Udrulningsvejledning til Webex Hybrid-datasikkerhed

8. oktober 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

14. august 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

5. august 2020

Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

16. juni 2020

Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

4. juni 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

29. maj 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

5. maj 2020

Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

21. april 2020

Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

1. april 2020

Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

20. februar 2020 Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.

4. februar 2020 Opdaterede proxyserverkrav.

16. december 2019 Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.

19. november 2019

Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

Proxysupport
Konfigurer HDS-noden til proxyintegration
Deaktiver blokeret ekstern DNS-opløsningstilstand

8. november 2019

Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

Følgende afsnit blev opdateret i overensstemmelse hermed:

Opgaveflow for installation af hybrid-datasikkerhed
Installer HDS-værtens OVA
Konfigurer hybrid-datasikkerhed VM

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

6. september 2019

Tilføjede SQL-serverstandard til databaseserverkrav.

29. august 2019 Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.

20. august 2019

Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

Proxysupport
Proxyserverkrav
Konfigurer HDS-noden til proxyintegration

Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

13. juni 2019 Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering.

6. marts 2019

Flyttet krav og forudsætninger til et separat kapitel, Forbered dit miljø.
Tilføjet Opgaveflow for installation af hybrid-datasikkerhedoversigt i kapitlet Opsæt en hybrid-datasikkerhedsklynge.

Bemærk, at dine noder, indtil du starter en prøveperiode (ved hjælp af instruktionerne i det følgende kapitel), genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
Tilføjede prøveversionen til produktionsopgaveflow i kapitlet Kør en prøveversion og flyt til produktion.

28. februar 2019

Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

26. februar 2019

Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.
Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

24. januar 2019

Hybrid-datasikkerhed understøtter nu Microsoft SQL-server som en database. SQL-server altid tændt (Altid på failover-klynger og Altid på tilgængelighedsgrupper) understøttes af de JDBC-drivere, der bruges i hybrid-datasikkerhed. Tilføjet indhold relateret til installation med SQL-server.

Understøttelse af Microsoft SQL Server er kun beregnet til nye installationer af Hybriddatasikkerhed. Vi understøtter i øjeblikket ikke migrering af data fra PostgreSQL til Microsoft SQL Server i en eksisterende installation.

Den 5. november 2018

Tilføjet et indledende trin for at rydde op i alle eksisterende forekomster af docker-hds i Opret en konfiguration-ISO for HDS-værterne og Rediger nodekonfigurationen.
Opdaterede trinnet for nøgleadgangsniveau i Opret en konfiguration-ISO for HDS-værter til at matche grænsefladen.

19. oktober 2018

Opdel firewallforbindelsesoplysninger i nodekrav og ISO-konfigurationsmaskinkrav i Udfyld forudsætningerne for hybrid-datasikkerhed.

31. juli 2018

Tilføjede port 22 (SSH-adgang) og oplysninger om NAT- og firewallforbindelser for at fuldføre forudsætningerne for hybrid-datasikkerhed.

21. maj 2018

Ændret terminologi for at afspejle genbranding af Cisco Spark:

Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.
Cisco Spark-appen er nu Webex-appen.
Cisco Collaboraton-clouden er nu Webex-clouden.

Den 11. april 2018

Tilføjet standby-datacenter til genoprettelse af katastrofer.
Opdateret Udfyld forudsætningerne for hybriddatasikkerhed for at angive, at sikkerhedskopieringsmiljøet skal være i et andet datacenter.
Opdateret genoprettelse af katastrofer ved hjælp af standby-datacenter.

22. februar 2018

Tilføjet oplysninger om tjenestekontoadgangskode i 9 måneders levetid og brug af HDS-opsætningsværktøjet til at nulstille tjenestekontoadgangskoderne i Opret en konfiguration-ISO for HDS-værter og Skift nodekonfiguration.

15. februar 2018

I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

18. januar 2018

Tilføjet tillæg, Trafik mellem HDS-knuderne og skyen.
Fjernede et løst problem fra kendte problemer for hybrid-datasikkerhed.
Ændret index.docker.io til *.docker.io og tilføjede *.cloudfront.net til listen over TCP-forbindelseskrav for HDS-noderne i Udfyld forudsætningerne for hybrid-datasikkerhed.
Opdateret Opret en konfigurations-ISO for HDS-værter for at angive, at hvis databaseværten og Syslogd-serveren ikke er DNS-løselige fra HDS-noderne, skal du konfigurere dem ved hjælp af IP-adresser.

Den 2. november 2017

Klargjort adressebogssynkronisering af HdsTrialGroup.
Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

18. august 2017

Udgivet første gang

Kom i gang med hybriddatasikkerhed

Oversigt over hybriddatasikkerhed

Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.

Sikkerhedsarkitektur

Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

***Områder for adskillelse (uden hybrid-datasikkerhed)***

For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:

Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.

Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.

Samarbejde med andre organisationer

Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.

Forventninger til installation af hybrid-datasikkerhed

En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

For at installere hybrid-datasikkerhed skal du angive:

Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.

Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

Hybrid-datasikkerhedsmodel

I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.

Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).

Hybrid-datasikkerhedsmodel

Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)

Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.

Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

Vi understøtter kun en enkelt klynge pr. organisation.

Prøvetilstand for hybrid-datasikkerhed

Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.

Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.

Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.

Standby-datacenter til genoprettelse af katastrofer

Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode. — ***Manuel failover til standbydatacenter***

De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.

De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

Opsætning af standby-datacenter til genoprettelse af katastrofer

Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

Før du begynder

Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.


passiveMode: 'true'

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

Gentag processen for hver knude i standbydatacenteret.

Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

Næste trin

Efter konfiguration passiveMode i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.

Proxysupport

Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.

Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
  - HTTP – Viser og styrer alle anmodninger, som klienten sender.
  - HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
4. Godkendelsestype – vælg blandt følgende godkendelsestyper:
  - Ingen – ingen yderligere godkendelse er påkrævet.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
  - Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
    
    Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
  - Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
    
    Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
    
    Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

Eksempel på hybrid-datasikkerhedsknuder og proxy

Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.

Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.

Forbered dit miljø

Krav til hybrid-datasikkerhed

Cisco Webex-licenskrav

Sådan installeres hybrid-datasikkerhed:

Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)

Krav til Docker-desktop

Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".

X.509 certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation
Krav	Detaljer
Underskrevet af en betroet certifikatmyndighed (CA)	Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.
Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation Er ikke et jokerkortcertifikat	CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. `hds.company.com`. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.
Ikke-SHA1-signatur	KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.
Formateret som en adgangskodebeskyttet PKCS nr. 12-fil Brug det venlige navn på `kms-private-key` for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.	Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.

Krav til virtuelle vært

De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.

Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

Databaseserverkrav

Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostmesterSQL

Microsoft SQL-server

PostgreSQL 14, 15 eller 16, installeret og kører.

SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.

SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostmesterSQL	Microsoft SQL-server
Postgres JDBC driver 42.2.5	SQL-server-JDBC-driver 4.6 Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

PostmesterSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL-server-JDBC-driver 4.6

Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

Applikation	Protokol	Port	Retning fra appen	Destination
Hybrid-datasikkerhedsnoder	TCP	443	Udgående HTTPS og WSS	Webex-servere: .wbx2.com .ciscospark.com Alle fælles identitetsværter Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester
HDS-opsætningsværktøj	TCP	443	Udgående HTTPS	*.wbx2.com Alle fælles identitetsværter hub.docker.com

Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål.

URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

Område	URL-adresser for fælles identitet-vært
Nord-, Mellem- og Sydamerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
EU	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxyserverkrav

Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

Eksplicit proxy – squid.

Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
- Ingen godkendelse med HTTP eller HTTPS
- Grundlæggende godkendelse med HTTP eller HTTPS
- Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

Udfyld forudsætningerne for hybriddatasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.

Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces.

Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com) og få en certifikatkæde, der indeholder et X.509 certifikat, privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 certifikatkrav.

Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter.

Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)
Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:
- værtsnavnet eller IP-adressen (vært) og porten
- databasens navn (dbname) for nøglelagring
- brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er.

Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.

Fordi hybrid-datasikkerhedsknuderne gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operationel installation medføre, at det UOPRETTELIGT TAB af dette indhold.

Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl.

Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder HdsTrialGroup, og tilføj pilotbrugere. Prøvegruppen kan have op til 250 brugere. Fil HdsTrialGroup objektet skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. For at synkronisere et gruppeobjekt skal du vælge det i Directory Connector's Konfiguration > menuen Objektvalg. (Se udrulningsvejledningen til Cisco Directory Connector for detaljerede vejledninger.)

Tasterne for et givet rum angives af rummets skaber. Når du vælger pilotbrugere, skal du være opmærksom på, at hvis du beslutter dig for permanent at deaktivere installationen af hybrid-datasikkerhed, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugere. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagte kopier af indholdet.

Opsæt en hybrid-datasikkerhedsklynge

Opgaveflow for installation af hybrid-datasikkerhed

Før du begynder

Download OVA-filen til din lokale maskine til senere brug.

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

Fuldfør klyngeopsætningen.

Kør en prøveversion, og flyt til produktion (næste kapitel)

Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.

Log ind på https://admin.webex.com, og klik derefter på Tjenester.

I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.

Du kan også downloade OVA når som helst fra afsnittet Hjælp på siden Indstillinger . På hybriddatasikkerhedskortet skal du klikke på Rediger indstillinger for at åbne siden. Klik derefter på Download hybrid-datasikkerhedssoftware i afsnittet Hjælp .

Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan resultere i problemer under opgradering af applikationen. Sørg for, at du downloader den seneste version af OVA-filen.

Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.

Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder

HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:

Beskrivelse	Variabel
HTTP-proxy uden godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy uden godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-proxy med godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy med godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
- Legitimationsoplysninger til database
- Certifikatopdateringer
- Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

docker login -u hdscustomersro

Ved adgangskodeprompten skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Download det seneste stabile billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable

Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I FedRAMP-miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kører, kan du se "Express-server lytter på port 8080."

Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed.

Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

På siden ISO-import har du disse valgmuligheder:

Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.

Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.
(kun Microsoft SQL-server) Vælg din godkendelsestype:
- Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .
- Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .
Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

Eksempel:
dbhost.example.org:1433 eller 198.51.100.17:1433

Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433
Indtast databasenavnet.
Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretrækker TLS (standardindstilling)

HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræver TLS

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

Kræver TLS og verificer certifikatunderskriver

Denne tilstand gælder ikke for SQL-serverdatabaser.

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.
Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.)

Konfigurer din Syslogd-server på siden Systemlogfiler:

Indtast URL-adressen til syslog-serveren.

Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

Eksempel:
udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.
Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP
- Nul byte -- \x00
- Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.
Klik på Fortsæt.

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxSize: 10

Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

Næste trin

Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værtens OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.

Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

Vælg Fil > Installer OVF-skabelon.

I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste.

Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

Bekræft skabelonoplysningerne, og klik derefter på Næste.

Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.
Den samlede længde af FQDN må ikke overstige 64 tegn.

IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.

Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Højreklik på noden VM, og vælg derefter Strøm > tænd.

Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

Tips til fejlfinding

Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

Konfigurer hybrid-datasikkerhed VM

Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

1	I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
2	Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Log ind: `admin` Adgangskode: `cisco` Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.
3	Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .
4	Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
5	(Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
6	Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.

Overfør ISO-filen fra din computer:

Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.
Klik på Gem på listen Hardware under fanen Konfiguration på listen.
Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.
Klik på ikonet Overfør filer, og klik derefter på Overfør fil.
Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.
Klik på Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

Monter ISO-filen:

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.
Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.
Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.
Kontrollér Tilsluttet og Tilslut ved tænd.
Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

Konfigurer HDS-noden til proxyintegration

Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.

Før du begynder

Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
Proxyserverkrav

1	Indtast URL-adressen til opsætning af HDS-node `https://[HDS Node IP or FQDN]/setup` i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.
2	Gå til Trust Store & Proxy, og vælg derefter en valgmulighed: Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet. Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet. Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS). Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger: Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter. Godkendelsestype – vælg blandt følgende godkendelsestyper: Ingen – ingen yderligere godkendelse er påkrævet. Tilgængelig for HTTP- eller HTTPS-proxyer. Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning. Tilgængelig for HTTP- eller HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden. Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket. Kun tilgængelig for HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden. Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.
3	Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.
4	Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.
5	Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.
6	Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter.
7	Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

Tilmeld den første node i klyngen

Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Log på https://admin.webex.com.
2	Fra menuen i venstre side af skærmen skal du vælge Tjenester.
3	I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
4	Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.
5	I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"
6	I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
7	Klik på Gå til node.
8	Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
9	Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
10	Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

Opret og tilmeld flere knudepunkter

Hvis du vil tilføje yderligere noder til din klynge, skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter.

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.
2	Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.
3	På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.
4	Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.
5	Registrer noden. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer. Siden Hybrid-datasikkerhedsressourcer vises. Klik på Tilføj ressource. I det første felt skal du vælge navnet på din eksisterende klynge. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen. Klik på Gå til node. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Næste trin

Kør en prøveversion, og flyt til produktion (næste kapitel)

Kør en prøveversion, og flyt til produktion

Prøveversion til produktionsopgaveflow

Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.

Før du begynder

1	Synkroniser om nødvendigt `HdsTrialGroup` gruppeobjekt. Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge `HdsTrialGroup` gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.
2	Aktivér prøveversion Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.
3	Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
4	Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer.
5	Tilføj eller fjern brugere fra din prøveperiode
6	Fuldfør prøvefasen med en af følgende handlinger: Flyt fra prøveversion til produktion Afslut din prøveperiode uden at flytte til produktion

Aktivér prøveversion

Før du begynder

Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.

1	Log ind på https://admin.webex.com, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
4	Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, `HdsTrialGroup`.)

Test din hybrid-datasikkerhedsinstallation

Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

Før du begynder

Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.

Hvis du deaktiverer installationen af hybrid-datasikkerhed, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når klientcachelagte kopier af krypteringsnøglerne er udskiftet.

Send meddelelser til det nye rum.

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

Du bør finde en post som f.eks.:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

Du bør finde en post som f.eks.:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Hvis du vil kontrollere for en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

Du bør finde en post som f.eks.:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg Hybrid Data Security Health

En statusindikator i Control Hub viser dig, om alt er godt med installationen af hybrid-datasikkerhed. For mere proaktiv varsling skal du tilmelde dig e-mailunderretninger. Du vil blive underrettet, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.

1	I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.
2	I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
3	Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

Tilføj eller fjern brugere fra din prøveperiode

Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.

Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.
4	Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

Flyt fra prøveversion til produktion

Når du er overbevist om, at din installation fungerer godt for brugerne af prøveversionen, kan du gå til produktionen. Når du flytter til produktion, vil alle brugere i organisationen bruge dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Du kan ikke gå tilbage til prøvetilstand fra produktion, medmindre du deaktiverer tjenesten som en del af genoprettelse af katastrofer. Hvis du genaktiverer tjenesten, skal du opsætte en ny prøveperiode.

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.
4	Bekræft, at du vil flytte alle dine brugere til produktion.

