Du vil måske bemærke nogle artikler, der viser inkonsekvent indhold. Undskyld, vi roder, mens vi opdaterer vores websted.
cross icon
I denne artikel
dropdown icon
Forbillede
    Nye og ændrede oplysninger
    dropdown icon
    Kom i gang med hybriddatasikkerhed
      Oversigt over hybriddatasikkerhed
        dropdown icon
        Sikkerhedsarkitektur
          Områder for adskillelse (uden hybrid-datasikkerhed)
        Samarbejde med andre organisationer
          Forventninger til installation af hybrid-datasikkerhed
            Opsætningsproces på højt niveau
              dropdown icon
              Hybrid-datasikkerhedsmodel
                Hybrid-datasikkerhedsmodel
              Prøvetilstand for hybrid-datasikkerhed
                dropdown icon
                Standby-datacenter til genoprettelse af katastrofer
                  Opsætning af standby-datacenter til genoprettelse af katastrofer
                Proxy-support
                dropdown icon
                Forbered dit miljø
                  dropdown icon
                  Krav til hybrid-datasikkerhed
                    Cisco Webex-licenskrav
                    Krav til Docker-desktop
                    X.509 certifikatkrav
                    Krav til virtuelle værter
                    Databaseserverkrav
                    Krav til ekstern forbindelse
                    Proxy server krav
                  Udfyld forudsætningerne for hybriddatasikkerhed
                  dropdown icon
                  Opsæt en hybrid-datasikkerhedsklynge
                    Opgaveflow for installation af hybrid-datasikkerhed
                      Download installationsfiler
                        Opret en konfigurations-ISO for HDS-værter
                          Installer HDS-værtens OVA
                            Konfigurer hybrid-datasikkerhed VM
                              Overfør og monter HDS-konfigurations-ISO
                                Konfigurer HDS-knudepunkt for proxy integration
                                  Tilmeld den første node i klyngen
                                    Opret og tilmeld flere knudepunkter
                                    dropdown icon
                                    Kør en prøveversion, og flyt til produktion
                                      Prøveversion til produktionsopgaveflow
                                        Aktivér prøveversion
                                          Test din hybrid-datasikkerhedsinstallation
                                            Overvåg Hybrid Data Security Health
                                              Tilføj eller fjern brugere fra din prøveperiode
                                                Flyt fra prøveversion til produktion
                                                  Afslut din prøveperiode uden at flytte til produktion
                                                  dropdown icon
                                                  Administrer din HDS-installation
                                                    Administrer HDS-installation
                                                      Indstil tidsplan for klyngeopgradering
                                                        Rediger nodekonfigurationen
                                                          Slå blokeret ekstern DNS-opløsnings tilstand fra
                                                            Fjern en node
                                                              Genoprettelse af katastrofer ved hjælp af standby-datacenter
                                                                (Valgfri) Fjern ISO efter HDS-konfiguration
                                                                dropdown icon
                                                                Fejlfinding af hybrid-datasikkerhed
                                                                  Vis varsler og fejlfinding
                                                                    dropdown icon
                                                                    Varsler
                                                                      Almindelige problemer og trinnene til at løse dem
                                                                    Fejlfinding af hybrid-datasikkerhed
                                                                    dropdown icon
                                                                    Andre noter
                                                                      Kendte problemer med hybrid-datasikkerhed
                                                                        Brug åbenSSL til at generere en PKCS12-fil
                                                                          Trafik mellem HDS-knudepunkterne og skyen
                                                                            dropdown icon
                                                                            Konfigurer Squid-proxyer for hybrid-data sikkerhed
                                                                              WebSocket kan ikke oprette forbindelse via Squid-Proxy
                                                                          I denne artikel
                                                                          cross icon
                                                                          dropdown icon
                                                                          Forbillede
                                                                            Nye og ændrede oplysninger
                                                                            dropdown icon
                                                                            Kom i gang med hybriddatasikkerhed
                                                                              Oversigt over hybriddatasikkerhed
                                                                                dropdown icon
                                                                                Sikkerhedsarkitektur
                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)
                                                                                Samarbejde med andre organisationer
                                                                                  Forventninger til installation af hybrid-datasikkerhed
                                                                                    Opsætningsproces på højt niveau
                                                                                      dropdown icon
                                                                                      Hybrid-datasikkerhedsmodel
                                                                                        Hybrid-datasikkerhedsmodel
                                                                                      Prøvetilstand for hybrid-datasikkerhed
                                                                                        dropdown icon
                                                                                        Standby-datacenter til genoprettelse af katastrofer
                                                                                          Opsætning af standby-datacenter til genoprettelse af katastrofer
                                                                                        Proxy-support
                                                                                        dropdown icon
                                                                                        Forbered dit miljø
                                                                                          dropdown icon
                                                                                          Krav til hybrid-datasikkerhed
                                                                                            Cisco Webex-licenskrav
                                                                                            Krav til Docker-desktop
                                                                                            X.509 certifikatkrav
                                                                                            Krav til virtuelle værter
                                                                                            Databaseserverkrav
                                                                                            Krav til ekstern forbindelse
                                                                                            Proxy server krav
                                                                                          Udfyld forudsætningerne for hybriddatasikkerhed
                                                                                          dropdown icon
                                                                                          Opsæt en hybrid-datasikkerhedsklynge
                                                                                            Opgaveflow for installation af hybrid-datasikkerhed
                                                                                              Download installationsfiler
                                                                                                Opret en konfigurations-ISO for HDS-værter
                                                                                                  Installer HDS-værtens OVA
                                                                                                    Konfigurer hybrid-datasikkerhed VM
                                                                                                      Overfør og monter HDS-konfigurations-ISO
                                                                                                        Konfigurer HDS-knudepunkt for proxy integration
                                                                                                          Tilmeld den første node i klyngen
                                                                                                            Opret og tilmeld flere knudepunkter
                                                                                                            dropdown icon
                                                                                                            Kør en prøveversion, og flyt til produktion
                                                                                                              Prøveversion til produktionsopgaveflow
                                                                                                                Aktivér prøveversion
                                                                                                                  Test din hybrid-datasikkerhedsinstallation
                                                                                                                    Overvåg Hybrid Data Security Health
                                                                                                                      Tilføj eller fjern brugere fra din prøveperiode
                                                                                                                        Flyt fra prøveversion til produktion
                                                                                                                          Afslut din prøveperiode uden at flytte til produktion
                                                                                                                          dropdown icon
                                                                                                                          Administrer din HDS-installation
                                                                                                                            Administrer HDS-installation
                                                                                                                              Indstil tidsplan for klyngeopgradering
                                                                                                                                Rediger nodekonfigurationen
                                                                                                                                  Slå blokeret ekstern DNS-opløsnings tilstand fra
                                                                                                                                    Fjern en node
                                                                                                                                      Genoprettelse af katastrofer ved hjælp af standby-datacenter
                                                                                                                                        (Valgfri) Fjern ISO efter HDS-konfiguration
                                                                                                                                        dropdown icon
                                                                                                                                        Fejlfinding af hybrid-datasikkerhed
                                                                                                                                          Vis varsler og fejlfinding
                                                                                                                                            dropdown icon
                                                                                                                                            Varsler
                                                                                                                                              Almindelige problemer og trinnene til at løse dem
                                                                                                                                            Fejlfinding af hybrid-datasikkerhed
                                                                                                                                            dropdown icon
                                                                                                                                            Andre noter
                                                                                                                                              Kendte problemer med hybrid-datasikkerhed
                                                                                                                                                Brug åbenSSL til at generere en PKCS12-fil
                                                                                                                                                  Trafik mellem HDS-knudepunkterne og skyen
                                                                                                                                                    dropdown icon
                                                                                                                                                    Konfigurer Squid-proxyer for hybrid-data sikkerhed
                                                                                                                                                      WebSocket kan ikke oprette forbindelse via Squid-Proxy
                                                                                                                                                  Udrulningsvejledning til Webex Hybrid-datasikkerhed
                                                                                                                                                  list-menuI denne artikel
                                                                                                                                                  Forbillede

                                                                                                                                                  Nye og ændrede oplysninger

                                                                                                                                                  Dato

                                                                                                                                                  Ændringer foretaget

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  07. august 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  Den 06. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Opdaterede installationsfiler til download.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

                                                                                                                                                  Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

                                                                                                                                                  20. februar 2020Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.
                                                                                                                                                  4. februar 2020Opdaterede proxyserverkrav.
                                                                                                                                                  16. december 2019Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

                                                                                                                                                  Følgende afsnit blev opdateret i overensstemmelse hermed:


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Tilføjede SQL-serverstandard til databaseserverkrav.

                                                                                                                                                  29. august 2019Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

                                                                                                                                                  Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

                                                                                                                                                  13. juni 2019Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering.
                                                                                                                                                  6. marts 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.

                                                                                                                                                  • Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid-datasikkerhed understøtter nu Microsoft SQL-server som en database. SQL-server altid tændt (Altid på failover-klynger og Altid på tilgængelighedsgrupper) understøttes af de JDBC-drivere, der bruges i hybrid-datasikkerhed. Tilføjet indhold relateret til installation med SQL-server.


                                                                                                                                                     

                                                                                                                                                    Understøttelse af Microsoft SQL Server er kun beregnet til nye installationer af Hybriddatasikkerhed. Vi understøtter i øjeblikket ikke migrering af data fra PostgreSQL til Microsoft SQL Server i en eksisterende installation.

                                                                                                                                                  Den 5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Ændret terminologi for at afspejle genbranding af Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.

                                                                                                                                                  • Cisco Spark-appen er nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton-clouden er nu Webex-clouden.

                                                                                                                                                  Den 11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  Den 2. november 2017

                                                                                                                                                  • Klargjort adressebogssynkronisering af HdsTrialGroup.

                                                                                                                                                  • Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Udgivet første gang

                                                                                                                                                  Kom i gang med hybriddatasikkerhed

                                                                                                                                                  Oversigt over hybriddatasikkerhed

                                                                                                                                                  Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

                                                                                                                                                  Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.

                                                                                                                                                  Sikkerhedsarkitektur

                                                                                                                                                  Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

                                                                                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)

                                                                                                                                                  For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

                                                                                                                                                  I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:

                                                                                                                                                  1. Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

                                                                                                                                                  2. Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.

                                                                                                                                                  3. Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.

                                                                                                                                                  4. Den krypterede meddelelse gemmes i hukommelsesdomænet.

                                                                                                                                                  Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.

                                                                                                                                                  Samarbejde med andre organisationer

                                                                                                                                                  Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

                                                                                                                                                  KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Forventninger til installation af hybrid-datasikkerhed

                                                                                                                                                  En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

                                                                                                                                                  For at installere hybrid-datasikkerhed skal du angive:

                                                                                                                                                  Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

                                                                                                                                                  • Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.

                                                                                                                                                  • Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.


                                                                                                                                                   

                                                                                                                                                  Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

                                                                                                                                                  Opsætningsproces på højt niveau

                                                                                                                                                  Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

                                                                                                                                                  • Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

                                                                                                                                                    Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.

                                                                                                                                                  • Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.

                                                                                                                                                  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.

                                                                                                                                                  Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)

                                                                                                                                                  Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.

                                                                                                                                                  Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

                                                                                                                                                  Vi understøtter kun en enkelt klynge pr. organisation.

                                                                                                                                                  Prøvetilstand for hybrid-datasikkerhed

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.

                                                                                                                                                  Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.

                                                                                                                                                  Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.

                                                                                                                                                  Standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuel failover til standbydatacenter

                                                                                                                                                  De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.


                                                                                                                                                   

                                                                                                                                                  De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

                                                                                                                                                  Opsætning af standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)

                                                                                                                                                  • Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

                                                                                                                                                  Næste trin

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.

                                                                                                                                                  Proxysupport

                                                                                                                                                  Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.

                                                                                                                                                  Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

                                                                                                                                                  • Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

                                                                                                                                                  • Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

                                                                                                                                                      • HTTP – Viser og styrer alle anmodninger, som klienten sender.

                                                                                                                                                      • HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                  Eksempel på hybrid-datasikkerhedsknuder og proxy

                                                                                                                                                  Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.

                                                                                                                                                  Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  Krav til hybrid-datasikkerhed

                                                                                                                                                  Krav til Docker-desktop

                                                                                                                                                  Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkæden skal opfylde følgende krav:

                                                                                                                                                  Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Underskrevet af en betroet certifikatmyndighed (CA)

                                                                                                                                                  Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation

                                                                                                                                                  • Er ikke et jokerkortcertifikat

                                                                                                                                                  CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

                                                                                                                                                  KN må ikke indeholde et * (jokertegn).

                                                                                                                                                  CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.

                                                                                                                                                  • Ikke-SHA1-signatur

                                                                                                                                                  KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

                                                                                                                                                  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

                                                                                                                                                  • Brug det venlige navn på kms-private-key for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.

                                                                                                                                                  Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format.

                                                                                                                                                  Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

                                                                                                                                                  KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.

                                                                                                                                                  Krav til virtuelle vært

                                                                                                                                                  De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

                                                                                                                                                  • Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter

                                                                                                                                                  • VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.


