu převzetí služeb při selhání během zotavení po havárii. Podrobný postup převzetí služeb při selhání naleznete v části Zotavení po havárii pomocí datového centra v pohotovostním režimu.

Podpora proxy serveru

Hybridní zabezpečení dat podporuje explicitní, transparentní kontrolu a nekontrolující proxy servery. Tyto proxy servery můžete spojit s nasazením, abyste mohli zabezpečit a monitorovat provoz z podniku do cloudu. Rozhraní pro správu platformy na uzlech můžete použít pro správu certifikátů a pro kontrolu celkového stavu připojení po nastavení proxy serveru na uzlech.

Hybridní uzly zabezpečení dat podporují následující možnosti proxy serveru:

Žádný proxy – výchozí nastavení, pokud nepoužíváte uzel HDS, nastavte pro integraci proxy konfiguraci úložiště důvěryhodných certifikátů a proxy. Není nutná žádná aktualizace certifikátu.
Transparentní nekontrolovaný proxy server – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru a pro práci s nekontrolovaným proxy serverem by neměly vyžadovat žádné změny. Není nutná žádná aktualizace certifikátu.
Transparentní tunelování nebo kontrola proxy – uzly nejsou nakonfigurovány pro použití konkrétní adresy proxy serveru. Na uzlech nejsou nutné žádné změny konfigurace HTTP nebo HTTPS. Uzly však potřebují kořenový certifikát, aby důvěřovaly proxy serveru. Kontrola proxy serverů je obvykle používána IT k vynucení zásad, na kterých lze weby navštívit a které typy obsahu nejsou povoleny. Tento typ proxy dešifruje veškerý váš provoz (dokonce i HTTPS).
Explicitní proxy – u explicitního proxy sdělíte uzlům HDS, který proxy server a ověřovací schéma má používat. Chcete-li nakonfigurovat explicitní proxy server, musíte do každého uzlu zadat následující informace:
1. IP/FQDN proxy – adresa, kterou lze použít k dosažení počítače proxy.
2. Port proxy – číslo portu, které server proxy používá k naslouchání s ohledem na proxy provoz.
3. Protokol proxy – v závislosti na tom, co váš proxy server podporuje, zvolte mezi následujícími protokoly:
  - HTTP – Zobrazí a řídí všechny požadavky, které klient odesílá.
  - HTTPS – Poskytuje kanál na server. Klient obdrží a ověří certifikát serveru.
4. Typ ověření – vyberte si z následujících typů ověření:
  - Žádné – není vyžadováno žádné další ověření.
    
    K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.
  - Basic – používá se pro uživatelský agent HTTP k poskytnutí uživatelského jména a hesla při podání žádosti. Používá kódování Base64.
    
    K dispozici, pokud jako proxy protokol vyberete protokol HTTP nebo HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla na každém uzlu.
  - Digest – slouží k potvrzení účtu před odesláním citlivých informací. Před odesláním přes síť použije funkci hash na uživatelské jméno a heslo.
    
    K dispozici pouze v případě, že jako proxy protokol vyberete protokol HTTPS.
    
    Vyžaduje zadání uživatelského jména a hesla na každém uzlu.

Příklad hybridních uzlů zabezpečení dat a proxy serveru

Tento diagram ukazuje ukázkové spojení mezi hybridním zabezpečením dat, sítí a proxy serverem. Pro transparentní kontrolu a explicitní kontrolu možností proxy serveru HTTPS musí být stejný kořenový certifikát nainstalován na proxy serveru a na uzlech hybridního zabezpečení dat.

Blokovaný režim externího překladu DNS (explicitní konfigurace proxy serveru)

Když zaregistrujete uzel nebo zkontrolujete konfiguraci proxy uzlu, proces testuje vyhledávání DNS a připojení ke cloudu Cisco Webex. V nasazeních s explicitními konfiguracemi proxy serveru, které neumožňují externí překlad DNS pro interní klienty, pokud uzel nemůže dotazovat servery DNS, automaticky přejde do režimu blokovaného externího překladu DNS. V tomto režimu může pokračovat registrace uzlu a další testy připojení proxy serveru.