Afslut din prøveperiode uden at flytte til produktion

Hvis du under din prøveperiode beslutter ikke at fortsætte med din hybrid-datasikkerhedsinstallation, kan du deaktivere hybrid-datasikkerhed, som afslutter prøveperioden og flytter prøvebrugerne tilbage til cloud-datasikkerhedstjenesterne. Brugerne af prøveversionen mister adgang til de data, der blev krypteret under prøveperioden.

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	Klik på Deaktiver i sektionen Deaktiver.
4	Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

Administrer din HDS-installation

Administrer HDS-installation

Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

Indstil tidsplan for klyngeopgradering

Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan angive en specifik opgraderingsplan eller bruge standardtidsplanen på 3:00 AM Daily USA: Amerika/Los Angeles Du kan også vælge at udsætte en kommende opgradering, hvis det er nødvendigt.

Sådan indstilles opgraderingsplanen:

1	Log ind på Control Hub.
2	På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.
3	På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.
4	Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.
5	På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

Rediger nodekonfigurationen

Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:

Ændring af x.509-certifikater på grund af udløb eller andre årsager.

Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.

Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:

Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

Før du begynder

Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

Beskrivelse	Variabel
HTTP-proxy uden godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy uden godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-proxy med godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy med godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
```
docker login -u hdscustomersro
```
Ved adgangskodeprompten skal du indtaste denne hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Download det seneste stabile billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable

Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 indeholder ikke skærmbilleder til nulstilling af adgangskode.

Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I FedRAMP-miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kører, kan du se "Express-server lytter på port 8080."

Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.

Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.
Importér den aktuelle ISO-konfigurationsfil.
Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

For at lukke opsætningsværktøjet skal du indtaste CTRL+C.
Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner.

Installer HDS-hosten OVA.
Opsæt HDS-VM'en.
Tilslut den opdaterede konfigurationsfil.
Registrer den nye node i Control Hub.

For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude:

Slå den virtuelle maskine fra.
I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.
Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.
Markér Forbind med tilsluttet strøm.
Gem dine ændringer, og tænd for den virtuelle maskine.

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Deaktiver blokeret ekstern DNS-opløsningstilstand

Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.

Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.

1	I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.
2	Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .
3	Gå til siden Trust Store & Proxy .
4	Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

Næste trin

Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

Fjern en node

Brug denne procedure til at fjerne en hybrid-datasikkerhedsknude fra Webex-skyen. Når du har fjernet noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.

Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

Fjern noden:

Log ind på Control Hub, og vælg derefter Tjenester.
På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.
Vælg din klynge for at vise dens oversigtspanel.
Klik på listen Åbn knudepunkter.
På fanen Knuder skal du vælge den knude, du vil fjerne.
Klik Handlinger > Fjern registreringsnode.

I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

Genoprettelse af katastrofer ved hjælp af standby-datacenter

Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.


passiveMode: 'false'

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

Gentag processen for hver knude i standbydatacenteret.

Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

Næste trin

Hvis det primære datacenter bliver aktivt igen, skal du placere standbydatacenteret i passiv tilstand igen ved at følge de trin, der er beskrevet i Opsætning af standbydatacenter til genoprettelse af katastrofer.

(Valgfri) Fjern ISO efter HDS-konfiguration

Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.

Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.

Før du begynder

Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

1	Luk en af dine HDS-knudepunkter ned.
2	Vælg HDS-noden i vCenter-serverapparatet.
3	Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af datastore ISO-fil.
4	Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.
5	Gentag for hver HDS-node efter tur.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
- Nye brugere føjet til et rum (kan ikke hente nøgler)
- Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

Varsler

Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.

Tabel 1. Almindelige problemer og trinnene til at løse dem
Varsel	Handling
Adgang til lokal database mislykkedes.	Kontrollér for databasefejl eller lokale netværksproblemer.
Lokal databaseforbindelse mislykkedes.	Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.
Adgang til cloud-tjeneste mislykkedes.	Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.
Fornyelse af registrering af cloud-tjeneste.	Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.
Tilmelding til cloudtjeneste blev droppet.	Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.
Tjeneste endnu ikke aktiveret.	Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.
Det konfigurerede domæne matcher ikke servercertifikatet.	Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.
Kunne ikke godkendes til cloudtjenester.	Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.
Kunne ikke åbne lokal tastaturfil.	Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.
Lokalt servercertifikat er ugyldigt.	Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.
Kan ikke postere målinger.	Kontrollér lokal netværksadgang til eksterne cloud-tjenester.
/media/configdrive/hds-telefonbogen findes ikke.	Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.

1	Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.
2	Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.
3	Kontakt Cisco-support.

Andre noter

Kendte problemer med hybrid-datasikkerhed

Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

Brug åbenSSL til at generere en PKCS12-fil

Før du begynder

OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

1	Når du modtager servercertifikatet fra dit CA, skal du gemme det som `hdsnode.pem`.
2	Vis certifikatet som tekst, og bekræft detaljerne. `openssl x509 -text -noout -in hdsnode.pem`
3	Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes `hdsnode-bundle.pem`. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Opret .p12-filen med det venlige navn `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Kontrollér servercertifikatoplysningerne. `openssl pkcs12 -in hdsnode.p12` Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne `friendlyName: kms-private-key`. Eksempel: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Næste trin

Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-knudepunkterne og skyen

Indsamlingstrafik for udgående målinger

Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).

Indgående trafik

Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer til hybrid-datasikkerhed

Websocket kan ikke oprette forbindelse via squid-proxy

Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss: trafik med henblik på korrekt drift af tjenesterne.

Squid 4 og 5

Tilføj on_unsupported_protocol direktiv til squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Forbillede

Nye og ændrede oplysninger

Dato

Ændringer foretaget

20. oktober 2023

Opdaterede oplysninger i databaseserverkrav.
Tilføjet opsætning af standby-datacenter til genoprettelse af katastrofer.
Opdaterede oplysninger i Standby Data Center til genoprettelse af katastrofer og genoprettelse af katastrofer ved hjælp af Standby Data Center.

07. august 2023

Tilføjet en note i Download installationsfiler.
Tilføjet en note i Opret en konfiguration-ISO for HDS-værterne og Rediger nodekonfigurationen.

23. maj 2023

Slettede oplysninger fra databaseserverkrav, der anmoder om en funktion, der skal aktiveres ved at kontakte kontoteamet.
Opdaterede oplysninger i Eksterne forbindelseskrav og tilføjede Canada til CI-værtstabellen.
Tilføjet en note i Forventninger til implementering af hybrid-datasikkerhed vedrørende utilgængelighed af mekanismer til at flytte nøgler tilbage til skyen.

Den 06. december 2022

HDS-opsætningsværktøjsbilleder hostes nu i ciscocitg dockerhub-lager.
Opdateret Opret en konfigurations-ISO for HDS-værter og Rediger nodekonfigurationsemnerne for at ændre ændringerne i kommandoer.

23. november 2022

HDS-knudepunkter kan nu bruge Windows-godkendelse mod Microsoft SQL-server.

Opdaterede emnet databaseserverkrav med yderligere krav for denne godkendelsestilstand.

Opdateret Opret en konfigurations-ISO for HDS-værter med proceduren til at konfigurere Windows-godkendelse på noderne.
Opdateret emnet databaseserverkrav med nye minimumskrav (Postgre SQL 10).

13. oktober 2021

Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

24. juni 2021

Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

30. april 2021

Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

24. februar 2021

HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

2. februar 2021

HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

11. januar 2021

Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

13. oktober 2020

8. oktober 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

14. august 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

5. august 2020

Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

16. juni 2020

Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

4. juni 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

29. maj 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

5. maj 2020

Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

21. april 2020

Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

1. april 2020

Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

20. februar 2020 Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.

4. februar 2020 Opdaterede proxyserverkrav.

16. december 2019 Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.