                                                                                                                                                     

                                                                                                                                                    Du skal opgradere, hvis du har en tidligere version af ESXI.

                                                                                                                                                  • Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

                                                                                                                                                  Databaseserverkrav


                                                                                                                                                   

                                                                                                                                                  Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

                                                                                                                                                  Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

                                                                                                                                                  Tabel 2. Databaseserverkrav efter databasetype

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installeret og kører.

                                                                                                                                                  • SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.


                                                                                                                                                     

                                                                                                                                                    SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL-server-JDBC-driver 4.6

                                                                                                                                                  Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

                                                                                                                                                  Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

                                                                                                                                                  Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

                                                                                                                                                  • HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.

                                                                                                                                                  • Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.

                                                                                                                                                  • De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

                                                                                                                                                    HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

                                                                                                                                                  Krav til ekstern forbindelse

                                                                                                                                                  Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

                                                                                                                                                  Applikation

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Retning fra appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasikkerhedsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester

                                                                                                                                                  HDS-opsætningsværktøj

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål.

                                                                                                                                                  URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

                                                                                                                                                  Område

                                                                                                                                                  URL-adresser for fælles identitet-vært

                                                                                                                                                  Nord-, Mellem- og Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  EU

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserverkrav

                                                                                                                                                  • Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

                                                                                                                                                    • Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicit proxy – squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

                                                                                                                                                  • Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:

                                                                                                                                                    • Ingen godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Grundlæggende godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Digest-godkendelse kun med HTTPS

                                                                                                                                                  • Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.

                                                                                                                                                  • Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

                                                                                                                                                  • Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

                                                                                                                                                  Udfyld forudsætningerne for hybriddatasikkerhed

                                                                                                                                                  Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
                                                                                                                                                  1

                                                                                                                                                  Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces.

                                                                                                                                                  2

                                                                                                                                                  Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com) og få en certifikatkæde, der indeholder et X.509 certifikat, privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 certifikatkrav.

                                                                                                                                                  3

                                                                                                                                                  Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter.

                                                                                                                                                  4

                                                                                                                                                  Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

                                                                                                                                                  1. Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)

                                                                                                                                                  2. Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:

                                                                                                                                                    • værtsnavnet eller IP-adressen (vært) og porten

                                                                                                                                                    • databasens navn (dbname) for nøglelagring

                                                                                                                                                    • brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

                                                                                                                                                  5

                                                                                                                                                  For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er.

                                                                                                                                                  6

                                                                                                                                                  Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.


                                                                                                                                                   

                                                                                                                                                  Fordi hybrid-datasikkerhedsknuderne gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operationel installation medføre, at det UOPRETTELIGT TAB af dette indhold.

                                                                                                                                                  Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl.

                                                                                                                                                  8

                                                                                                                                                  Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

                                                                                                                                                  Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger.

                                                                                                                                                  For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

                                                                                                                                                  11

                                                                                                                                                  Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder HdsTrialGroup, og tilføj pilotbrugere. Prøvegruppen kan have op til 250 brugere. Fil HdsTrialGroup objektet skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. For at synkronisere et gruppeobjekt skal du vælge det i Directory Connector's Konfiguration > menuen Objektvalg. (Se udrulningsvejledningen til Cisco Directory Connector for detaljerede vejledninger.)


                                                                                                                                                   

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Når du vælger pilotbrugere, skal du være opmærksom på, at hvis du beslutter dig for permanent at deaktivere installationen af hybrid-datasikkerhed, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugere. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagte kopier af indholdet.

                                                                                                                                                  Opsæt en hybrid-datasikkerhedsklynge

                                                                                                                                                  Opgaveflow for installation af hybrid-datasikkerhed

                                                                                                                                                  Før du begynder

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  1

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  Download OVA-filen til din lokale maskine til senere brug.

                                                                                                                                                  2

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  5

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

                                                                                                                                                  7

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

                                                                                                                                                  8

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Fuldfør klyngeopsætningen.

                                                                                                                                                  9

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)

                                                                                                                                                  Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og klik derefter på Tjenester.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

                                                                                                                                                  Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.


                                                                                                                                                   

                                                                                                                                                  Du kan også downloade OVA når som helst fra afsnittet Hjælp på siden Indstillinger . På hybriddatasikkerhedskortet skal du klikke på Rediger indstillinger for at åbne siden. Klik derefter på Download hybrid-datasikkerhedssoftware i afsnittet Hjælp .


                                                                                                                                                   

                                                                                                                                                  Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan resultere i problemer under opgradering af applikationen. Sørg for, at du downloader den seneste version af OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

                                                                                                                                                  OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:

                                                                                                                                                    • Legitimationsoplysninger til database

                                                                                                                                                    • Certifikatopdateringer

                                                                                                                                                    • Ændringer i godkendelsespolitikken

                                                                                                                                                  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

                                                                                                                                                  1

                                                                                                                                                  På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download det seneste stabile billede til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                  • I almindelige miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

                                                                                                                                                  Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

                                                                                                                                                  7

                                                                                                                                                  Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed.

                                                                                                                                                  8

                                                                                                                                                  Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

                                                                                                                                                  9

                                                                                                                                                  På siden ISO-import har du disse valgmuligheder:

                                                                                                                                                  • Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
                                                                                                                                                  • Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

                                                                                                                                                  • Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
                                                                                                                                                  11

                                                                                                                                                  Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

                                                                                                                                                  1. Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.

                                                                                                                                                  2. (kun Microsoft SQL-server) Vælg din godkendelsestype:

                                                                                                                                                    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .

                                                                                                                                                    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .

                                                                                                                                                  3. Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

                                                                                                                                                    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Indtast databasenavnet.

                                                                                                                                                  5. Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Vælg en TLS-databaseforbindelsestilstand:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrækker TLS (standardindstilling)

                                                                                                                                                  HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

                                                                                                                                                  Kræver TLS

                                                                                                                                                  HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  Kræver TLS og verificer certifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne tilstand gælder ikke for SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer din Syslogd-server på siden Systemlogfiler:

                                                                                                                                                  1. Indtast URL-adressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

                                                                                                                                                    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.

                                                                                                                                                  3. Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP

                                                                                                                                                    • Nul byte -- \x00

                                                                                                                                                    • Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klik på Fortsæt.

                                                                                                                                                  14

                                                                                                                                                  (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

                                                                                                                                                  Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

                                                                                                                                                  17

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

                                                                                                                                                  Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  18

                                                                                                                                                  For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  Næste trin

                                                                                                                                                  Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

                                                                                                                                                  2

                                                                                                                                                  Vælg Fil > Installer OVF-skabelon.

                                                                                                                                                  3

                                                                                                                                                  I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

                                                                                                                                                  4

                                                                                                                                                  Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste.

                                                                                                                                                  5

                                                                                                                                                  Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

                                                                                                                                                  Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

                                                                                                                                                  6

                                                                                                                                                  Bekræft skabelonoplysningerne, og klik derefter på Næste.

                                                                                                                                                  7

                                                                                                                                                  Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

                                                                                                                                                  8

                                                                                                                                                  Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

                                                                                                                                                  9

                                                                                                                                                  Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

                                                                                                                                                  10

                                                                                                                                                  På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

                                                                                                                                                  • Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

                                                                                                                                                     
                                                                                                                                                    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                    • For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.

                                                                                                                                                    • Den samlede længde af FQDN må ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

                                                                                                                                                     

                                                                                                                                                    Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  • Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
                                                                                                                                                  • Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
                                                                                                                                                  • DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
                                                                                                                                                  • NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.
                                                                                                                                                  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

                                                                                                                                                  Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  11

                                                                                                                                                  Højreklik på noden VM, og vælg derefter Strøm > tænd.

                                                                                                                                                  Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

                                                                                                                                                  Tips til fejlfinding

                                                                                                                                                  Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  1

                                                                                                                                                  I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol .

                                                                                                                                                  VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
                                                                                                                                                  2

                                                                                                                                                  Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne:

                                                                                                                                                  1. Log ind: admin

                                                                                                                                                  2. Adgangskode: cisco

                                                                                                                                                  Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik.

                                                                                                                                                  Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.

                                                                                                                                                  1

                                                                                                                                                  Overfør ISO-filen fra din computer:

                                                                                                                                                  1. Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.

                                                                                                                                                  2. Klik på Gem på listen Hardware under fanen Konfiguration på listen.

                                                                                                                                                  3. Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.

                                                                                                                                                  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

                                                                                                                                                  5. Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

                                                                                                                                                  6. Klik Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.

                                                                                                                                                  4. Kontrollér Tilsluttet og Tilslut ved tænd.

                                                                                                                                                  5. Gem dine ændringer, og genstart den virtuelle maskine.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.

                                                                                                                                                  Før du begynder

                                                                                                                                                  1

                                                                                                                                                  Indtast URL-adressen til opsætning af HDS-node https://[HDS Node IP or FQDN]/setup i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:

                                                                                                                                                  • Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
                                                                                                                                                  • Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:
                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                  Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen.

                                                                                                                                                  Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen.

                                                                                                                                                  Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

                                                                                                                                                  5

                                                                                                                                                  Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar.

                                                                                                                                                  Noden genstarter inden for et par minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status.

                                                                                                                                                  Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

                                                                                                                                                  Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Log på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menuen i venstre side af skærmen skal du vælge Tjenester.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt.

                                                                                                                                                  Siden Registrer hybrid-datasikkerhedsknude vises.
                                                                                                                                                  4

                                                                                                                                                  Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.

                                                                                                                                                  5

                                                                                                                                                  I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til.

                                                                                                                                                  Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                  Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik på Gå til node.

                                                                                                                                                  8

                                                                                                                                                  Klik Fortsæt i advarselsmeddelelsen.

                                                                                                                                                  Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
                                                                                                                                                  9

                                                                                                                                                  Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                  Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Hvis du vil tilføje yderligere noder til din klynge, skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

                                                                                                                                                   

                                                                                                                                                  På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  3

                                                                                                                                                  På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer.

                                                                                                                                                    Siden Hybrid-datasikkerhedsressourcer vises.
                                                                                                                                                  3. Klik på Tilføj ressource.

                                                                                                                                                  4. I det første felt skal du vælge navnet på din eksisterende klynge.

                                                                                                                                                  5. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                    Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen.
                                                                                                                                                  6. Klik på Gå til node.

                                                                                                                                                    Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node.
                                                                                                                                                  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  8. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Næste trin

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)
                                                                                                                                                  Kør en prøveversion, og flyt til produktion

                                                                                                                                                  Prøveversion til produktionsopgaveflow

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkroniser om nødvendigt HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  2

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.

                                                                                                                                                  3

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  4

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  Kontrollér status, og konfigurer e-mailunderretninger for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  6

                                                                                                                                                  Fuldfør prøvefasen med en af følgende handlinger:

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Før du begynder

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Tjenestestatus skal du klikke på Start prøveversion.

                                                                                                                                                  Tjenestestatus ændres til prøvetilstand.
                                                                                                                                                  4

                                                                                                                                                  Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester.

                                                                                                                                                  (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Konfigurer din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  • Aktivér prøveversionen, og tilføj flere prøvebrugere.

                                                                                                                                                  • Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer installationen af hybrid-datasikkerhed, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når klientcachelagte kopier af krypteringsnøglerne er udskiftet.

                                                                                                                                                  2

                                                                                                                                                  Send meddelelser til det nye rum.

                                                                                                                                                  3

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1. Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil kontrollere for en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  En statusindikator i Control Hub viser dig, om alt er godt med installationen af hybrid-datasikkerhed. For mere proaktiv varsling skal du tilmelde dig e-mailunderretninger. Du vil blive underrettet, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger.

                                                                                                                                                  Siden Indstillinger for hybrid-datasikkerhed vises.
                                                                                                                                                  3

                                                                                                                                                  Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.

                                                                                                                                                  4

                                                                                                                                                  Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

                                                                                                                                                  Flyt fra prøveversion til produktion

                                                                                                                                                  Når du er overbevist om, at din installation fungerer godt for brugerne af prøveversionen, kan du gå til produktionen. Når du flytter til produktion, vil alle brugere i organisationen bruge dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Du kan ikke gå tilbage til prøvetilstand fra produktion, medmindre du deaktiverer tjenesten som en del af genoprettelse af katastrofer. Hvis du genaktiverer tjenesten, skal du opsætte en ny prøveperiode.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil flytte alle dine brugere til produktion.

                                                                                                                                                  Afslut din prøveperiode uden at flytte til produktion

                                                                                                                                                  Hvis du under din prøveperiode beslutter ikke at fortsætte med din hybrid-datasikkerhedsinstallation, kan du deaktivere hybrid-datasikkerhed, som afslutter prøveperioden og flytter prøvebrugerne tilbage til cloud-datasikkerhedstjenesterne. Brugerne af prøveversionen mister adgang til de data, der blev krypteret under prøveperioden.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Deaktiver i sektionen Deaktiver.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

                                                                                                                                                  Administrer din HDS-installation

                                                                                                                                                  Administrer HDS-installation

                                                                                                                                                  Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Indstil tidsplan for klyngeopgradering

                                                                                                                                                  Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan angive en specifik opgraderingsplan eller bruge standardtidsplanen på 3:00 AM Daily USA: Amerika/Los Angeles Du kan også vælge at udsætte en kommende opgradering, hvis det er nødvendigt.