Připravte si prostředí

Požadavky na zabezpečení hybridních dat

Licenční požadavky služby Cisco Webex

Nasazení hybridního zabezpečení dat:

Musíte mít sadu Pro Pack pro prostředí Cisco Webex Control Hub. (Viz https://www.cisco.com/go/pro-pack.)

Požadavky na plochu docker

Před instalací uzlů HDS je třeba, aby Docker Desktop spustil instalační program. Docker nedávno aktualizoval svůj licenční model. Vaše organizace může vyžadovat placené předplatné pro Docker Desktop. Podrobnosti naleznete v příspěvku na blogu Docker „Docker aktualizuje a rozšiřuje naše předplatné produktů“.

Požadavky na certifikát X.509

Řetězec certifikátů musí splňovat následující požadavky:

Tabulka 1. Požadavky na certifikát X.509 pro nasazení hybridního zabezpečení dat
Požadavek	Podrobnosti
Podepsáno důvěryhodnou certifikační autoritou (CA)	Ve výchozím nastavení důvěřujeme CAs v seznamu Mozilla (s výjimkou Wosign a Com) na adrese https://wiki.mozilla.org/CA:IncludedCAs.
Nese název domény společného názvu (CN), který identifikuje vaše nasazení hybridního zabezpečení dat Není zástupným certifikátem	Kód KN nemusí být dosažitelný ani živý hostitel. Doporučujeme použít název odrážející vaši organizaci, například `hds.company.com`. KN nesmí obsahovat znak * (zástupný znak). Kód CN se používá k ověření uzlů hybridního zabezpečení dat klientům aplikace Webex. Všechny uzly hybridního zabezpečení dat ve vašem clusteru používají stejný certifikát. Váš KMS se identifikuje pomocí domény CN, nikoli domény definované v polích x.509v3 SAN. Jakmile zaregistrujete uzel s tímto certifikátem, změnu názvu domény CN nepodporujeme. Vyberte doménu, která může být použita jak pro zkušební, tak pro výrobní nasazení.
Podpis bez SHA1	Software KMS nepodporuje podpisy SHA1 pro ověření připojení k KMSS jiných organizací.
Formátováno jako soubor PKCS č. 12 chráněný heslem Použijte přátelský název `kms-private-key` pro označení certifikátu, soukromého klíče a všech zprostředkujících certifikátů, které chcete nahrát.	Ke změně formátu certifikátu můžete použít konvertor, například OpenSSL. Po spuštění instalačního nástroje HDS budete muset zadat heslo.

Požadavky virtuálního hostitele

Virtuální hostitelé, které v clusteru nastavíte jako uzly hybridního zabezpečení dat, mají následující požadavky:

Nejméně dva samostatní hostitelé (doporučeno 3), kteří se nacházejí ve stejném zabezpečeném datovém centru
VMware ESXi 6.5 (nebo novější) nainstalován a spuštěn.

Pokud máte starší verzi ESXi, musíte provést upgrade.
Minimálně 4 vcpus, 8 GB hlavní paměti, 30 GB místa na pevném disku na jeden server

Požadavky na databázový server

Vytvořte novou databázi pro ukládání klíčů. Nepoužívejte výchozí databázi. Po instalaci aplikací HDS vytvoří schéma databáze.

Pro databázový server existují dvě možnosti. Pro každý z nich platí tyto požadavky:

Tabulka 2. Požadavky na databázový server podle typu databáze

Postgrexové SQL

Microsoft SQL Server

Postgresql 14, 15 nebo 16 je nainstalován a spuštěn.

Nainstalován SQL Server 2016, 2017 nebo 2019 (Enterprise nebo Standard).

SQL Server 2016 vyžaduje aktualizaci Service Pack 2 a Cumulative Update 2 nebo novější.

Software HDS v současné době instaluje následující verze ovladače pro komunikaci s databázovým serverem:

Postgrexové SQL

Microsoft SQL Server

Postgres JDBC ovladač 42.2.5

SQL Server JDBC ovladač 4.6

Tato verze ovladače podporuje SQL Server Always On (skupiny dostupnosti Always On Failover Cluster Instance a Always On).