19. november 2019

Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

Proxysupport
Konfigurer HDS-noden til proxyintegration
Deaktiver blokeret ekstern DNS-opløsningstilstand

8. november 2019

Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

Følgende afsnit blev opdateret i overensstemmelse hermed:

Opgaveflow for installation af hybrid-datasikkerhed
Installer HDS-værtens OVA
Konfigurer hybrid-datasikkerhed VM

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

6. september 2019

Tilføjede SQL-serverstandard til databaseserverkrav.

29. august 2019 Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.

20. august 2019

Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

Proxysupport
Proxyserverkrav
Konfigurer HDS-noden til proxyintegration

Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

6. marts 2019

Flyttet krav og forudsætninger til et separat kapitel, Forbered dit miljø.
Tilføjet Opgaveflow for installation af hybrid-datasikkerhedoversigt i kapitlet Opsæt en hybrid-datasikkerhedsklynge.

Bemærk, at dine noder, indtil du starter en prøveperiode (ved hjælp af instruktionerne i det følgende kapitel), genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
Tilføjede prøveversionen til produktionsopgaveflow i kapitlet Kør en prøveversion og flyt til produktion.

28. februar 2019

Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

26. februar 2019

Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.
Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

24. januar 2019

Den 5. november 2018

Tilføjet et indledende trin for at rydde op i alle eksisterende forekomster af docker-hds i Opret en konfiguration-ISO for HDS-værterne og Rediger nodekonfigurationen.
Opdaterede trinnet for nøgleadgangsniveau i Opret en konfiguration-ISO for HDS-værter til at matche grænsefladen.

19. oktober 2018

Opdel firewallforbindelsesoplysninger i nodekrav og ISO-konfigurationsmaskinkrav i Udfyld forudsætningerne for hybrid-datasikkerhed.

31. juli 2018

Tilføjede port 22 (SSH-adgang) og oplysninger om NAT- og firewallforbindelser for at fuldføre forudsætningerne for hybrid-datasikkerhed.

21. maj 2018

Ændret terminologi for at afspejle genbranding af Cisco Spark:

Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.
Cisco Spark-appen er nu Webex-appen.
Cisco Collaboraton-clouden er nu Webex-clouden.

Den 11. april 2018

Tilføjet standby-datacenter til genoprettelse af katastrofer.
Opdateret Udfyld forudsætningerne for hybriddatasikkerhed for at angive, at sikkerhedskopieringsmiljøet skal være i et andet datacenter.
Opdateret genoprettelse af katastrofer ved hjælp af standby-datacenter.

22. februar 2018

Tilføjet oplysninger om tjenestekontoadgangskode i 9 måneders levetid og brug af HDS-opsætningsværktøjet til at nulstille tjenestekontoadgangskoderne i Opret en konfiguration-ISO for HDS-værter og Skift nodekonfiguration.

15. februar 2018

I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

18. januar 2018

Tilføjet tillæg, Trafik mellem HDS-knuderne og skyen.
Fjernede et løst problem fra kendte problemer for hybrid-datasikkerhed.
Ændret index.docker.io til *.docker.io og tilføjede *.cloudfront.net til listen over TCP-forbindelseskrav for HDS-noderne i Udfyld forudsætningerne for hybrid-datasikkerhed.
Opdateret Opret en konfigurations-ISO for HDS-værter for at angive, at hvis databaseværten og Syslogd-serveren ikke er DNS-løselige fra HDS-noderne, skal du konfigurere dem ved hjælp af IP-adresser.

Den 2. november 2017

Klargjort adressebogssynkronisering af HdsTrialGroup.
Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

18. august 2017

Udgivet første gang

Kom i gang med hybriddatasikkerhed

Oversigt over hybriddatasikkerhed

Sikkerhedsarkitektur

Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.

Samarbejde med andre organisationer

Forventninger til installation af hybrid-datasikkerhed

En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

For at installere hybrid-datasikkerhed skal du angive:

Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.

Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

Hybrid-datasikkerhedsmodel

Hybrid-datasikkerhedsmodel

Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

Vi understøtter kun en enkelt klynge pr. organisation.

Prøvetilstand for hybrid-datasikkerhed

Standby-datacenter til genoprettelse af katastrofer

Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

Opsætning af standby-datacenter til genoprettelse af katastrofer

Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

Før du begynder

Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger


passiveMode: 'true'

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

Gentag processen for hver knude i standbydatacenteret.

Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

Næste trin

Proxysupport

Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
  - HTTP – Viser og styrer alle anmodninger, som klienten sender.
  - HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
4. Godkendelsestype – vælg blandt følgende godkendelsestyper:
  - Ingen – ingen yderligere godkendelse er påkrævet.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
  - Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
    
    Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
  - Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
    
    Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
    
    Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

Eksempel på hybrid-datasikkerhedsknuder og proxy

Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

Forbered dit miljø

Krav til hybrid-datasikkerhed

Cisco Webex-licenskrav

Sådan installeres hybrid-datasikkerhed:

Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)

Krav til Docker-desktop

X.509 certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation
Krav	Detaljer
Underskrevet af en betroet certifikatmyndighed (CA)	Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.
Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation Er ikke et jokerkortcertifikat	CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. `hds.company.com`. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.
Ikke-SHA1-signatur	KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.
Formateret som en adgangskodebeskyttet PKCS nr. 12-fil Brug det venlige navn på `kms-private-key` for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.	Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

Krav til virtuelle vært

De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.

Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

Databaseserverkrav

Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostmesterSQL

Microsoft SQL-server

PostgreSQL 14, 15 eller 16, installeret og kører.

SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.

SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostmesterSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL-server-JDBC-driver 4.6

Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

Applikation	Protokol	Port	Retning fra appen	Destination
Hybrid-datasikkerhedsnoder	TCP	443	Udgående HTTPS og WSS	Webex-servere: .wbx2.com .ciscospark.com Alle fælles identitetsværter Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester
HDS-opsætningsværktøj	TCP	443	Udgående HTTPS	*.wbx2.com Alle fælles identitetsværter hub.docker.com

URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

Område	URL-adresser for fælles identitet-vært
Nord-, Mellem- og Sydamerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
EU	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxyserverkrav

Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

Eksplicit proxy – squid.

Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
- Ingen godkendelse med HTTP eller HTTPS
- Grundlæggende godkendelse med HTTP eller HTTPS
- Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

Udfyld forudsætningerne for hybriddatasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.

Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)
Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:
- værtsnavnet eller IP-adressen (vært) og porten
- databasens navn (dbname) for nøglelagring
- brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

Opsæt en hybrid-datasikkerhedsklynge

Opgaveflow for installation af hybrid-datasikkerhed

Før du begynder

Download OVA-filen til din lokale maskine til senere brug.

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

Fuldfør klyngeopsætningen.

Kør en prøveversion, og flyt til produktion (næste kapitel)

Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.

Log ind på https://admin.webex.com, og klik derefter på Tjenester.

I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.

Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder

Beskrivelse	Variabel
HTTP-proxy uden godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy uden godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-proxy med godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy med godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
- Legitimationsoplysninger til database
- Certifikatopdateringer
- Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

docker login -u hdscustomersro

Ved adgangskodeprompten skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Download det seneste stabile billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable

Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I FedRAMP-miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kører, kan du se "Express-server lytter på port 8080."

Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

På siden ISO-import har du disse valgmuligheder:

Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.

Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.
(kun Microsoft SQL-server) Vælg din godkendelsestype:
- Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .
- Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .
Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

Eksempel:
dbhost.example.org:1433 eller 198.51.100.17:1433

Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433
Indtast databasenavnet.
Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretrækker TLS (standardindstilling)

HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræver TLS

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

Kræver TLS og verificer certifikatunderskriver

Denne tilstand gælder ikke for SQL-serverdatabaser.