                                                                                                                                                  Sådan indstilles opgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.

                                                                                                                                                  4

                                                                                                                                                  Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.

                                                                                                                                                  5

                                                                                                                                                  På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen.

                                                                                                                                                  Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

                                                                                                                                                  Rediger nodekonfigurationen

                                                                                                                                                  Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:
                                                                                                                                                  • Ændring af x.509-certifikater på grund af udløb eller andre årsager.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

                                                                                                                                                  • Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

                                                                                                                                                  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

                                                                                                                                                  Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:

                                                                                                                                                  • Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.

                                                                                                                                                  • Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

                                                                                                                                                  Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

                                                                                                                                                  Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

                                                                                                                                                  1

                                                                                                                                                  Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

                                                                                                                                                  1. På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2. For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download det seneste stabile billede til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 indeholder ikke skærmbilleder til nulstilling af adgangskode.

                                                                                                                                                  5. Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                    • I almindelige miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6. Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  7. Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.

                                                                                                                                                  8. Importér den aktuelle ISO-konfigurationsfil.

                                                                                                                                                  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

                                                                                                                                                    For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner.

                                                                                                                                                  1. Installer HDS-hosten OVA.

                                                                                                                                                  2. Opsæt HDS-VM'en.

                                                                                                                                                  3. Tilslut den opdaterede konfigurationsfil.

                                                                                                                                                  4. Registrer den nye node i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude:

                                                                                                                                                  1. Slå den virtuelle maskine fra.

                                                                                                                                                  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

                                                                                                                                                  4. Markér Forbind med tilsluttet strøm.

                                                                                                                                                  5. Gem dine ændringer, og tænd for den virtuelle maskine.

                                                                                                                                                  4

                                                                                                                                                  Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

                                                                                                                                                  Deaktiver blokeret ekstern DNS-opløsningstilstand

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.

                                                                                                                                                  Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversigt (standardsiden).

                                                                                                                                                  Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

                                                                                                                                                  Næste trin

                                                                                                                                                  Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

                                                                                                                                                  Fjern en node

                                                                                                                                                  Brug denne procedure til at fjerne en hybrid-datasikkerhedsknude fra Webex-skyen. Når du har fjernet noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2. På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.

                                                                                                                                                  3. Vælg din klynge for at vise dens oversigtspanel.

                                                                                                                                                  4. Klik på listen Åbn knudepunkter.

                                                                                                                                                  5. På fanen Knuder skal du vælge den knude, du vil fjerne.

                                                                                                                                                  6. Klik Handlinger > Fjern registreringsnode.

                                                                                                                                                  3

                                                                                                                                                  I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

                                                                                                                                                  Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

                                                                                                                                                  Genoprettelse af katastrofer ved hjælp af standby-datacenter

                                                                                                                                                  Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

                                                                                                                                                  Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

                                                                                                                                                  Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis det primære datacenter bliver aktivt igen, skal du placere standbydatacenteret i passiv tilstand igen ved at følge de trin, der er beskrevet i Opsætning af standbydatacenter til genoprettelse af katastrofer.

                                                                                                                                                  (Valgfri) Fjern ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.

                                                                                                                                                  Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

                                                                                                                                                  1

                                                                                                                                                  Luk en af dine HDS-knudepunkter ned.

                                                                                                                                                  2

                                                                                                                                                  Vælg HDS-noden i vCenter-serverapparatet.

                                                                                                                                                  3

                                                                                                                                                  Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gentag for hver HDS-node efter tur.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Vis varsler og fejlfinding

                                                                                                                                                  En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

                                                                                                                                                  • Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)

                                                                                                                                                  • Meddelelser og rumtitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brugere føjet til et rum (kan ikke hente nøgler)

                                                                                                                                                    • Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)

                                                                                                                                                  • Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

                                                                                                                                                  Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.

                                                                                                                                                  Tabel 1. Almindelige problemer og trinnene til at løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Adgang til lokal database mislykkedes.

                                                                                                                                                  Kontrollér for databasefejl eller lokale netværksproblemer.

                                                                                                                                                  Lokal databaseforbindelse mislykkedes.

                                                                                                                                                  Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.

                                                                                                                                                  Adgang til cloud-tjeneste mislykkedes.

                                                                                                                                                  Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.

                                                                                                                                                  Fornyelse af registrering af cloud-tjeneste.

                                                                                                                                                  Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.

                                                                                                                                                  Tilmelding til cloudtjeneste blev droppet.

                                                                                                                                                  Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.

                                                                                                                                                  Tjeneste endnu ikke aktiveret.

                                                                                                                                                  Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.

                                                                                                                                                  Det konfigurerede domæne matcher ikke servercertifikatet.

                                                                                                                                                  Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

                                                                                                                                                  Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.

                                                                                                                                                  Kunne ikke godkendes til cloudtjenester.

                                                                                                                                                  Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.

                                                                                                                                                  Kunne ikke åbne lokal tastaturfil.

                                                                                                                                                  Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.

                                                                                                                                                  Lokalt servercertifikat er ugyldigt.

                                                                                                                                                  Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.

                                                                                                                                                  Kan ikke postere målinger.

                                                                                                                                                  Kontrollér lokal netværksadgang til eksterne cloud-tjenester.

                                                                                                                                                  /media/configdrive/hds-telefonbogen findes ikke.

                                                                                                                                                  Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.
                                                                                                                                                  1

                                                                                                                                                  Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.

                                                                                                                                                  2

                                                                                                                                                  Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-support.

                                                                                                                                                  Andre noter

                                                                                                                                                  Kendte problemer med hybrid-datasikkerhed

                                                                                                                                                  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

                                                                                                                                                  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

                                                                                                                                                    Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

                                                                                                                                                  Brug åbenSSL til at generere en PKCS12-fil

                                                                                                                                                  Før du begynder

                                                                                                                                                  • OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.

                                                                                                                                                  • Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.

                                                                                                                                                  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.

                                                                                                                                                  • Opret en privat nøgle.

                                                                                                                                                  • Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

                                                                                                                                                  1

                                                                                                                                                  Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis certifikatet som tekst, og bekræft detaljerne.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Opret .p12-filen med det venlige navn kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollér servercertifikatoplysningerne.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne friendlyName: kms-private-key.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Næste trin

                                                                                                                                                  Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

                                                                                                                                                  Trafik mellem HDS-knudepunkterne og skyen

                                                                                                                                                  Indsamlingstrafik for udgående målinger

                                                                                                                                                  Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).

                                                                                                                                                  Indgående trafik

                                                                                                                                                  Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

                                                                                                                                                  • Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten

                                                                                                                                                  • Opgraderinger til nodesoftwaren

                                                                                                                                                  Konfigurer Squid-proxyer til hybrid-datasikkerhed

                                                                                                                                                  Websocket kan ikke oprette forbindelse via squid-proxy

                                                                                                                                                  Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss: trafik med henblik på korrekt drift af tjenesterne.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Tilføj on_unsupported_protocol direktiv til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Forbillede

                                                                                                                                                  Nye og ændrede oplysninger

                                                                                                                                                  Dato

                                                                                                                                                  Ændringer foretaget

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  07. august 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  Den 06. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Opdaterede installationsfiler til download.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

                                                                                                                                                  Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

                                                                                                                                                  20. februar 2020Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.
                                                                                                                                                  4. februar 2020Opdaterede proxyserverkrav.
                                                                                                                                                  16. december 2019Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

                                                                                                                                                  Følgende afsnit blev opdateret i overensstemmelse hermed:


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Tilføjede SQL-serverstandard til databaseserverkrav.

                                                                                                                                                  29. august 2019Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

                                                                                                                                                  Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

                                                                                                                                                  13. juni 2019Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering.
                                                                                                                                                  6. marts 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.

                                                                                                                                                  • Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid-datasikkerhed understøtter nu Microsoft SQL-server som en database. SQL-server altid tændt (Altid på failover-klynger og Altid på tilgængelighedsgrupper) understøttes af de JDBC-drivere, der bruges i hybrid-datasikkerhed. Tilføjet indhold relateret til installation med SQL-server.


                                                                                                                                                     

                                                                                                                                                    Understøttelse af Microsoft SQL Server er kun beregnet til nye installationer af Hybriddatasikkerhed. Vi understøtter i øjeblikket ikke migrering af data fra PostgreSQL til Microsoft SQL Server i en eksisterende installation.

                                                                                                                                                  Den 5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Ændret terminologi for at afspejle genbranding af Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.

                                                                                                                                                  • Cisco Spark-appen er nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton-clouden er nu Webex-clouden.

                                                                                                                                                  Den 11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  Den 2. november 2017

                                                                                                                                                  • Klargjort adressebogssynkronisering af HdsTrialGroup.

                                                                                                                                                  • Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Udgivet første gang

                                                                                                                                                  Kom i gang med hybriddatasikkerhed

                                                                                                                                                  Oversigt over hybriddatasikkerhed

                                                                                                                                                  Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

                                                                                                                                                  Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.

                                                                                                                                                  Sikkerhedsarkitektur

                                                                                                                                                  Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

                                                                                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)

                                                                                                                                                  For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

                                                                                                                                                  I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:

                                                                                                                                                  1. Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

                                                                                                                                                  2. Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.

                                                                                                                                                  3. Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.

                                                                                                                                                  4. Den krypterede meddelelse gemmes i hukommelsesdomænet.

                                                                                                                                                  Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.

                                                                                                                                                  Samarbejde med andre organisationer

                                                                                                                                                  Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

                                                                                                                                                  KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Forventninger til installation af hybrid-datasikkerhed

                                                                                                                                                  En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

                                                                                                                                                  For at installere hybrid-datasikkerhed skal du angive:

                                                                                                                                                  Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

                                                                                                                                                  • Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.

                                                                                                                                                  • Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.


                                                                                                                                                   

                                                                                                                                                  Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

                                                                                                                                                  Opsætningsproces på højt niveau

                                                                                                                                                  Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

                                                                                                                                                  • Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

                                                                                                                                                    Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.

                                                                                                                                                  • Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.

                                                                                                                                                  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.

                                                                                                                                                  Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)

                                                                                                                                                  Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.

                                                                                                                                                  Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

                                                                                                                                                  Vi understøtter kun en enkelt klynge pr. organisation.

                                                                                                                                                  Prøvetilstand for hybrid-datasikkerhed

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.

                                                                                                                                                  Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.

                                                                                                                                                  Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.

                                                                                                                                                  Standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuel failover til standbydatacenter

                                                                                                                                                  De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.


                                                                                                                                                   

                                                                                                                                                  De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

                                                                                                                                                  Opsætning af standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)

                                                                                                                                                  • Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

                                                                                                                                                  Næste trin

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.

                                                                                                                                                  Proxysupport

                                                                                                                                                  Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.

                                                                                                                                                  Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

                                                                                                                                                  • Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

                                                                                                                                                  • Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

                                                                                                                                                      • HTTP – Viser og styrer alle anmodninger, som klienten sender.

                                                                                                                                                      • HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                  Eksempel på hybrid-datasikkerhedsknuder og proxy

                                                                                                                                                  Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.

                                                                                                                                                  Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  Krav til hybrid-datasikkerhed

                                                                                                                                                  Krav til Docker-desktop

                                                                                                                                                  Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkæden skal opfylde følgende krav:

                                                                                                                                                  Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Underskrevet af en betroet certifikatmyndighed (CA)

                                                                                                                                                  Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation

                                                                                                                                                  • Er ikke et jokerkortcertifikat

                                                                                                                                                  CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

                                                                                                                                                  KN må ikke indeholde et * (jokertegn).

                                                                                                                                                  CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.

                                                                                                                                                  • Ikke-SHA1-signatur

                                                                                                                                                  KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

                                                                                                                                                  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

                                                                                                                                                  • Brug det venlige navn på kms-private-key for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.

                                                                                                                                                  Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format.

                                                                                                                                                  Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

                                                                                                                                                  KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.

                                                                                                                                                  Krav til virtuelle vært

                                                                                                                                                  De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

                                                                                                                                                  • Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter

                                                                                                                                                  • VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.


                                                                                                                                                     

                                                                                                                                                    Du skal opgradere, hvis du har en tidligere version af ESXI.

                                                                                                                                                  • Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

                                                                                                                                                  Databaseserverkrav


                                                                                                                                                   

                                                                                                                                                  Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

                                                                                                                                                  Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

                                                                                                                                                  Tabel 2. Databaseserverkrav efter databasetype

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installeret og kører.

                                                                                                                                                  • SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.


                                                                                                                                                     

                                                                                                                                                    SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL-server-JDBC-driver 4.6

                                                                                                                                                  Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

                                                                                                                                                  Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

                                                                                                                                                  Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

                                                                                                                                                  • HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.

                                                                                                                                                  • Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.

                                                                                                                                                  • De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

                                                                                                                                                    HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

                                                                                                                                                  Krav til ekstern forbindelse

                                                                                                                                                  Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

                                                                                                                                                  Applikation

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Retning fra appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasikkerhedsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester

                                                                                                                                                  HDS-opsætningsværktøj

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål.