Další požadavky na ověřování systému Windows proti serveru Microsoft SQL Server

Uzly HDS, infrastruktura služby Active Directory a server MS SQL musí být synchronizovány s protokolem NTP.
Účet systému Windows, který poskytnete uzlům HDS, musí mít přístup ke čtení/zápisu do databáze.
Servery DNS, které poskytnete uzlům HDS, musí být schopny vyřešit vaše distribuční centrum klíčů (KDC).
Instanci databáze HDS můžete zaregistrovat na serveru Microsoft SQL jako hlavní název služby (SPN) ve službě Active Directory. Viz Registrace hlavního názvu služby pro připojení Kerberos.

Instalační nástroj HDS, spouštěč HDS a místní KMS musí pro přístup k databázi úložiště klíčů používat ověření systému Windows. Při žádosti o přístup pomocí ověření Kerberos používají podrobnosti z konfigurace ISO k vytvoření SPN.

Požadavky na externí připojení

Nakonfigurujte bránu firewall tak, aby umožňovala následující připojení pro aplikace HDS:

Aplikace	Protokol	Port	Směr z aplikace	Cíl
Uzly hybridního zabezpečení dat	TCP	443	Odchozí HTTPS a WSS	Servery Webex: .wbx2.com .ciscospark.com Všichni hostitelé Common Identity Další verze , které jsou uvedeny pro zabezpečení hybridních dat v tabulce Dodatečné verze pro hybridní služby Webex obsahující síťové požadavky pro služby Webex
Nástroj pro nastavení HDS	TCP	443	Odchozí protokol HTTPS	*.wbx2.com Všichni hostitelé Common Identity hub.docker.com

Zkratky pro hostitele Common Identity (CI) jsou specifické pro daný region. Toto jsou aktuální hostitelé CI:

Oblast	Hostitelé identity Common Identity
Jižní a Severní Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropská unie	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Požadavky na proxy server

Oficiálně podporujeme následující proxy řešení, která se mohou integrovat s vašimi uzly hybridního zabezpečení dat.

Transparentní proxy server – Cisco Web Security Appliance (WSA).

Explicitní proxy – chobotnice.

Servery pro olihně, které kontrolují provoz HTTPS, mohou zasahovat do vytváření připojení websocket (wss:). Chcete-li tento problém vyřešit, přečtěte si téma Konfigurace proxy serveru chobotnice pro zabezpečení hybridních dat.

Podporujeme následující kombinace typů ověřování pro explicitní proxy servery:
- Žádné ověřování pomocí protokolu HTTP nebo HTTPS
- Základní ověřování pomocí protokolu HTTP nebo HTTPS
- Ověřování algoritmem Digest pouze pomocí protokolu HTTPS
Chcete-li transparentní kontrolní proxy server nebo explicitní proxy server HTTPS, musíte mít kopii kořenového certifikátu proxy serveru. Pokyny k nasazení v této příručce vám řeknou, jak nahrát kopii do úložišť důvěryhodnosti uzlů hybridního zabezpečení dat.
Síť hostující uzly HDS musí být nakonfigurována tak, aby vynutila odchozí přenos TCP na portu 443 pro směrování přes proxy server.
Proxy servery, které kontrolují webový provoz, mohou rušit připojení k webovým soketům. Pokud k tomuto problému dojde, problém vyřeší obejití (nekontrolování) provozu na wbx2.com a ciscospark.com.

Vyplňte předpoklady pro zabezpečení hybridních dat

Pomocí tohoto kontrolního seznamu se ujistěte, že jste připraveni nainstalovat a nakonfigurovat cluster hybridního zabezpečení dat.

Zvolte název domény pro nasazení HDS (například hds.company.com) a získejte řetězec certifikátů obsahující certifikát X.509, soukromý klíč a všechny zprostředkující certifikáty. Řetězec certifikátů musí splňovat požadavky uvedené v Požadavky na certifikát X.509.