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.
Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

Konfigurer din Syslogd-server på siden Systemlogfiler:

Indtast URL-adressen til syslog-serveren.

Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

Eksempel:
udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.
Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP
- Nul byte -- \x00
- Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.
Klik på Fortsæt.

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxSize: 10

Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

Næste trin

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værtens OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.

Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

Vælg Fil > Installer OVF-skabelon.

I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

Bekræft skabelonoplysningerne, og klik derefter på Næste.

Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.
Den samlede længde af FQDN må ikke overstige 64 tegn.

IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.

Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Højreklik på noden VM, og vælg derefter Strøm > tænd.

Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

Tips til fejlfinding

Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

Konfigurer hybrid-datasikkerhed VM

1	I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
2	Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Log ind: `admin` Adgangskode: `cisco` Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.
3	Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .
4	Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
5	(Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
6	Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Overfør ISO-filen fra din computer:

Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.
Klik på Gem på listen Hardware under fanen Konfiguration på listen.
Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.
Klik på ikonet Overfør filer, og klik derefter på Overfør fil.
Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.
Klik på Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

Monter ISO-filen:

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.
Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.
Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.
Kontrollér Tilsluttet og Tilslut ved tænd.
Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Konfigurer HDS-noden til proxyintegration

Før du begynder

Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
Proxyserverkrav

1	Indtast URL-adressen til opsætning af HDS-node `https://[HDS Node IP or FQDN]/setup` i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.
2	Gå til Trust Store & Proxy, og vælg derefter en valgmulighed: Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet. Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet. Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS). Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger: Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter. Godkendelsestype – vælg blandt følgende godkendelsestyper: Ingen – ingen yderligere godkendelse er påkrævet. Tilgængelig for HTTP- eller HTTPS-proxyer. Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning. Tilgængelig for HTTP- eller HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden. Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket. Kun tilgængelig for HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden. Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.
3	Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.
4	Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.
5	Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.
6	Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter.
7	Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

Tilmeld den første node i klyngen

Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Log på https://admin.webex.com.
2	Fra menuen i venstre side af skærmen skal du vælge Tjenester.
3	I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
4	Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.
5	I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"
6	I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
7	Klik på Gå til node.
8	Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
9	Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
10	Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

Opret og tilmeld flere knudepunkter

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.
2	Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.
3	På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.
4	Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.
5	Registrer noden. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer. Siden Hybrid-datasikkerhedsressourcer vises. Klik på Tilføj ressource. I det første felt skal du vælge navnet på din eksisterende klynge. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen. Klik på Gå til node. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Næste trin

Kør en prøveversion, og flyt til produktion (næste kapitel)

Kør en prøveversion, og flyt til produktion

Prøveversion til produktionsopgaveflow

Før du begynder

1	Synkroniser om nødvendigt `HdsTrialGroup` gruppeobjekt. Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge `HdsTrialGroup` gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.
2	Aktivér prøveversion Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.
3	Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
4	Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer.
5	Tilføj eller fjern brugere fra din prøveperiode
6	Fuldfør prøvefasen med en af følgende handlinger: Flyt fra prøveversion til produktion Afslut din prøveperiode uden at flytte til produktion

Aktivér prøveversion

Før du begynder

1	Log ind på https://admin.webex.com, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
4	Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, `HdsTrialGroup`.)

Test din hybrid-datasikkerhedsinstallation

Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

Før du begynder

Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.

Send meddelelser til det nye rum.

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

Du bør finde en post som f.eks.:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

Du bør finde en post som f.eks.:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Du bør finde en post som f.eks.:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg Hybrid Data Security Health

1	I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.
2	I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
3	Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

Tilføj eller fjern brugere fra din prøveperiode

Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.
4	Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

Flyt fra prøveversion til produktion

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.
4	Bekræft, at du vil flytte alle dine brugere til produktion.

Afslut din prøveperiode uden at flytte til produktion

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	Klik på Deaktiver i sektionen Deaktiver.
4	Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

Administrer din HDS-installation

Administrer HDS-installation

Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

Indstil tidsplan for klyngeopgradering

Sådan indstilles opgraderingsplanen:

1	Log ind på Control Hub.
2	På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.
3	På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.
4	Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.
5	På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

Rediger nodekonfigurationen

Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:

Ændring af x.509-certifikater på grund af udløb eller andre årsager.

Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.

Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

Før du begynder

Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

Beskrivelse	Variabel
HTTP-proxy uden godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy uden godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-proxy med godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy med godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
```
docker login -u hdscustomersro
```
Ved adgangskodeprompten skal du indtaste denne hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Download det seneste stabile billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable

Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I FedRAMP-miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kører, kan du se "Express-server lytter på port 8080."

Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.

Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.
Importér den aktuelle ISO-konfigurationsfil.
Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

For at lukke opsætningsværktøjet skal du indtaste CTRL+C.
Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

Installer HDS-hosten OVA.
Opsæt HDS-VM'en.
Tilslut den opdaterede konfigurationsfil.
Registrer den nye node i Control Hub.

Slå den virtuelle maskine fra.
I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.
Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.
Markér Forbind med tilsluttet strøm.
Gem dine ændringer, og tænd for den virtuelle maskine.

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Deaktiver blokeret ekstern DNS-opløsningstilstand

Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.

1	I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.
2	Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .
3	Gå til siden Trust Store & Proxy .
4	Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

Næste trin

Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

Fjern en node

Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

Fjern noden:

Log ind på Control Hub, og vælg derefter Tjenester.
På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.
Vælg din klynge for at vise dens oversigtspanel.
Klik på listen Åbn knudepunkter.
På fanen Knuder skal du vælge den knude, du vil fjerne.
Klik Handlinger > Fjern registreringsnode.

I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

Genoprettelse af katastrofer ved hjælp af standby-datacenter

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.


passiveMode: 'false'

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

Gentag processen for hver knude i standbydatacenteret.

Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

Næste trin

(Valgfri) Fjern ISO efter HDS-konfiguration

Før du begynder

Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

1	Luk en af dine HDS-knudepunkter ned.
2	Vælg HDS-noden i vCenter-serverapparatet.
3	Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af datastore ISO-fil.
4	Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.
5	Gentag for hver HDS-node efter tur.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
- Nye brugere føjet til et rum (kan ikke hente nøgler)
- Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

Varsler

Tabel 1. Almindelige problemer og trinnene til at løse dem
Varsel	Handling
Adgang til lokal database mislykkedes.	Kontrollér for databasefejl eller lokale netværksproblemer.
Lokal databaseforbindelse mislykkedes.	Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.
Adgang til cloud-tjeneste mislykkedes.	Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.
Fornyelse af registrering af cloud-tjeneste.	Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.
Tilmelding til cloudtjeneste blev droppet.	Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.
Tjeneste endnu ikke aktiveret.	Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.
Det konfigurerede domæne matcher ikke servercertifikatet.	Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.
Kunne ikke godkendes til cloudtjenester.	Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.
Kunne ikke åbne lokal tastaturfil.	Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.
Lokalt servercertifikat er ugyldigt.	Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.
Kan ikke postere målinger.	Kontrollér lokal netværksadgang til eksterne cloud-tjenester.
/media/configdrive/hds-telefonbogen findes ikke.	Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.

1	Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.
2	Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.
3	Kontakt Cisco-support.