                                                                                                                                                  URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

                                                                                                                                                  Område

                                                                                                                                                  URL-adresser for fælles identitet-vært

                                                                                                                                                  Nord-, Mellem- og Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  EU

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserverkrav

                                                                                                                                                  • Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

                                                                                                                                                    • Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicit proxy – squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

                                                                                                                                                  • Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:

                                                                                                                                                    • Ingen godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Grundlæggende godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Digest-godkendelse kun med HTTPS

                                                                                                                                                  • Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.

                                                                                                                                                  • Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

                                                                                                                                                  • Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

                                                                                                                                                  Udfyld forudsætningerne for hybriddatasikkerhed

                                                                                                                                                  Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
                                                                                                                                                  1

                                                                                                                                                  Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces.

                                                                                                                                                  2

                                                                                                                                                  Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com) og få en certifikatkæde, der indeholder et X.509 certifikat, privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 certifikatkrav.

                                                                                                                                                  3

                                                                                                                                                  Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter.

                                                                                                                                                  4

                                                                                                                                                  Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

                                                                                                                                                  1. Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)

                                                                                                                                                  2. Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:

                                                                                                                                                    • værtsnavnet eller IP-adressen (vært) og porten

                                                                                                                                                    • databasens navn (dbname) for nøglelagring

                                                                                                                                                    • brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

                                                                                                                                                  5

                                                                                                                                                  For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er.

                                                                                                                                                  6

                                                                                                                                                  Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.


                                                                                                                                                   

                                                                                                                                                  Fordi hybrid-datasikkerhedsknuderne gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operationel installation medføre, at det UOPRETTELIGT TAB af dette indhold.

                                                                                                                                                  Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl.

                                                                                                                                                  8

                                                                                                                                                  Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

                                                                                                                                                  Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger.

                                                                                                                                                  For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

                                                                                                                                                  11

                                                                                                                                                  Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder HdsTrialGroup, og tilføj pilotbrugere. Prøvegruppen kan have op til 250 brugere. Fil HdsTrialGroup objektet skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. For at synkronisere et gruppeobjekt skal du vælge det i Directory Connector's Konfiguration > menuen Objektvalg. (Se udrulningsvejledningen til Cisco Directory Connector for detaljerede vejledninger.)


                                                                                                                                                   

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Når du vælger pilotbrugere, skal du være opmærksom på, at hvis du beslutter dig for permanent at deaktivere installationen af hybrid-datasikkerhed, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugere. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagte kopier af indholdet.

                                                                                                                                                  Opsæt en hybrid-datasikkerhedsklynge

                                                                                                                                                  Opgaveflow for installation af hybrid-datasikkerhed

                                                                                                                                                  Før du begynder

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  1

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  Download OVA-filen til din lokale maskine til senere brug.

                                                                                                                                                  2

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  5

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

                                                                                                                                                  7

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

                                                                                                                                                  8

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Fuldfør klyngeopsætningen.

                                                                                                                                                  9

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)

                                                                                                                                                  Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og klik derefter på Tjenester.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

                                                                                                                                                  Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.


                                                                                                                                                   

                                                                                                                                                  Du kan også downloade OVA når som helst fra afsnittet Hjælp på siden Indstillinger . På hybriddatasikkerhedskortet skal du klikke på Rediger indstillinger for at åbne siden. Klik derefter på Download hybrid-datasikkerhedssoftware i afsnittet Hjælp .


                                                                                                                                                   

                                                                                                                                                  Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan resultere i problemer under opgradering af applikationen. Sørg for, at du downloader den seneste version af OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

                                                                                                                                                  OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:

                                                                                                                                                    • Legitimationsoplysninger til database

                                                                                                                                                    • Certifikatopdateringer

                                                                                                                                                    • Ændringer i godkendelsespolitikken

                                                                                                                                                  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

                                                                                                                                                  1

                                                                                                                                                  På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download det seneste stabile billede til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                  • I almindelige miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

                                                                                                                                                  Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

                                                                                                                                                  7

                                                                                                                                                  Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed.

                                                                                                                                                  8

                                                                                                                                                  Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

                                                                                                                                                  9

                                                                                                                                                  På siden ISO-import har du disse valgmuligheder:

                                                                                                                                                  • Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
                                                                                                                                                  • Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

                                                                                                                                                  • Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
                                                                                                                                                  11

                                                                                                                                                  Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

                                                                                                                                                  1. Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.

                                                                                                                                                  2. (kun Microsoft SQL-server) Vælg din godkendelsestype:

                                                                                                                                                    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .

                                                                                                                                                    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .

                                                                                                                                                  3. Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

                                                                                                                                                    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Indtast databasenavnet.

                                                                                                                                                  5. Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Vælg en TLS-databaseforbindelsestilstand:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrækker TLS (standardindstilling)

                                                                                                                                                  HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

                                                                                                                                                  Kræver TLS

                                                                                                                                                  HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  Kræver TLS og verificer certifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne tilstand gælder ikke for SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer din Syslogd-server på siden Systemlogfiler:

                                                                                                                                                  1. Indtast URL-adressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

                                                                                                                                                    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.

                                                                                                                                                  3. Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP

                                                                                                                                                    • Nul byte -- \x00

                                                                                                                                                    • Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klik på Fortsæt.

                                                                                                                                                  14

                                                                                                                                                  (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

                                                                                                                                                  Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

                                                                                                                                                  17

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

                                                                                                                                                  Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  18

                                                                                                                                                  For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  Næste trin

                                                                                                                                                  Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

                                                                                                                                                  2

                                                                                                                                                  Vælg Fil > Installer OVF-skabelon.

                                                                                                                                                  3

                                                                                                                                                  I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

                                                                                                                                                  4

                                                                                                                                                  Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste.

                                                                                                                                                  5

                                                                                                                                                  Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

                                                                                                                                                  Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

                                                                                                                                                  6

                                                                                                                                                  Bekræft skabelonoplysningerne, og klik derefter på Næste.

                                                                                                                                                  7

                                                                                                                                                  Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

                                                                                                                                                  8

                                                                                                                                                  Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

                                                                                                                                                  9

                                                                                                                                                  Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

                                                                                                                                                  10

                                                                                                                                                  På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

                                                                                                                                                  • Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

                                                                                                                                                     
                                                                                                                                                    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                    • For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.

                                                                                                                                                    • Den samlede længde af FQDN må ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

                                                                                                                                                     

                                                                                                                                                    Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  • Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
                                                                                                                                                  • Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
                                                                                                                                                  • DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
                                                                                                                                                  • NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.
                                                                                                                                                  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

                                                                                                                                                  Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  11

                                                                                                                                                  Højreklik på noden VM, og vælg derefter Strøm > tænd.

                                                                                                                                                  Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

                                                                                                                                                  Tips til fejlfinding

                                                                                                                                                  Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  1

                                                                                                                                                  I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol .

                                                                                                                                                  VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
                                                                                                                                                  2

                                                                                                                                                  Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne:

                                                                                                                                                  1. Log ind: admin

                                                                                                                                                  2. Adgangskode: cisco

                                                                                                                                                  Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik.

                                                                                                                                                  Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.

                                                                                                                                                  1

                                                                                                                                                  Overfør ISO-filen fra din computer:

                                                                                                                                                  1. Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.

                                                                                                                                                  2. Klik på Gem på listen Hardware under fanen Konfiguration på listen.

                                                                                                                                                  3. Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.

                                                                                                                                                  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

                                                                                                                                                  5. Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

                                                                                                                                                  6. Klik Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.

                                                                                                                                                  4. Kontrollér Tilsluttet og Tilslut ved tænd.

                                                                                                                                                  5. Gem dine ændringer, og genstart den virtuelle maskine.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.

                                                                                                                                                  Før du begynder

                                                                                                                                                  1

                                                                                                                                                  Indtast URL-adressen til opsætning af HDS-node https://[HDS Node IP or FQDN]/setup i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:

                                                                                                                                                  • Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
                                                                                                                                                  • Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:
                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                  Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen.

                                                                                                                                                  Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen.

                                                                                                                                                  Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

                                                                                                                                                  5

                                                                                                                                                  Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar.

                                                                                                                                                  Noden genstarter inden for et par minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status.

                                                                                                                                                  Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

                                                                                                                                                  Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Log på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menuen i venstre side af skærmen skal du vælge Tjenester.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt.

                                                                                                                                                  Siden Registrer hybrid-datasikkerhedsknude vises.
                                                                                                                                                  4

                                                                                                                                                  Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.

                                                                                                                                                  5

                                                                                                                                                  I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til.

                                                                                                                                                  Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                  Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik på Gå til node.

                                                                                                                                                  8

                                                                                                                                                  Klik Fortsæt i advarselsmeddelelsen.

                                                                                                                                                  Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
                                                                                                                                                  9

                                                                                                                                                  Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                  Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Hvis du vil tilføje yderligere noder til din klynge, skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

                                                                                                                                                   

                                                                                                                                                  På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  3

                                                                                                                                                  På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer.

                                                                                                                                                    Siden Hybrid-datasikkerhedsressourcer vises.
                                                                                                                                                  3. Klik på Tilføj ressource.

                                                                                                                                                  4. I det første felt skal du vælge navnet på din eksisterende klynge.

                                                                                                                                                  5. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                    Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen.
                                                                                                                                                  6. Klik på Gå til node.

                                                                                                                                                    Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node.
                                                                                                                                                  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  8. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Næste trin

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)
                                                                                                                                                  Kør en prøveversion, og flyt til produktion

                                                                                                                                                  Prøveversion til produktionsopgaveflow

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkroniser om nødvendigt HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  2

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.

                                                                                                                                                  3

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  4

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  Kontrollér status, og konfigurer e-mailunderretninger for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  6

                                                                                                                                                  Fuldfør prøvefasen med en af følgende handlinger:

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Før du begynder

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Tjenestestatus skal du klikke på Start prøveversion.

                                                                                                                                                  Tjenestestatus ændres til prøvetilstand.
                                                                                                                                                  4

                                                                                                                                                  Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester.

                                                                                                                                                  (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Konfigurer din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  • Aktivér prøveversionen, og tilføj flere prøvebrugere.

                                                                                                                                                  • Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer installationen af hybrid-datasikkerhed, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når klientcachelagte kopier af krypteringsnøglerne er udskiftet.

                                                                                                                                                  2

                                                                                                                                                  Send meddelelser til det nye rum.

                                                                                                                                                  3

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1. Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil kontrollere for en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  En statusindikator i Control Hub viser dig, om alt er godt med installationen af hybrid-datasikkerhed. For mere proaktiv varsling skal du tilmelde dig e-mailunderretninger. Du vil blive underrettet, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger.

                                                                                                                                                  Siden Indstillinger for hybrid-datasikkerhed vises.
                                                                                                                                                  3

                                                                                                                                                  Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.

                                                                                                                                                  4

                                                                                                                                                  Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

                                                                                                                                                  Flyt fra prøveversion til produktion

                                                                                                                                                  Når du er overbevist om, at din installation fungerer godt for brugerne af prøveversionen, kan du gå til produktionen. Når du flytter til produktion, vil alle brugere i organisationen bruge dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Du kan ikke gå tilbage til prøvetilstand fra produktion, medmindre du deaktiverer tjenesten som en del af genoprettelse af katastrofer. Hvis du genaktiverer tjenesten, skal du opsætte en ny prøveperiode.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil flytte alle dine brugere til produktion.

                                                                                                                                                  Afslut din prøveperiode uden at flytte til produktion

                                                                                                                                                  Hvis du under din prøveperiode beslutter ikke at fortsætte med din hybrid-datasikkerhedsinstallation, kan du deaktivere hybrid-datasikkerhed, som afslutter prøveperioden og flytter prøvebrugerne tilbage til cloud-datasikkerhedstjenesterne. Brugerne af prøveversionen mister adgang til de data, der blev krypteret under prøveperioden.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Deaktiver i sektionen Deaktiver.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

                                                                                                                                                  Administrer din HDS-installation

                                                                                                                                                  Administrer HDS-installation

                                                                                                                                                  Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Indstil tidsplan for klyngeopgradering

                                                                                                                                                  Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan angive en specifik opgraderingsplan eller bruge standardtidsplanen på 3:00 AM Daily USA: Amerika/Los Angeles Du kan også vælge at udsætte en kommende opgradering, hvis det er nødvendigt.

                                                                                                                                                  Sådan indstilles opgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.

                                                                                                                                                  4

                                                                                                                                                  Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.

                                                                                                                                                  5

                                                                                                                                                  På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen.

                                                                                                                                                  Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

                                                                                                                                                  Rediger nodekonfigurationen

                                                                                                                                                  Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:
                                                                                                                                                  • Ændring af x.509-certifikater på grund af udløb eller andre årsager.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

                                                                                                                                                  • Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

                                                                                                                                                  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

                                                                                                                                                  Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:

                                                                                                                                                  • Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.

                                                                                                                                                  • Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

                                                                                                                                                  Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

                                                                                                                                                  Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

                                                                                                                                                  1

                                                                                                                                                  Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

                                                                                                                                                  1. På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2. For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download det seneste stabile billede til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 indeholder ikke skærmbilleder til nulstilling af adgangskode.