Připravte databázový server, který bude fungovat jako úložiště klíčových dat clusteru podle požadavků Databázový server. Databázový server musí být umístěn společně s virtuálními hostiteli v zabezpečeném datovém centru.

Vytvořte databázi pro ukládání klíčů. (Tuto databázi musíte vytvořit – nepoužívejte výchozí databázi. Po instalaci aplikace HDS vytvoří schéma databáze.)
Shromážďte podrobnosti, které uzly budou používat ke komunikaci s databázovým serverem:
- název hostitele nebo IP adresa (hostitel) a port
- název databáze (dbname) pro ukládání klíčů
- uživatelské jméno a heslo uživatele se všemi oprávněními v databázi úložiště klíčů

Nastavte hostitele syslog pro shromažďování protokolů z uzlů v clusteru. Shromažďujte jeho síťovou adresu a port syslog (výchozí je UDP 514).

Klienti aplikace Webex uchovávají své klíče do mezipaměti, takže výpadek nemusí být okamžitě patrný, ale projeví se v průběhu času. Dočasným výpadkům sice nelze zabránit, ale ty se dají obnovit. Úplná ztráta (nejsou k dispozici žádné zálohy) databáze nebo konfiguračního ISO souboru však povede k neobnovitelným datům zákazníků. Očekává se, že provozovatelé uzlů hybridního zabezpečení dat budou udržovat časté zálohy databáze a konfiguračního ISO souboru a budou připraveni přestavět datové centrum hybridního zabezpečení dat, pokud dojde ke katastrofálnímu selhání.

Ujistěte se, že konfigurace brány firewall umožňuje připojení k uzlům hybridního zabezpečení dat, jak je uvedeno v požadavcích na externí připojení.

Nainstalujte Docker ( https://www.docker.com) na libovolný místní počítač s podporovaným operačním systémem (Microsoft Windows 10 Professional nebo Enterprise 64-bit, nebo Mac OSX Yosemite 10.10.3 nebo vyšší) s webovým prohlížečem, který k němu má přístup na adrese http://127.0.0.1:8080.

Chcete-li nainstalovat a spustit instalační nástroj HDS, musí mít místní stroj připojení uvedené v požadavcích na externí připojení.

Pokud integrujete proxy server s hybridním zabezpečením dat, ujistěte se, že splňuje požadavky na proxy server.

Pokud vaše organizace používá synchronizaci adresářů, vytvořte skupinu ve službě Active Directory s názvem Skupina H a přidejte pilotní uživatele. Zkušební skupina může mít až 250 uživatelů. Před spuštěním zkušební verze pro vaši organizaci je nutné objekt H Group synchronizovat s cloudem. Chcete-li synchronizovat objekt skupiny, vyberte jej v nabídce Konfigurace konektoru adresáře > Výběr objektu. (Podrobné pokyny naleznete v Návodu k nasazení konektoru adresáře Cisco.)

Nastavení hybridního datového bezpečnostního clusteru

Tok úloh nasazení hybridního zabezpečení dat

Než začnete

Stáhněte soubor OVA do místního počítače pro pozdější použití.

Pomocí nástroje pro nastavení HDS vytvořte konfigurační soubor ISO pro uzly hybridního zabezpečení dat.

Nastavení virtuálního počítače pro zabezpečení hybridních dat

Vytvořte virtuální počítač ze souboru OVA a proveďte počáteční konfiguraci, například nastavení sítě.

Možnost konfigurace nastavení sítě během nasazení OVA byla testována s ESXi 6.5. Tato možnost nemusí být dostupná v dřívějších verzích.

Přihlaste se ke konzoli virtuálního počítače a nastavte přihlašovací údaje. Nakonfigurujte nastavení sítě pro uzel, pokud jste je nenakonfigurovali v době nasazení OVA.

Nakonfigurujte virtuální počítač z konfiguračního souboru ISO, který jste vytvořili pomocí nástroje pro nastavení HDS.

Zaregistrujte virtuální počítač v cloudu Cisco Webex jako hybridní datový bezpečnostní uzel.