Andre noter

Kendte problemer med hybrid-datasikkerhed

Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

Brug åbenSSL til at generere en PKCS12-fil

Før du begynder

OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

1	Når du modtager servercertifikatet fra dit CA, skal du gemme det som `hdsnode.pem`.
2	Vis certifikatet som tekst, og bekræft detaljerne. `openssl x509 -text -noout -in hdsnode.pem`
3	Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes `hdsnode-bundle.pem`. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Opret .p12-filen med det venlige navn `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Kontrollér servercertifikatoplysningerne. `openssl pkcs12 -in hdsnode.p12` Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne `friendlyName: kms-private-key`. Eksempel: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Næste trin

Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-knudepunkterne og skyen

Indsamlingstrafik for udgående målinger

Indgående trafik

Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer til hybrid-datasikkerhed

Websocket kan ikke oprette forbindelse via squid-proxy

Squid 4 og 5

Tilføj on_unsupported_protocol direktiv til squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Forbillede

Nye og ændrede oplysninger

Dato

Ændringer foretaget

20. oktober 2023

Opdaterede oplysninger i databaseserverkrav.
Tilføjet opsætning af standby-datacenter til genoprettelse af katastrofer.
Opdaterede oplysninger i Standby Data Center til genoprettelse af katastrofer og genoprettelse af katastrofer ved hjælp af Standby Data Center.

07. august 2023

Tilføjet en note i Download installationsfiler.
Tilføjet en note i Opret en konfiguration-ISO for HDS-værterne og Rediger nodekonfigurationen.

23. maj 2023

Slettede oplysninger fra databaseserverkrav, der anmoder om en funktion, der skal aktiveres ved at kontakte kontoteamet.
Opdaterede oplysninger i Eksterne forbindelseskrav og tilføjede Canada til CI-værtstabellen.
Tilføjet en note i Forventninger til implementering af hybrid-datasikkerhed vedrørende utilgængelighed af mekanismer til at flytte nøgler tilbage til skyen.

Den 06. december 2022

HDS-opsætningsværktøjsbilleder hostes nu i ciscocitg dockerhub-lager.
Opdateret Opret en konfigurations-ISO for HDS-værter og Rediger nodekonfigurationsemnerne for at ændre ændringerne i kommandoer.

23. november 2022

HDS-knudepunkter kan nu bruge Windows-godkendelse mod Microsoft SQL-server.

Opdaterede emnet databaseserverkrav med yderligere krav for denne godkendelsestilstand.

Opdateret Opret en konfigurations-ISO for HDS-værter med proceduren til at konfigurere Windows-godkendelse på noderne.
Opdateret emnet databaseserverkrav med nye minimumskrav (Postgre SQL 10).

13. oktober 2021

Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

24. juni 2021

Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

30. april 2021

Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

24. februar 2021

HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

2. februar 2021

HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

11. januar 2021

Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

13. oktober 2020

8. oktober 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

14. august 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

5. august 2020

Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

16. juni 2020

Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

4. juni 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

29. maj 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

5. maj 2020

Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

21. april 2020

Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

1. april 2020

Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

20. februar 2020 Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.

4. februar 2020 Opdaterede proxyserverkrav.

16. december 2019 Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.

19. november 2019

Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

Proxysupport
Konfigurer HDS-noden til proxyintegration
Deaktiver blokeret ekstern DNS-opløsningstilstand

8. november 2019

Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

Følgende afsnit blev opdateret i overensstemmelse hermed:

Opgaveflow for installation af hybrid-datasikkerhed
Installer HDS-værtens OVA
Konfigurer hybrid-datasikkerhed VM

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

6. september 2019

Tilføjede SQL-serverstandard til databaseserverkrav.

29. august 2019 Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.

20. august 2019

Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

Proxysupport
Proxyserverkrav
Konfigurer HDS-noden til proxyintegration

Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

6. marts 2019

Flyttet krav og forudsætninger til et separat kapitel, Forbered dit miljø.
Tilføjet Opgaveflow for installation af hybrid-datasikkerhedoversigt i kapitlet Opsæt en hybrid-datasikkerhedsklynge.

Bemærk, at dine noder, indtil du starter en prøveperiode (ved hjælp af instruktionerne i det følgende kapitel), genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
Tilføjede prøveversionen til produktionsopgaveflow i kapitlet Kør en prøveversion og flyt til produktion.

28. februar 2019

Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

26. februar 2019

Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.
Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

24. januar 2019

Den 5. november 2018

Tilføjet et indledende trin for at rydde op i alle eksisterende forekomster af docker-hds i Opret en konfiguration-ISO for HDS-værterne og Rediger nodekonfigurationen.
Opdaterede trinnet for nøgleadgangsniveau i Opret en konfiguration-ISO for HDS-værter til at matche grænsefladen.

19. oktober 2018

Opdel firewallforbindelsesoplysninger i nodekrav og ISO-konfigurationsmaskinkrav i Udfyld forudsætningerne for hybrid-datasikkerhed.

31. juli 2018

Tilføjede port 22 (SSH-adgang) og oplysninger om NAT- og firewallforbindelser for at fuldføre forudsætningerne for hybrid-datasikkerhed.

21. maj 2018

Ændret terminologi for at afspejle genbranding af Cisco Spark:

Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.
Cisco Spark-appen er nu Webex-appen.
Cisco Collaboraton-clouden er nu Webex-clouden.

Den 11. april 2018

Tilføjet standby-datacenter til genoprettelse af katastrofer.
Opdateret Udfyld forudsætningerne for hybriddatasikkerhed for at angive, at sikkerhedskopieringsmiljøet skal være i et andet datacenter.
Opdateret genoprettelse af katastrofer ved hjælp af standby-datacenter.

22. februar 2018

Tilføjet oplysninger om tjenestekontoadgangskode i 9 måneders levetid og brug af HDS-opsætningsværktøjet til at nulstille tjenestekontoadgangskoderne i Opret en konfiguration-ISO for HDS-værter og Skift nodekonfiguration.

15. februar 2018

I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

18. januar 2018

Tilføjet tillæg, Trafik mellem HDS-knuderne og skyen.
Fjernede et løst problem fra kendte problemer for hybrid-datasikkerhed.
Ændret index.docker.io til *.docker.io og tilføjede *.cloudfront.net til listen over TCP-forbindelseskrav for HDS-noderne i Udfyld forudsætningerne for hybrid-datasikkerhed.
Opdateret Opret en konfigurations-ISO for HDS-værter for at angive, at hvis databaseværten og Syslogd-serveren ikke er DNS-løselige fra HDS-noderne, skal du konfigurere dem ved hjælp af IP-adresser.

Den 2. november 2017

Klargjort adressebogssynkronisering af HdsTrialGroup.
Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

18. august 2017

Udgivet første gang

Kom i gang med hybriddatasikkerhed

Oversigt over hybriddatasikkerhed

Sikkerhedsarkitektur

Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.

Samarbejde med andre organisationer

Forventninger til installation af hybrid-datasikkerhed

En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

For at installere hybrid-datasikkerhed skal du angive:

Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.

Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

Hybrid-datasikkerhedsmodel

Hybrid-datasikkerhedsmodel

Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

Vi understøtter kun en enkelt klynge pr. organisation.

Prøvetilstand for hybrid-datasikkerhed

Standby-datacenter til genoprettelse af katastrofer

Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

Opsætning af standby-datacenter til genoprettelse af katastrofer

Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

Før du begynder

Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger


passiveMode: 'true'

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

Gentag processen for hver knude i standbydatacenteret.

Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

Næste trin

Proxysupport

Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
  - HTTP – Viser og styrer alle anmodninger, som klienten sender.
  - HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
4. Godkendelsestype – vælg blandt følgende godkendelsestyper:
  - Ingen – ingen yderligere godkendelse er påkrævet.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
  - Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
    
    Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
  - Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
    
    Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
    
    Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

Eksempel på hybrid-datasikkerhedsknuder og proxy

Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

Forbered dit miljø

Krav til hybrid-datasikkerhed

Cisco Webex-licenskrav

Sådan installeres hybrid-datasikkerhed:

Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)

Krav til Docker-desktop

X.509 certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation
Krav	Detaljer
Underskrevet af en betroet certifikatmyndighed (CA)	Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.
Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation Er ikke et jokerkortcertifikat	CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. `hds.company.com`. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.
Ikke-SHA1-signatur	KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.
Formateret som en adgangskodebeskyttet PKCS nr. 12-fil Brug det venlige navn på `kms-private-key` for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.	Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

Krav til virtuelle vært

De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.

Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

Databaseserverkrav

Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostmesterSQL

Microsoft SQL-server

PostgreSQL 14, 15 eller 16, installeret og kører.

SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.

SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostmesterSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL-server-JDBC-driver 4.6

Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

Applikation	Protokol	Port	Retning fra appen	Destination
Hybrid-datasikkerhedsnoder	TCP	443	Udgående HTTPS og WSS	Webex-servere: .wbx2.com .ciscospark.com Alle fælles identitetsværter Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester
HDS-opsætningsværktøj	TCP	443	Udgående HTTPS	*.wbx2.com Alle fælles identitetsværter hub.docker.com

URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

Område	URL-adresser for fælles identitet-vært
Nord-, Mellem- og Sydamerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
EU	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxyserverkrav

Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

Eksplicit proxy – squid.

Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
- Ingen godkendelse med HTTP eller HTTPS
- Grundlæggende godkendelse med HTTP eller HTTPS
- Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

Udfyld forudsætningerne for hybriddatasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.

Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)
Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:
- værtsnavnet eller IP-adressen (vært) og porten
- databasens navn (dbname) for nøglelagring
- brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

Opsæt en hybrid-datasikkerhedsklynge

Opgaveflow for installation af hybrid-datasikkerhed

Før du begynder

Download OVA-filen til din lokale maskine til senere brug.

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

Fuldfør klyngeopsætningen.

Kør en prøveversion, og flyt til produktion (næste kapitel)

Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.

Log ind på https://admin.webex.com, og klik derefter på Tjenester.

I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.

Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder

Beskrivelse	Variabel
HTTP-proxy uden godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy uden godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-proxy med godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy med godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
- Legitimationsoplysninger til database
- Certifikatopdateringer
- Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

docker login -u hdscustomersro

Ved adgangskodeprompten skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Download det seneste stabile billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable

Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I FedRAMP-miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kører, kan du se "Express-server lytter på port 8080."

Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

På siden ISO-import har du disse valgmuligheder:

Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.

Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.
(kun Microsoft SQL-server) Vælg din godkendelsestype:
- Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .
- Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .
Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

Eksempel:
dbhost.example.org:1433 eller 198.51.100.17:1433

Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433
Indtast databasenavnet.
Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretrækker TLS (standardindstilling)

HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræver TLS

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

Kræver TLS og verificer certifikatunderskriver

Denne tilstand gælder ikke for SQL-serverdatabaser.

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.
Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

Konfigurer din Syslogd-server på siden Systemlogfiler:

Indtast URL-adressen til syslog-serveren.

Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

Eksempel:
udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.
Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP
- Nul byte -- \x00
- Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.
Klik på Fortsæt.

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxSize: 10

Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

Næste trin

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værtens OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.

Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

Vælg Fil > Installer OVF-skabelon.

I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

Bekræft skabelonoplysningerne, og klik derefter på Næste.

Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.
Den samlede længde af FQDN må ikke overstige 64 tegn.

IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.

Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Højreklik på noden VM, og vælg derefter Strøm > tænd.

Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

Tips til fejlfinding

Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

Konfigurer hybrid-datasikkerhed VM

1	I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
2	Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Log ind: `admin` Adgangskode: `cisco` Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.
3	Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .
4	Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
5	(Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
6	Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Overfør ISO-filen fra din computer:

Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.
Klik på Gem på listen Hardware under fanen Konfiguration på listen.
Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.
Klik på ikonet Overfør filer, og klik derefter på Overfør fil.
Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.
Klik på Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

Monter ISO-filen:

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.
Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.
Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.
Kontrollér Tilsluttet og Tilslut ved tænd.
Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Konfigurer HDS-noden til proxyintegration

Før du begynder

Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
Proxyserverkrav

1	Indtast URL-adressen til opsætning af HDS-node `https://[HDS Node IP or FQDN]/setup` i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.
2	Gå til Trust Store & Proxy, og vælg derefter en valgmulighed: Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet. Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet. Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS). Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger: Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter. Godkendelsestype – vælg blandt følgende godkendelsestyper: Ingen – ingen yderligere godkendelse er påkrævet. Tilgængelig for HTTP- eller HTTPS-proxyer. Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning. Tilgængelig for HTTP- eller HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden. Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket. Kun tilgængelig for HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden. Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.
3	Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.
4	Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.
5	Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.
6	Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter.
7	Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

Tilmeld den første node i klyngen

Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Log på https://admin.webex.com.
2	Fra menuen i venstre side af skærmen skal du vælge Tjenester.
3	I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
4	Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.
5	I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"
6	I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
7	Klik på Gå til node.
8	Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
9	Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
10	Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

Opret og tilmeld flere knudepunkter

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.
2	Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.
3	På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.
4	Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.
5	Registrer noden. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer. Siden Hybrid-datasikkerhedsressourcer vises. Klik på Tilføj ressource. I det første felt skal du vælge navnet på din eksisterende klynge. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen. Klik på Gå til node. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Næste trin

Kør en prøveversion, og flyt til produktion (næste kapitel)

Kør en prøveversion, og flyt til produktion

Prøveversion til produktionsopgaveflow

Før du begynder

1	Synkroniser om nødvendigt `HdsTrialGroup` gruppeobjekt. Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge `HdsTrialGroup` gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.
2	Aktivér prøveversion Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.
3	Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
4	Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer.
5	Tilføj eller fjern brugere fra din prøveperiode
6	Fuldfør prøvefasen med en af følgende handlinger: Flyt fra prøveversion til produktion Afslut din prøveperiode uden at flytte til produktion

Aktivér prøveversion

Før du begynder

1	Log ind på https://admin.webex.com, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
4	Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, `HdsTrialGroup`.)

Test din hybrid-datasikkerhedsinstallation

Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

Før du begynder

Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.

Send meddelelser til det nye rum.

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

Du bør finde en post som f.eks.:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

Du bør finde en post som f.eks.:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Du bør finde en post som f.eks.:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg Hybrid Data Security Health

1	I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.
2	I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
3	Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

Tilføj eller fjern brugere fra din prøveperiode

Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.
4	Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

Flyt fra prøveversion til produktion

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.
4	Bekræft, at du vil flytte alle dine brugere til produktion.

Afslut din prøveperiode uden at flytte til produktion

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	Klik på Deaktiver i sektionen Deaktiver.
4	Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

Administrer din HDS-installation

Administrer HDS-installation

Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

Indstil tidsplan for klyngeopgradering

Sådan indstilles opgraderingsplanen:

1	Log ind på Control Hub.
2	På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.
3	På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.
4	Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.
5	På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

Rediger nodekonfigurationen

Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:

Ændring af x.509-certifikater på grund af udløb eller andre årsager.

Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.

Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

Før du begynder

Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

Beskrivelse	Variabel
HTTP-proxy uden godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy uden godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-proxy med godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy med godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
```
docker login -u hdscustomersro
```
Ved adgangskodeprompten skal du indtaste denne hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Download det seneste stabile billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable

Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I FedRAMP-miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kører, kan du se "Express-server lytter på port 8080."

Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.

Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.
Importér den aktuelle ISO-konfigurationsfil.
Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

For at lukke opsætningsværktøjet skal du indtaste CTRL+C.
Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

Installer HDS-hosten OVA.
Opsæt HDS-VM'en.
Tilslut den opdaterede konfigurationsfil.
Registrer den nye node i Control Hub.