                                                                                                                                                  5. Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                    • I almindelige miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6. Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  7. Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.

                                                                                                                                                  8. Importér den aktuelle ISO-konfigurationsfil.

                                                                                                                                                  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

                                                                                                                                                    For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner.

                                                                                                                                                  1. Installer HDS-hosten OVA.

                                                                                                                                                  2. Opsæt HDS-VM'en.

                                                                                                                                                  3. Tilslut den opdaterede konfigurationsfil.

                                                                                                                                                  4. Registrer den nye node i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude:

                                                                                                                                                  1. Slå den virtuelle maskine fra.

                                                                                                                                                  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

                                                                                                                                                  4. Markér Forbind med tilsluttet strøm.

                                                                                                                                                  5. Gem dine ændringer, og tænd for den virtuelle maskine.

                                                                                                                                                  4

                                                                                                                                                  Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

                                                                                                                                                  Deaktiver blokeret ekstern DNS-opløsningstilstand

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.

                                                                                                                                                  Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversigt (standardsiden).

                                                                                                                                                  Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

                                                                                                                                                  Næste trin

                                                                                                                                                  Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

                                                                                                                                                  Fjern en node

                                                                                                                                                  Brug denne procedure til at fjerne en hybrid-datasikkerhedsknude fra Webex-skyen. Når du har fjernet noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2. På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.

                                                                                                                                                  3. Vælg din klynge for at vise dens oversigtspanel.

                                                                                                                                                  4. Klik på listen Åbn knudepunkter.

                                                                                                                                                  5. På fanen Knuder skal du vælge den knude, du vil fjerne.

                                                                                                                                                  6. Klik Handlinger > Fjern registreringsnode.

                                                                                                                                                  3

                                                                                                                                                  I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

                                                                                                                                                  Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

                                                                                                                                                  Genoprettelse af katastrofer ved hjælp af standby-datacenter

                                                                                                                                                  Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

                                                                                                                                                  Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

                                                                                                                                                  Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis det primære datacenter bliver aktivt igen, skal du placere standbydatacenteret i passiv tilstand igen ved at følge de trin, der er beskrevet i Opsætning af standbydatacenter til genoprettelse af katastrofer.

                                                                                                                                                  (Valgfri) Fjern ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.

                                                                                                                                                  Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

                                                                                                                                                  1

                                                                                                                                                  Luk en af dine HDS-knudepunkter ned.

                                                                                                                                                  2

                                                                                                                                                  Vælg HDS-noden i vCenter-serverapparatet.

                                                                                                                                                  3

                                                                                                                                                  Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gentag for hver HDS-node efter tur.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Vis varsler og fejlfinding

                                                                                                                                                  En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

                                                                                                                                                  • Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)

                                                                                                                                                  • Meddelelser og rumtitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brugere føjet til et rum (kan ikke hente nøgler)

                                                                                                                                                    • Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)

                                                                                                                                                  • Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

                                                                                                                                                  Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.

                                                                                                                                                  Tabel 1. Almindelige problemer og trinnene til at løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Adgang til lokal database mislykkedes.

                                                                                                                                                  Kontrollér for databasefejl eller lokale netværksproblemer.

                                                                                                                                                  Lokal databaseforbindelse mislykkedes.

                                                                                                                                                  Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.

                                                                                                                                                  Adgang til cloud-tjeneste mislykkedes.

                                                                                                                                                  Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.

                                                                                                                                                  Fornyelse af registrering af cloud-tjeneste.

                                                                                                                                                  Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.

                                                                                                                                                  Tilmelding til cloudtjeneste blev droppet.

                                                                                                                                                  Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.

                                                                                                                                                  Tjeneste endnu ikke aktiveret.

                                                                                                                                                  Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.

                                                                                                                                                  Det konfigurerede domæne matcher ikke servercertifikatet.

                                                                                                                                                  Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

                                                                                                                                                  Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.

                                                                                                                                                  Kunne ikke godkendes til cloudtjenester.

                                                                                                                                                  Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.

                                                                                                                                                  Kunne ikke åbne lokal tastaturfil.

                                                                                                                                                  Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.

                                                                                                                                                  Lokalt servercertifikat er ugyldigt.

                                                                                                                                                  Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.

                                                                                                                                                  Kan ikke postere målinger.

                                                                                                                                                  Kontrollér lokal netværksadgang til eksterne cloud-tjenester.

                                                                                                                                                  /media/configdrive/hds-telefonbogen findes ikke.

                                                                                                                                                  Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.
                                                                                                                                                  1

                                                                                                                                                  Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.

                                                                                                                                                  2

                                                                                                                                                  Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-support.

                                                                                                                                                  Andre noter

                                                                                                                                                  Kendte problemer med hybrid-datasikkerhed

                                                                                                                                                  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

                                                                                                                                                  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

                                                                                                                                                    Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

                                                                                                                                                  Brug åbenSSL til at generere en PKCS12-fil

                                                                                                                                                  Før du begynder

                                                                                                                                                  • OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.

                                                                                                                                                  • Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.

                                                                                                                                                  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.

                                                                                                                                                  • Opret en privat nøgle.

                                                                                                                                                  • Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

                                                                                                                                                  1

                                                                                                                                                  Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis certifikatet som tekst, og bekræft detaljerne.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Opret .p12-filen med det venlige navn kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollér servercertifikatoplysningerne.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne friendlyName: kms-private-key.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Næste trin

                                                                                                                                                  Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

                                                                                                                                                  Trafik mellem HDS-knudepunkterne og skyen

                                                                                                                                                  Indsamlingstrafik for udgående målinger

                                                                                                                                                  Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).

                                                                                                                                                  Indgående trafik

                                                                                                                                                  Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

                                                                                                                                                  • Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten

                                                                                                                                                  • Opgraderinger til nodesoftwaren

                                                                                                                                                  Konfigurer Squid-proxyer til hybrid-datasikkerhed

                                                                                                                                                  Websocket kan ikke oprette forbindelse via squid-proxy

                                                                                                                                                  Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss: trafik med henblik på korrekt drift af tjenesterne.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Tilføj on_unsupported_protocol direktiv til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Forbillede

                                                                                                                                                  Nye og ændrede oplysninger

                                                                                                                                                  Dato

                                                                                                                                                  Ændringer foretaget

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  07. august 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  Den 06. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Opdaterede installationsfiler til download.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

                                                                                                                                                  Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

                                                                                                                                                  20. februar 2020Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.
                                                                                                                                                  4. februar 2020Opdaterede proxyserverkrav.
                                                                                                                                                  16. december 2019Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

                                                                                                                                                  Følgende afsnit blev opdateret i overensstemmelse hermed:


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Tilføjede SQL-serverstandard til databaseserverkrav.

                                                                                                                                                  29. august 2019Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

                                                                                                                                                  Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

                                                                                                                                                  13. juni 2019Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering.
                                                                                                                                                  6. marts 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.

                                                                                                                                                  • Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid-datasikkerhed understøtter nu Microsoft SQL-server som en database. SQL-server altid tændt (Altid på failover-klynger og Altid på tilgængelighedsgrupper) understøttes af de JDBC-drivere, der bruges i hybrid-datasikkerhed. Tilføjet indhold relateret til installation med SQL-server.


                                                                                                                                                     

                                                                                                                                                    Understøttelse af Microsoft SQL Server er kun beregnet til nye installationer af Hybriddatasikkerhed. Vi understøtter i øjeblikket ikke migrering af data fra PostgreSQL til Microsoft SQL Server i en eksisterende installation.

                                                                                                                                                  Den 5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Ændret terminologi for at afspejle genbranding af Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.

                                                                                                                                                  • Cisco Spark-appen er nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton-clouden er nu Webex-clouden.

                                                                                                                                                  Den 11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  Den 2. november 2017

                                                                                                                                                  • Klargjort adressebogssynkronisering af HdsTrialGroup.

                                                                                                                                                  • Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Udgivet første gang

                                                                                                                                                  Kom i gang med hybriddatasikkerhed

                                                                                                                                                  Oversigt over hybriddatasikkerhed

                                                                                                                                                  Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

                                                                                                                                                  Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.

                                                                                                                                                  Sikkerhedsarkitektur

                                                                                                                                                  Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

                                                                                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)

                                                                                                                                                  For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

                                                                                                                                                  I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:

                                                                                                                                                  1. Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

                                                                                                                                                  2. Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.

                                                                                                                                                  3. Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.

                                                                                                                                                  4. Den krypterede meddelelse gemmes i hukommelsesdomænet.

                                                                                                                                                  Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.

                                                                                                                                                  Samarbejde med andre organisationer

                                                                                                                                                  Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

                                                                                                                                                  KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Forventninger til installation af hybrid-datasikkerhed

                                                                                                                                                  En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

                                                                                                                                                  For at installere hybrid-datasikkerhed skal du angive:

                                                                                                                                                  Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

                                                                                                                                                  • Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.

                                                                                                                                                  • Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.


                                                                                                                                                   

                                                                                                                                                  Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

                                                                                                                                                  Opsætningsproces på højt niveau

                                                                                                                                                  Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

                                                                                                                                                  • Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

                                                                                                                                                    Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.

                                                                                                                                                  • Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.

                                                                                                                                                  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.

                                                                                                                                                  Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)

                                                                                                                                                  Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.

                                                                                                                                                  Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

                                                                                                                                                  Vi understøtter kun en enkelt klynge pr. organisation.

                                                                                                                                                  Prøvetilstand for hybrid-datasikkerhed

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.

                                                                                                                                                  Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.

                                                                                                                                                  Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.

                                                                                                                                                  Standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuel failover til standbydatacenter

                                                                                                                                                  De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.


                                                                                                                                                   

                                                                                                                                                  De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

                                                                                                                                                  Opsætning af standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)

                                                                                                                                                  • Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

                                                                                                                                                  Næste trin

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.

                                                                                                                                                  Proxysupport

                                                                                                                                                  Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.

                                                                                                                                                  Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

                                                                                                                                                  • Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

                                                                                                                                                  • Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

                                                                                                                                                      • HTTP – Viser og styrer alle anmodninger, som klienten sender.

                                                                                                                                                      • HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                  Eksempel på hybrid-datasikkerhedsknuder og proxy

                                                                                                                                                  Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.

                                                                                                                                                  Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  Krav til hybrid-datasikkerhed

                                                                                                                                                  Krav til Docker-desktop

                                                                                                                                                  Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkæden skal opfylde følgende krav:

                                                                                                                                                  Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Underskrevet af en betroet certifikatmyndighed (CA)

                                                                                                                                                  Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation

                                                                                                                                                  • Er ikke et jokerkortcertifikat

                                                                                                                                                  CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

                                                                                                                                                  KN må ikke indeholde et * (jokertegn).

                                                                                                                                                  CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.

                                                                                                                                                  • Ikke-SHA1-signatur

                                                                                                                                                  KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

                                                                                                                                                  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

                                                                                                                                                  • Brug det venlige navn på kms-private-key for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.

                                                                                                                                                  Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format.

                                                                                                                                                  Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

                                                                                                                                                  KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.

                                                                                                                                                  Krav til virtuelle vært

                                                                                                                                                  De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

                                                                                                                                                  • Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter

                                                                                                                                                  • VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.


                                                                                                                                                     

                                                                                                                                                    Du skal opgradere, hvis du har en tidligere version af ESXI.

                                                                                                                                                  • Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

                                                                                                                                                  Databaseserverkrav


                                                                                                                                                   

                                                                                                                                                  Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

                                                                                                                                                  Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

                                                                                                                                                  Tabel 2. Databaseserverkrav efter databasetype

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installeret og kører.

                                                                                                                                                  • SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.


                                                                                                                                                     

                                                                                                                                                    SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL-server-JDBC-driver 4.6

                                                                                                                                                  Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

                                                                                                                                                  Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

                                                                                                                                                  Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

                                                                                                                                                  • HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.

                                                                                                                                                  • Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.

                                                                                                                                                  • De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

                                                                                                                                                    HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

                                                                                                                                                  Krav til ekstern forbindelse

                                                                                                                                                  Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

                                                                                                                                                  Applikation

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Retning fra appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasikkerhedsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester

                                                                                                                                                  HDS-opsætningsværktøj

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål.

                                                                                                                                                  URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

                                                                                                                                                  Område

                                                                                                                                                  URL-adresser for fælles identitet-vært

                                                                                                                                                  Nord-, Mellem- og Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  EU

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserverkrav

                                                                                                                                                  • Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

                                                                                                                                                    • Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicit proxy – squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

                                                                                                                                                  • Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:

                                                                                                                                                    • Ingen godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Grundlæggende godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Digest-godkendelse kun med HTTPS

                                                                                                                                                  • Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.

                                                                                                                                                  • Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

                                                                                                                                                  • Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

                                                                                                                                                  Udfyld forudsætningerne for hybriddatasikkerhed

                                                                                                                                                  Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
                                                                                                                                                  1

                                                                                                                                                  Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces.

                                                                                                                                                  2

                                                                                                                                                  Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com) og få en certifikatkæde, der indeholder et X.509 certifikat, privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 certifikatkrav.

                                                                                                                                                  3

                                                                                                                                                  Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter.

                                                                                                                                                  4

                                                                                                                                                  Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

                                                                                                                                                  1. Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)

                                                                                                                                                  2. Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:

                                                                                                                                                    • værtsnavnet eller IP-adressen (vært) og porten

                                                                                                                                                    • databasens navn (dbname) for nøglelagring

                                                                                                                                                    • brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

                                                                                                                                                  5

                                                                                                                                                  For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er.

                                                                                                                                                  6

                                                                                                                                                  Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.


                                                                                                                                                   

                                                                                                                                                  Fordi hybrid-datasikkerhedsknuderne gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operationel installation medføre, at det UOPRETTELIGT TAB af dette indhold.

                                                                                                                                                  Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl.

                                                                                                                                                  8

                                                                                                                                                  Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

                                                                                                                                                  Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger.

                                                                                                                                                  For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

                                                                                                                                                  11

                                                                                                                                                  Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder HdsTrialGroup, og tilføj pilotbrugere. Prøvegruppen kan have op til 250 brugere. Fil HdsTrialGroup objektet skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. For at synkronisere et gruppeobjekt skal du vælge det i Directory Connector's Konfiguration > menuen Objektvalg. (Se udrulningsvejledningen til Cisco Directory Connector for detaljerede vejledninger.)


                                                                                                                                                   

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Når du vælger pilotbrugere, skal du være opmærksom på, at hvis du beslutter dig for permanent at deaktivere installationen af hybrid-datasikkerhed, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugere. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagte kopier af indholdet.

                                                                                                                                                  Opsæt en hybrid-datasikkerhedsklynge

                                                                                                                                                  Opgaveflow for installation af hybrid-datasikkerhed

                                                                                                                                                  Før du begynder

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  1

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  Download OVA-filen til din lokale maskine til senere brug.

                                                                                                                                                  2

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  5

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

                                                                                                                                                  7

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

                                                                                                                                                  8

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Fuldfør klyngeopsætningen.

                                                                                                                                                  9

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)

                                                                                                                                                  Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og klik derefter på Tjenester.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

                                                                                                                                                  Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.


                                                                                                                                                   

                                                                                                                                                  Du kan også downloade OVA når som helst fra afsnittet Hjælp på siden Indstillinger . På hybriddatasikkerhedskortet skal du klikke på Rediger indstillinger for at åbne siden. Klik derefter på Download hybrid-datasikkerhedssoftware i afsnittet Hjælp .


                                                                                                                                                   

                                                                                                                                                  Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan resultere i problemer under opgradering af applikationen. Sørg for, at du downloader den seneste version af OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

                                                                                                                                                  OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:

                                                                                                                                                    • Legitimationsoplysninger til database

                                                                                                                                                    • Certifikatopdateringer

                                                                                                                                                    • Ændringer i godkendelsespolitikken

                                                                                                                                                  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

                                                                                                                                                  1

                                                                                                                                                  På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download det seneste stabile billede til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                  • I almindelige miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

                                                                                                                                                  Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

                                                                                                                                                  7

                                                                                                                                                  Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed.

                                                                                                                                                  8

                                                                                                                                                  Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

                                                                                                                                                  9

                                                                                                                                                  På siden ISO-import har du disse valgmuligheder:

                                                                                                                                                  • Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
                                                                                                                                                  • Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

                                                                                                                                                  • Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
                                                                                                                                                  11

                                                                                                                                                  Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

                                                                                                                                                  1. Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.

                                                                                                                                                  2. (kun Microsoft SQL-server) Vælg din godkendelsestype:

                                                                                                                                                    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .

                                                                                                                                                    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .

                                                                                                                                                  3. Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

                                                                                                                                                    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Indtast databasenavnet.

                                                                                                                                                  5. Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Vælg en TLS-databaseforbindelsestilstand:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrækker TLS (standardindstilling)

                                                                                                                                                  HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

                                                                                                                                                  Kræver TLS

                                                                                                                                                  HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  Kræver TLS og verificer certifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne tilstand gælder ikke for SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer din Syslogd-server på siden Systemlogfiler:

                                                                                                                                                  1. Indtast URL-adressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

                                                                                                                                                    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.

                                                                                                                                                  3. Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP

                                                                                                                                                    • Nul byte -- \x00

                                                                                                                                                    • Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klik på Fortsæt.

                                                                                                                                                  14

                                                                                                                                                  (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

                                                                                                                                                  Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

                                                                                                                                                  17

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

                                                                                                                                                  Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  18

                                                                                                                                                  For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  Næste trin

                                                                                                                                                  Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

                                                                                                                                                  2

                                                                                                                                                  Vælg Fil > Installer OVF-skabelon.

                                                                                                                                                  3

                                                                                                                                                  I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

                                                                                                                                                  4

                                                                                                                                                  Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste.

                                                                                                                                                  5

                                                                                                                                                  Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

                                                                                                                                                  Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

                                                                                                                                                  6

                                                                                                                                                  Bekræft skabelonoplysningerne, og klik derefter på Næste.

                                                                                                                                                  7

                                                                                                                                                  Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

                                                                                                                                                  8

                                                                                                                                                  Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

                                                                                                                                                  9

                                                                                                                                                  Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

                                                                                                                                                  10

                                                                                                                                                  På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

                                                                                                                                                  • Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

                                                                                                                                                     
                                                                                                                                                    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                    • For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.

                                                                                                                                                    • Den samlede længde af FQDN må ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

                                                                                                                                                     

                                                                                                                                                    Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  • Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
                                                                                                                                                  • Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
                                                                                                                                                  • DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
                                                                                                                                                  • NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.
                                                                                                                                                  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

                                                                                                                                                  Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  11

                                                                                                                                                  Højreklik på noden VM, og vælg derefter Strøm > tænd.

                                                                                                                                                  Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

                                                                                                                                                  Tips til fejlfinding

                                                                                                                                                  Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  1

                                                                                                                                                  I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol .

                                                                                                                                                  VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
                                                                                                                                                  2

                                                                                                                                                  Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne:

                                                                                                                                                  1. Log ind: admin

                                                                                                                                                  2. Adgangskode: cisco

                                                                                                                                                  Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik.

                                                                                                                                                  Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.

                                                                                                                                                  1

                                                                                                                                                  Overfør ISO-filen fra din computer:

                                                                                                                                                  1. Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.

                                                                                                                                                  2. Klik på Gem på listen Hardware under fanen Konfiguration på listen.

                                                                                                                                                  3. Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.

                                                                                                                                                  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

                                                                                                                                                  5. Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

                                                                                                                                                  6. Klik Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.

                                                                                                                                                  4. Kontrollér Tilsluttet og Tilslut ved tænd.

                                                                                                                                                  5. Gem dine ændringer, og genstart den virtuelle maskine.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.

                                                                                                                                                  Før du begynder

                                                                                                                                                  1

                                                                                                                                                  Indtast URL-adressen til opsætning af HDS-node https://[HDS Node IP or FQDN]/setup i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:

                                                                                                                                                  • Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
                                                                                                                                                  • Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:
                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                  Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen.

                                                                                                                                                  Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen.

                                                                                                                                                  Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

                                                                                                                                                  5

                                                                                                                                                  Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar.

                                                                                                                                                  Noden genstarter inden for et par minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status.

                                                                                                                                                  Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

                                                                                                                                                  Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Log på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menuen i venstre side af skærmen skal du vælge Tjenester.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt.

                                                                                                                                                  Siden Registrer hybrid-datasikkerhedsknude vises.
                                                                                                                                                  4

                                                                                                                                                  Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.

                                                                                                                                                  5

                                                                                                                                                  I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til.

                                                                                                                                                  Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                  Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik på Gå til node.

                                                                                                                                                  8

                                                                                                                                                  Klik Fortsæt i advarselsmeddelelsen.

                                                                                                                                                  Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
                                                                                                                                                  9

                                                                                                                                                  Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                  Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Hvis du vil tilføje yderligere noder til din klynge, skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

                                                                                                                                                   

                                                                                                                                                  På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  3

                                                                                                                                                  På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer.

                                                                                                                                                    Siden Hybrid-datasikkerhedsressourcer vises.
                                                                                                                                                  3. Klik på Tilføj ressource.

                                                                                                                                                  4. I det første felt skal du vælge navnet på din eksisterende klynge.

                                                                                                                                                  5. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                    Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen.
                                                                                                                                                  6. Klik på Gå til node.

                                                                                                                                                    Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node.
                                                                                                                                                  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  8. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Næste trin

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)
                                                                                                                                                  Kør en prøveversion, og flyt til produktion

                                                                                                                                                  Prøveversion til produktionsopgaveflow

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkroniser om nødvendigt HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  2

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.

                                                                                                                                                  3

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  4

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  Kontrollér status, og konfigurer e-mailunderretninger for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  6

                                                                                                                                                  Fuldfør prøvefasen med en af følgende handlinger:

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Før du begynder

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Tjenestestatus skal du klikke på Start prøveversion.

                                                                                                                                                  Tjenestestatus ændres til prøvetilstand.
                                                                                                                                                  4

                                                                                                                                                  Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester.

                                                                                                                                                  (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Konfigurer din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  • Aktivér prøveversionen, og tilføj flere prøvebrugere.

                                                                                                                                                  • Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer installationen af hybrid-datasikkerhed, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når klientcachelagte kopier af krypteringsnøglerne er udskiftet.

                                                                                                                                                  2

                                                                                                                                                  Send meddelelser til det nye rum.

                                                                                                                                                  3

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1. Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil kontrollere for en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  En statusindikator i Control Hub viser dig, om alt er godt med installationen af hybrid-datasikkerhed. For mere proaktiv varsling skal du tilmelde dig e-mailunderretninger. Du vil blive underrettet, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger.

                                                                                                                                                  Siden Indstillinger for hybrid-datasikkerhed vises.
                                                                                                                                                  3

                                                                                                                                                  Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.

                                                                                                                                                  4

                                                                                                                                                  Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

                                                                                                                                                  Flyt fra prøveversion til produktion

                                                                                                                                                  Når du er overbevist om, at din installation fungerer godt for brugerne af prøveversionen, kan du gå til produktionen. Når du flytter til produktion, vil alle brugere i organisationen bruge dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Du kan ikke gå tilbage til prøvetilstand fra produktion, medmindre du deaktiverer tjenesten som en del af genoprettelse af katastrofer. Hvis du genaktiverer tjenesten, skal du opsætte en ny prøveperiode.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil flytte alle dine brugere til produktion.

                                                                                                                                                  Afslut din prøveperiode uden at flytte til produktion

                                                                                                                                                  Hvis du under din prøveperiode beslutter ikke at fortsætte med din hybrid-datasikkerhedsinstallation, kan du deaktivere hybrid-datasikkerhed, som afslutter prøveperioden og flytter prøvebrugerne tilbage til cloud-datasikkerhedstjenesterne. Brugerne af prøveversionen mister adgang til de data, der blev krypteret under prøveperioden.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Deaktiver i sektionen Deaktiver.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

                                                                                                                                                  Administrer din HDS-installation

                                                                                                                                                  Administrer HDS-installation

                                                                                                                                                  Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Indstil tidsplan for klyngeopgradering

                                                                                                                                                  Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan angive en specifik opgraderingsplan eller bruge standardtidsplanen på 3:00 AM Daily USA: Amerika/Los Angeles Du kan også vælge at udsætte en kommende opgradering, hvis det er nødvendigt.

                                                                                                                                                  Sådan indstilles opgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.

                                                                                                                                                  4

                                                                                                                                                  Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.

                                                                                                                                                  5

                                                                                                                                                  På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen.

                                                                                                                                                  Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

                                                                                                                                                  Rediger nodekonfigurationen

                                                                                                                                                  Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:
                                                                                                                                                  • Ændring af x.509-certifikater på grund af udløb eller andre årsager.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

                                                                                                                                                  • Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

                                                                                                                                                  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

                                                                                                                                                  Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:

                                                                                                                                                  • Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.

                                                                                                                                                  • Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

                                                                                                                                                  Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

                                                                                                                                                  Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

                                                                                                                                                  1

                                                                                                                                                  Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

                                                                                                                                                  1. På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2. For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download det seneste stabile billede til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 indeholder ikke skærmbilleder til nulstilling af adgangskode.

                                                                                                                                                  5. Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                    • I almindelige miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6. Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  7. Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.

                                                                                                                                                  8. Importér den aktuelle ISO-konfigurationsfil.

                                                                                                                                                  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

                                                                                                                                                    For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner.

                                                                                                                                                  1. Installer HDS-hosten OVA.

                                                                                                                                                  2. Opsæt HDS-VM'en.

                                                                                                                                                  3. Tilslut den opdaterede konfigurationsfil.

                                                                                                                                                  4. Registrer den nye node i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude:

                                                                                                                                                  1. Slå den virtuelle maskine fra.

                                                                                                                                                  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

                                                                                                                                                  4. Markér Forbind med tilsluttet strøm.

                                                                                                                                                  5. Gem dine ændringer, og tænd for den virtuelle maskine.

                                                                                                                                                  4

                                                                                                                                                  Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

                                                                                                                                                  Deaktiver blokeret ekstern DNS-opløsningstilstand

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.

                                                                                                                                                  Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversigt (standardsiden).

                                                                                                                                                  Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

                                                                                                                                                  Næste trin

                                                                                                                                                  Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

                                                                                                                                                  Fjern en node

                                                                                                                                                  Brug denne procedure til at fjerne en hybrid-datasikkerhedsknude fra Webex-skyen. Når du har fjernet noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2. På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.

                                                                                                                                                  3. Vælg din klynge for at vise dens oversigtspanel.

                                                                                                                                                  4. Klik på listen Åbn knudepunkter.

                                                                                                                                                  5. På fanen Knuder skal du vælge den knude, du vil fjerne.

                                                                                                                                                  6. Klik Handlinger > Fjern registreringsnode.

                                                                                                                                                  3

                                                                                                                                                  I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

                                                                                                                                                  Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

                                                                                                                                                  Genoprettelse af katastrofer ved hjælp af standby-datacenter

                                                                                                                                                  Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

                                                                                                                                                  Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

                                                                                                                                                  Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis det primære datacenter bliver aktivt igen, skal du placere standbydatacenteret i passiv tilstand igen ved at følge de trin, der er beskrevet i Opsætning af standbydatacenter til genoprettelse af katastrofer.

                                                                                                                                                  (Valgfri) Fjern ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.

                                                                                                                                                  Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

                                                                                                                                                  1

                                                                                                                                                  Luk en af dine HDS-knudepunkter ned.

                                                                                                                                                  2

                                                                                                                                                  Vælg HDS-noden i vCenter-serverapparatet.

                                                                                                                                                  3

                                                                                                                                                  Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gentag for hver HDS-node efter tur.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Vis varsler og fejlfinding

                                                                                                                                                  En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

                                                                                                                                                  • Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)

                                                                                                                                                  • Meddelelser og rumtitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brugere føjet til et rum (kan ikke hente nøgler)

                                                                                                                                                    • Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)

                                                                                                                                                  • Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

                                                                                                                                                  Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.

                                                                                                                                                  Tabel 1. Almindelige problemer og trinnene til at løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Adgang til lokal database mislykkedes.

                                                                                                                                                  Kontrollér for databasefejl eller lokale netværksproblemer.

                                                                                                                                                  Lokal databaseforbindelse mislykkedes.

                                                                                                                                                  Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.

                                                                                                                                                  Adgang til cloud-tjeneste mislykkedes.

                                                                                                                                                  Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.

                                                                                                                                                  Fornyelse af registrering af cloud-tjeneste.

                                                                                                                                                  Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.

                                                                                                                                                  Tilmelding til cloudtjeneste blev droppet.

                                                                                                                                                  Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.

                                                                                                                                                  Tjeneste endnu ikke aktiveret.

                                                                                                                                                  Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.

                                                                                                                                                  Det konfigurerede domæne matcher ikke servercertifikatet.

                                                                                                                                                  Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

                                                                                                                                                  Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.

                                                                                                                                                  Kunne ikke godkendes til cloudtjenester.

                                                                                                                                                  Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.

                                                                                                                                                  Kunne ikke åbne lokal tastaturfil.

                                                                                                                                                  Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.

                                                                                                                                                  Lokalt servercertifikat er ugyldigt.

                                                                                                                                                  Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.

                                                                                                                                                  Kan ikke postere målinger.

                                                                                                                                                  Kontrollér lokal netværksadgang til eksterne cloud-tjenester.

                                                                                                                                                  /media/configdrive/hds-telefonbogen findes ikke.

                                                                                                                                                  Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.
                                                                                                                                                  1

                                                                                                                                                  Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.

                                                                                                                                                  2

                                                                                                                                                  Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-support.

                                                                                                                                                  Andre noter

                                                                                                                                                  Kendte problemer med hybrid-datasikkerhed

                                                                                                                                                  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

                                                                                                                                                  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

                                                                                                                                                    Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

                                                                                                                                                  Brug åbenSSL til at generere en PKCS12-fil

                                                                                                                                                  Før du begynder

                                                                                                                                                  • OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.

                                                                                                                                                  • Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.

                                                                                                                                                  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.

                                                                                                                                                  • Opret en privat nøgle.

                                                                                                                                                  • Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

                                                                                                                                                  1

                                                                                                                                                  Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis certifikatet som tekst, og bekræft detaljerne.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Opret .p12-filen med det venlige navn kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollér servercertifikatoplysningerne.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne friendlyName: kms-private-key.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Næste trin

                                                                                                                                                  Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

                                                                                                                                                  Trafik mellem HDS-knudepunkterne og skyen

                                                                                                                                                  Indsamlingstrafik for udgående målinger

                                                                                                                                                  Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).

                                                                                                                                                  Indgående trafik

                                                                                                                                                  Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

                                                                                                                                                  • Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten

                                                                                                                                                  • Opgraderinger til nodesoftwaren

                                                                                                                                                  Konfigurer Squid-proxyer til hybrid-datasikkerhed

                                                                                                                                                  Websocket kan ikke oprette forbindelse via squid-proxy

                                                                                                                                                  Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss: trafik med henblik på korrekt drift af tjenesterne.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Tilføj on_unsupported_protocol direktiv til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Forbillede

                                                                                                                                                  Nye og ændrede oplysninger

                                                                                                                                                  Dato

                                                                                                                                                  Ændringer foretaget

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  07. august 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  Den 06. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Opdaterede installationsfiler til download.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

                                                                                                                                                  Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

                                                                                                                                                  20. februar 2020Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.
                                                                                                                                                  4. februar 2020Opdaterede proxyserverkrav.
                                                                                                                                                  16. december 2019Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

                                                                                                                                                  Følgende afsnit blev opdateret i overensstemmelse hermed:


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Tilføjede SQL-serverstandard til databaseserverkrav.

                                                                                                                                                  29. august 2019Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

                                                                                                                                                  Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

                                                                                                                                                  13. juni 2019Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering.
                                                                                                                                                  6. marts 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.

                                                                                                                                                  • Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid-datasikkerhed understøtter nu Microsoft SQL-server som en database. SQL-server altid tændt (Altid på failover-klynger og Altid på tilgængelighedsgrupper) understøttes af de JDBC-drivere, der bruges i hybrid-datasikkerhed. Tilføjet indhold relateret til installation med SQL-server.


                                                                                                                                                     

                                                                                                                                                    Understøttelse af Microsoft SQL Server er kun beregnet til nye installationer af Hybriddatasikkerhed. Vi understøtter i øjeblikket ikke migrering af data fra PostgreSQL til Microsoft SQL Server i en eksisterende installation.

                                                                                                                                                  Den 5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Ændret terminologi for at afspejle genbranding af Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.

                                                                                                                                                  • Cisco Spark-appen er nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton-clouden er nu Webex-clouden.

                                                                                                                                                  Den 11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  Den 2. november 2017

                                                                                                                                                  • Klargjort adressebogssynkronisering af HdsTrialGroup.

                                                                                                                                                  • Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Udgivet første gang

                                                                                                                                                  Kom i gang med hybriddatasikkerhed

                                                                                                                                                  Oversigt over hybriddatasikkerhed

                                                                                                                                                  Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

                                                                                                                                                  Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.

                                                                                                                                                  Sikkerhedsarkitektur

                                                                                                                                                  Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

                                                                                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)

                                                                                                                                                  For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

                                                                                                                                                  I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:

                                                                                                                                                  1. Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

                                                                                                                                                  2. Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.

                                                                                                                                                  3. Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.

                                                                                                                                                  4. Den krypterede meddelelse gemmes i hukommelsesdomænet.

                                                                                                                                                  Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.

                                                                                                                                                  Samarbejde med andre organisationer

                                                                                                                                                  Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

                                                                                                                                                  KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Forventninger til installation af hybrid-datasikkerhed

                                                                                                                                                  En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

                                                                                                                                                  For at installere hybrid-datasikkerhed skal du angive:

                                                                                                                                                  Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

                                                                                                                                                  • Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.

                                                                                                                                                  • Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.


                                                                                                                                                   

                                                                                                                                                  Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

                                                                                                                                                  Opsætningsproces på højt niveau

                                                                                                                                                  Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

                                                                                                                                                  • Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

                                                                                                                                                    Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.

                                                                                                                                                  • Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.

                                                                                                                                                  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.

                                                                                                                                                  Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)

                                                                                                                                                  Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.

                                                                                                                                                  Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

                                                                                                                                                  Vi understøtter kun en enkelt klynge pr. organisation.

                                                                                                                                                  Prøvetilstand for hybrid-datasikkerhed

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.

                                                                                                                                                  Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.

                                                                                                                                                  Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.

                                                                                                                                                  Standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuel failover til standbydatacenter

                                                                                                                                                  De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.


                                                                                                                                                   

                                                                                                                                                  De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

                                                                                                                                                  Opsætning af standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)

                                                                                                                                                  • Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

                                                                                                                                                  Næste trin

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.

                                                                                                                                                  Proxysupport

                                                                                                                                                  Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.

                                                                                                                                                  Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

                                                                                                                                                  • Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

                                                                                                                                                  • Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

                                                                                                                                                      • HTTP – Viser og styrer alle anmodninger, som klienten sender.

                                                                                                                                                      • HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                  Eksempel på hybrid-datasikkerhedsknuder og proxy

                                                                                                                                                  Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.

                                                                                                                                                  Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  Krav til hybrid-datasikkerhed

                                                                                                                                                  Krav til Docker-desktop

                                                                                                                                                  Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkæden skal opfylde følgende krav:

                                                                                                                                                  Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Underskrevet af en betroet certifikatmyndighed (CA)

                                                                                                                                                  Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation

                                                                                                                                                  • Er ikke et jokerkortcertifikat

                                                                                                                                                  CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

                                                                                                                                                  KN må ikke indeholde et * (jokertegn).

                                                                                                                                                  CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.

                                                                                                                                                  • Ikke-SHA1-signatur

                                                                                                                                                  KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

                                                                                                                                                  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

                                                                                                                                                  • Brug det venlige navn på kms-private-key for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.

                                                                                                                                                  Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format.

                                                                                                                                                  Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

                                                                                                                                                  KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.

                                                                                                                                                  Krav til virtuelle vært

                                                                                                                                                  De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

                                                                                                                                                  • Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter

                                                                                                                                                  • VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.


                                                                                                                                                     

                                                                                                                                                    Du skal opgradere, hvis du har en tidligere version af ESXI.

                                                                                                                                                  • Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

                                                                                                                                                  Databaseserverkrav


                                                                                                                                                   

                                                                                                                                                  Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

                                                                                                                                                  Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

                                                                                                                                                  Tabel 2. Databaseserverkrav efter databasetype

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installeret og kører.

                                                                                                                                                  • SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.


                                                                                                                                                     

                                                                                                                                                    SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL-server-JDBC-driver 4.6

                                                                                                                                                  Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

                                                                                                                                                  Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

                                                                                                                                                  Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

                                                                                                                                                  • HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.

                                                                                                                                                  • Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.

                                                                                                                                                  • De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

                                                                                                                                                    HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

                                                                                                                                                  Krav til ekstern forbindelse

                                                                                                                                                  Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

                                                                                                                                                  Applikation

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Retning fra appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasikkerhedsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester

                                                                                                                                                  HDS-opsætningsværktøj

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål.

                                                                                                                                                  URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

                                                                                                                                                  Område

                                                                                                                                                  URL-adresser for fælles identitet-vært

                                                                                                                                                  Nord-, Mellem- og Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  EU

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserverkrav

                                                                                                                                                  • Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

                                                                                                                                                    • Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicit proxy – squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

                                                                                                                                                  • Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:

                                                                                                                                                    • Ingen godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Grundlæggende godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Digest-godkendelse kun med HTTPS

                                                                                                                                                  • Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.

                                                                                                                                                  • Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

                                                                                                                                                  • Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

                                                                                                                                                  Udfyld forudsætningerne for hybriddatasikkerhed

                                                                                                                                                  Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
                                                                                                                                                  1

                                                                                                                                                  Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces.

                                                                                                                                                  2

                                                                                                                                                  Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com) og få en certifikatkæde, der indeholder et X.509 certifikat, privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 certifikatkrav.

                                                                                                                                                  3

                                                                                                                                                  Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter.

                                                                                                                                                  4

                                                                                                                                                  Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

                                                                                                                                                  1. Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)

                                                                                                                                                  2. Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:

                                                                                                                                                    • værtsnavnet eller IP-adressen (vært) og porten

                                                                                                                                                    • databasens navn (dbname) for nøglelagring

                                                                                                                                                    • brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

                                                                                                                                                  5

                                                                                                                                                  For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er.

                                                                                                                                                  6

                                                                                                                                                  Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.


                                                                                                                                                   

                                                                                                                                                  Fordi hybrid-datasikkerhedsknuderne gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operationel installation medføre, at det UOPRETTELIGT TAB af dette indhold.

                                                                                                                                                  Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl.

                                                                                                                                                  8

                                                                                                                                                  Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

                                                                                                                                                  Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger.

                                                                                                                                                  For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

                                                                                                                                                  11

                                                                                                                                                  Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder HdsTrialGroup, og tilføj pilotbrugere. Prøvegruppen kan have op til 250 brugere. Fil HdsTrialGroup objektet skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. For at synkronisere et gruppeobjekt skal du vælge det i Directory Connector's Konfiguration > menuen Objektvalg. (Se udrulningsvejledningen til Cisco Directory Connector for detaljerede vejledninger.)


                                                                                                                                                   

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Når du vælger pilotbrugere, skal du være opmærksom på, at hvis du beslutter dig for permanent at deaktivere installationen af hybrid-datasikkerhed, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugere. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagte kopier af indholdet.

                                                                                                                                                  Opsæt en hybrid-datasikkerhedsklynge

                                                                                                                                                  Opgaveflow for installation af hybrid-datasikkerhed

                                                                                                                                                  Før du begynder

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  1

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  Download OVA-filen til din lokale maskine til senere brug.

                                                                                                                                                  2

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  5

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

                                                                                                                                                  7

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

                                                                                                                                                  8

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Fuldfør klyngeopsætningen.

                                                                                                                                                  9

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)

                                                                                                                                                  Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og klik derefter på Tjenester.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

                                                                                                                                                  Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.


                                                                                                                                                   

                                                                                                                                                  Du kan også downloade OVA når som helst fra afsnittet Hjælp på siden Indstillinger . På hybriddatasikkerhedskortet skal du klikke på Rediger indstillinger for at åbne siden. Klik derefter på Download hybrid-datasikkerhedssoftware i afsnittet Hjælp .


                                                                                                                                                   

                                                                                                                                                  Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan resultere i problemer under opgradering af applikationen. Sørg for, at du downloader den seneste version af OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

                                                                                                                                                  OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:

                                                                                                                                                    • Legitimationsoplysninger til database

                                                                                                                                                    • Certifikatopdateringer

                                                                                                                                                    • Ændringer i godkendelsespolitikken

                                                                                                                                                  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

                                                                                                                                                  1

                                                                                                                                                  På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download det seneste stabile billede til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                  • I almindelige miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

                                                                                                                                                  Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

                                                                                                                                                  7

                                                                                                                                                  Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed.

                                                                                                                                                  8

                                                                                                                                                  Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

                                                                                                                                                  9

                                                                                                                                                  På siden ISO-import har du disse valgmuligheder:

                                                                                                                                                  • Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
                                                                                                                                                  • Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

                                                                                                                                                  • Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
                                                                                                                                                  11

                                                                                                                                                  Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

                                                                                                                                                  1. Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.

                                                                                                                                                  2. (kun Microsoft SQL-server) Vælg din godkendelsestype:

                                                                                                                                                    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .

                                                                                                                                                    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .

                                                                                                                                                  3. Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

                                                                                                                                                    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Indtast databasenavnet.

                                                                                                                                                  5. Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Vælg en TLS-databaseforbindelsestilstand:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrækker TLS (standardindstilling)

                                                                                                                                                  HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

                                                                                                                                                  Kræver TLS

                                                                                                                                                  HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  Kræver TLS og verificer certifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne tilstand gælder ikke for SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer din Syslogd-server på siden Systemlogfiler:

                                                                                                                                                  1. Indtast URL-adressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

                                                                                                                                                    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.

                                                                                                                                                  3. Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP

                                                                                                                                                    • Nul byte -- \x00

                                                                                                                                                    • Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klik på Fortsæt.

                                                                                                                                                  14

                                                                                                                                                  (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

                                                                                                                                                  Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

                                                                                                                                                  17

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

                                                                                                                                                  Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  18

                                                                                                                                                  For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  Næste trin

                                                                                                                                                  Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

                                                                                                                                                  2

                                                                                                                                                  Vælg Fil > Installer OVF-skabelon.

                                                                                                                                                  3

                                                                                                                                                  I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

                                                                                                                                                  4

                                                                                                                                                  Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste.

                                                                                                                                                  5

                                                                                                                                                  Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

                                                                                                                                                  Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

                                                                                                                                                  6

                                                                                                                                                  Bekræft skabelonoplysningerne, og klik derefter på Næste.

                                                                                                                                                  7

                                                                                                                                                  Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

                                                                                                                                                  8

                                                                                                                                                  Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

                                                                                                                                                  9

                                                                                                                                                  Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

                                                                                                                                                  10

                                                                                                                                                  På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

                                                                                                                                                  • Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

                                                                                                                                                     
                                                                                                                                                    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                    • For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.

                                                                                                                                                    • Den samlede længde af FQDN må ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

                                                                                                                                                     

                                                                                                                                                    Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  • Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
                                                                                                                                                  • Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
                                                                                                                                                  • DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
                                                                                                                                                  • NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.
                                                                                                                                                  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

                                                                                                                                                  Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  11

                                                                                                                                                  Højreklik på noden VM, og vælg derefter Strøm > tænd.

                                                                                                                                                  Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

                                                                                                                                                  Tips til fejlfinding

                                                                                                                                                  Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  1

                                                                                                                                                  I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol .

                                                                                                                                                  VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
                                                                                                                                                  2

                                                                                                                                                  Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne:

                                                                                                                                                  1. Log ind: admin

                                                                                                                                                  2. Adgangskode: cisco

                                                                                                                                                  Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik.

                                                                                                                                                  Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.

                                                                                                                                                  1

                                                                                                                                                  Overfør ISO-filen fra din computer:

                                                                                                                                                  1. Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.

                                                                                                                                                  2. Klik på Gem på listen Hardware under fanen Konfiguration på listen.

                                                                                                                                                  3. Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.

                                                                                                                                                  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

                                                                                                                                                  5. Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

                                                                                                                                                  6. Klik Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.

                                                                                                                                                  4. Kontrollér Tilsluttet og Tilslut ved tænd.

                                                                                                                                                  5. Gem dine ændringer, og genstart den virtuelle maskine.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.

                                                                                                                                                  Før du begynder

                                                                                                                                                  1

                                                                                                                                                  Indtast URL-adressen til opsætning af HDS-node https://[HDS Node IP or FQDN]/setup i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:

                                                                                                                                                  • Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
                                                                                                                                                  • Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:
                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                  Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen.

                                                                                                                                                  Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen.

                                                                                                                                                  Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

                                                                                                                                                  5

                                                                                                                                                  Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar.

                                                                                                                                                  Noden genstarter inden for et par minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status.

                                                                                                                                                  Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

                                                                                                                                                  Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Log på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menuen i venstre side af skærmen skal du vælge Tjenester.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt.

                                                                                                                                                  Siden Registrer hybrid-datasikkerhedsknude vises.
                                                                                                                                                  4

                                                                                                                                                  Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.

                                                                                                                                                  5

                                                                                                                                                  I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til.

                                                                                                                                                  Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                  Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik på Gå til node.

                                                                                                                                                  8

                                                                                                                                                  Klik Fortsæt i advarselsmeddelelsen.

                                                                                                                                                  Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
                                                                                                                                                  9

                                                                                                                                                  Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                  Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Hvis du vil tilføje yderligere noder til din klynge, skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

                                                                                                                                                   

                                                                                                                                                  På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  3

                                                                                                                                                  På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer.

                                                                                                                                                    Siden Hybrid-datasikkerhedsressourcer vises.
                                                                                                                                                  3. Klik på Tilføj ressource.

                                                                                                                                                  4. I det første felt skal du vælge navnet på din eksisterende klynge.

                                                                                                                                                  5. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                    Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen.
                                                                                                                                                  6. Klik på Gå til node.

                                                                                                                                                    Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node.
                                                                                                                                                  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  8. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Næste trin

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)
                                                                                                                                                  Kør en prøveversion, og flyt til produktion

                                                                                                                                                  Prøveversion til produktionsopgaveflow

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkroniser om nødvendigt HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  2

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.

                                                                                                                                                  3

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  4

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  Kontrollér status, og konfigurer e-mailunderretninger for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  6

                                                                                                                                                  Fuldfør prøvefasen med en af følgende handlinger:

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Før du begynder

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Tjenestestatus skal du klikke på Start prøveversion.

                                                                                                                                                  Tjenestestatus ændres til prøvetilstand.
                                                                                                                                                  4

                                                                                                                                                  Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester.

                                                                                                                                                  (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Konfigurer din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  • Aktivér prøveversionen, og tilføj flere prøvebrugere.

                                                                                                                                                  • Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer installationen af hybrid-datasikkerhed, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når klientcachelagte kopier af krypteringsnøglerne er udskiftet.

                                                                                                                                                  2

                                                                                                                                                  Send meddelelser til det nye rum.

                                                                                                                                                  3

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1. Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil kontrollere for en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  En statusindikator i Control Hub viser dig, om alt er godt med installationen af hybrid-datasikkerhed. For mere proaktiv varsling skal du tilmelde dig e-mailunderretninger. Du vil blive underrettet, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger.

                                                                                                                                                  Siden Indstillinger for hybrid-datasikkerhed vises.
                                                                                                                                                  3

                                                                                                                                                  Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.

                                                                                                                                                  4

                                                                                                                                                  Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

                                                                                                                                                  Flyt fra prøveversion til produktion

                                                                                                                                                  Når du er overbevist om, at din installation fungerer godt for brugerne af prøveversionen, kan du gå til produktionen. Når du flytter til produktion, vil alle brugere i organisationen bruge dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Du kan ikke gå tilbage til prøvetilstand fra produktion, medmindre du deaktiverer tjenesten som en del af genoprettelse af katastrofer. Hvis du genaktiverer tjenesten, skal du opsætte en ny prøveperiode.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil flytte alle dine brugere til produktion.

                                                                                                                                                  Afslut din prøveperiode uden at flytte til produktion

                                                                                                                                                  Hvis du under din prøveperiode beslutter ikke at fortsætte med din hybrid-datasikkerhedsinstallation, kan du deaktivere hybrid-datasikkerhed, som afslutter prøveperioden og flytter prøvebrugerne tilbage til cloud-datasikkerhedstjenesterne. Brugerne af prøveversionen mister adgang til de data, der blev krypteret under prøveperioden.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Deaktiver i sektionen Deaktiver.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

                                                                                                                                                  Administrer din HDS-installation

                                                                                                                                                  Administrer HDS-installation

                                                                                                                                                  Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Indstil tidsplan for klyngeopgradering

                                                                                                                                                  Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan angive en specifik opgraderingsplan eller bruge standardtidsplanen på 3:00 AM Daily USA: Amerika/Los Angeles Du kan også vælge at udsætte en kommende opgradering, hvis det er nødvendigt.

                                                                                                                                                  Sådan indstilles opgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.

                                                                                                                                                  4

                                                                                                                                                  Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.

                                                                                                                                                  5

                                                                                                                                                  På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen.

                                                                                                                                                  Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

                                                                                                                                                  Rediger nodekonfigurationen

                                                                                                                                                  Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:
                                                                                                                                                  • Ændring af x.509-certifikater på grund af udløb eller andre årsager.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

                                                                                                                                                  • Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

                                                                                                                                                  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

                                                                                                                                                  Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:

                                                                                                                                                  • Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.

                                                                                                                                                  • Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

                                                                                                                                                  Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

                                                                                                                                                  Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

                                                                                                                                                  1

                                                                                                                                                  Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

                                                                                                                                                  1. På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2. For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download det seneste stabile billede til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 indeholder ikke skærmbilleder til nulstilling af adgangskode.

                                                                                                                                                  5. Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                    • I almindelige miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6. Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  7. Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.

                                                                                                                                                  8. Importér den aktuelle ISO-konfigurationsfil.

                                                                                                                                                  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

                                                                                                                                                    For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner.

                                                                                                                                                  1. Installer HDS-hosten OVA.

                                                                                                                                                  2. Opsæt HDS-VM'en.

                                                                                                                                                  3. Tilslut den opdaterede konfigurationsfil.

                                                                                                                                                  4. Registrer den nye node i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude:

                                                                                                                                                  1. Slå den virtuelle maskine fra.

                                                                                                                                                  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

                                                                                                                                                  4. Markér Forbind med tilsluttet strøm.

                                                                                                                                                  5. Gem dine ændringer, og tænd for den virtuelle maskine.

                                                                                                                                                  4

                                                                                                                                                  Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

                                                                                                                                                  Deaktiver blokeret ekstern DNS-opløsningstilstand

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.

                                                                                                                                                  Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversigt (standardsiden).

                                                                                                                                                  Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

                                                                                                                                                  Næste trin

                                                                                                                                                  Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

                                                                                                                                                  Fjern en node

                                                                                                                                                  Brug denne procedure til at fjerne en hybrid-datasikkerhedsknude fra Webex-skyen. Når du har fjernet noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2. På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.

                                                                                                                                                  3. Vælg din klynge for at vise dens oversigtspanel.

                                                                                                                                                  4. Klik på listen Åbn knudepunkter.

                                                                                                                                                  5. På fanen Knuder skal du vælge den knude, du vil fjerne.

                                                                                                                                                  6. Klik Handlinger > Fjern registreringsnode.

                                                                                                                                                  3

                                                                                                                                                  I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

                                                                                                                                                  Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

                                                                                                                                                  Genoprettelse af katastrofer ved hjælp af standby-datacenter

                                                                                                                                                  Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

                                                                                                                                                  Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passen