Slå den virtuelle maskine fra.
I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.
Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.
Markér Forbind med tilsluttet strøm.
Gem dine ændringer, og tænd for den virtuelle maskine.

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Deaktiver blokeret ekstern DNS-opløsningstilstand

Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.

1	I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.
2	Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .
3	Gå til siden Trust Store & Proxy .
4	Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

Næste trin

Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

Fjern en node

Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

Fjern noden:

Log ind på Control Hub, og vælg derefter Tjenester.
På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.
Vælg din klynge for at vise dens oversigtspanel.
Klik på listen Åbn knudepunkter.
På fanen Knuder skal du vælge den knude, du vil fjerne.
Klik Handlinger > Fjern registreringsnode.

I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

Genoprettelse af katastrofer ved hjælp af standby-datacenter

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.


passiveMode: 'false'

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

Gentag processen for hver knude i standbydatacenteret.

Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

Næste trin

(Valgfri) Fjern ISO efter HDS-konfiguration

Før du begynder

Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

1	Luk en af dine HDS-knudepunkter ned.
2	Vælg HDS-noden i vCenter-serverapparatet.
3	Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af datastore ISO-fil.
4	Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.
5	Gentag for hver HDS-node efter tur.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
- Nye brugere føjet til et rum (kan ikke hente nøgler)
- Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

Varsler

Tabel 1. Almindelige problemer og trinnene til at løse dem
Varsel	Handling
Adgang til lokal database mislykkedes.	Kontrollér for databasefejl eller lokale netværksproblemer.
Lokal databaseforbindelse mislykkedes.	Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.
Adgang til cloud-tjeneste mislykkedes.	Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.
Fornyelse af registrering af cloud-tjeneste.	Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.
Tilmelding til cloudtjeneste blev droppet.	Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.
Tjeneste endnu ikke aktiveret.	Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.
Det konfigurerede domæne matcher ikke servercertifikatet.	Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.
Kunne ikke godkendes til cloudtjenester.	Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.
Kunne ikke åbne lokal tastaturfil.	Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.
Lokalt servercertifikat er ugyldigt.	Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.
Kan ikke postere målinger.	Kontrollér lokal netværksadgang til eksterne cloud-tjenester.
/media/configdrive/hds-telefonbogen findes ikke.	Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.

1	Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.
2	Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.
3	Kontakt Cisco-support.

Andre noter

Kendte problemer med hybrid-datasikkerhed

Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

Brug åbenSSL til at generere en PKCS12-fil

Før du begynder

OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

1	Når du modtager servercertifikatet fra dit CA, skal du gemme det som `hdsnode.pem`.
2	Vis certifikatet som tekst, og bekræft detaljerne. `openssl x509 -text -noout -in hdsnode.pem`
3	Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes `hdsnode-bundle.pem`. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Opret .p12-filen med det venlige navn `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Kontrollér servercertifikatoplysningerne. `openssl pkcs12 -in hdsnode.p12` Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne `friendlyName: kms-private-key`. Eksempel: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Næste trin

Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-knudepunkterne og skyen

Indsamlingstrafik for udgående målinger

Indgående trafik

Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer til hybrid-datasikkerhed

Websocket kan ikke oprette forbindelse via squid-proxy

Squid 4 og 5

Tilføj on_unsupported_protocol direktiv til squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Forbillede

Nye og ændrede oplysninger

Dato

Ændringer foretaget

20. oktober 2023

Opdaterede oplysninger i databaseserverkrav.
Tilføjet opsætning af standby-datacenter til genoprettelse af katastrofer.
Opdaterede oplysninger i Standby Data Center til genoprettelse af katastrofer og genoprettelse af katastrofer ved hjælp af Standby Data Center.

07. august 2023

Tilføjet en note i Download installationsfiler.
Tilføjet en note i Opret en konfiguration-ISO for HDS-værterne og Rediger nodekonfigurationen.

23. maj 2023

Slettede oplysninger fra databaseserverkrav, der anmoder om en funktion, der skal aktiveres ved at kontakte kontoteamet.
Opdaterede oplysninger i Eksterne forbindelseskrav og tilføjede Canada til CI-værtstabellen.
Tilføjet en note i Forventninger til implementering af hybrid-datasikkerhed vedrørende utilgængelighed af mekanismer til at flytte nøgler tilbage til skyen.

Den 06. december 2022

HDS-opsætningsværktøjsbilleder hostes nu i ciscocitg dockerhub-lager.
Opdateret Opret en konfigurations-ISO for HDS-værter og Rediger nodekonfigurationsemnerne for at ændre ændringerne i kommandoer.

23. november 2022

HDS-knudepunkter kan nu bruge Windows-godkendelse mod Microsoft SQL-server.

Opdaterede emnet databaseserverkrav med yderligere krav for denne godkendelsestilstand.

Opdateret Opret en konfigurations-ISO for HDS-værter med proceduren til at konfigurere Windows-godkendelse på noderne.
Opdateret emnet databaseserverkrav med nye minimumskrav (Postgre SQL 10).

13. oktober 2021

Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

24. juni 2021

Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

30. april 2021

Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

24. februar 2021

HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

2. februar 2021

HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

11. januar 2021

Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

13. oktober 2020

8. oktober 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

14. august 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

5. august 2020

Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

16. juni 2020

Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

4. juni 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

29. maj 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

5. maj 2020

Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

21. april 2020

Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

1. april 2020

Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

20. februar 2020 Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.

4. februar 2020 Opdaterede proxyserverkrav.

16. december 2019 Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.

19. november 2019

Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

Proxysupport
Konfigurer HDS-noden til proxyintegration
Deaktiver blokeret ekstern DNS-opløsningstilstand

8. november 2019

Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

Følgende afsnit blev opdateret i overensstemmelse hermed:

Opgaveflow for installation af hybrid-datasikkerhed
Installer HDS-værtens OVA
Konfigurer hybrid-datasikkerhed VM

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

6. september 2019

Tilføjede SQL-serverstandard til databaseserverkrav.

29. august 2019 Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.

20. august 2019

Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

Proxysupport
Proxyserverkrav
Konfigurer HDS-noden til proxyintegration

Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

6. marts 2019

Flyttet krav og forudsætninger til et separat kapitel, Forbered dit miljø.
Tilføjet Opgaveflow for installation af hybrid-datasikkerhedoversigt i kapitlet Opsæt en hybrid-datasikkerhedsklynge.

Bemærk, at dine noder, indtil du starter en prøveperiode (ved hjælp af instruktionerne i det følgende kapitel), genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
Tilføjede prøveversionen til produktionsopgaveflow i kapitlet Kør en prøveversion og flyt til produktion.

28. februar 2019

Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

26. februar 2019

Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.
Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

24. januar 2019

Den 5. november 2018

Tilføjet et indledende trin for at rydde op i alle eksisterende forekomster af docker-hds i Opret en konfiguration-ISO for HDS-værterne og Rediger nodekonfigurationen.
Opdaterede trinnet for nøgleadgangsniveau i Opret en konfiguration-ISO for HDS-værter til at matche grænsefladen.

19. oktober 2018

Opdel firewallforbindelsesoplysninger i nodekrav og ISO-konfigurationsmaskinkrav i Udfyld forudsætningerne for hybrid-datasikkerhed.

31. juli 2018

Tilføjede port 22 (SSH-adgang) og oplysninger om NAT- og firewallforbindelser for at fuldføre forudsætningerne for hybrid-datasikkerhed.

21. maj 2018

Ændret terminologi for at afspejle genbranding af Cisco Spark:

Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.
Cisco Spark-appen er nu Webex-appen.
Cisco Collaboraton-clouden er nu Webex-clouden.

Den 11. april 2018

Tilføjet standby-datacenter til genoprettelse af katastrofer.
Opdateret Udfyld forudsætningerne for hybriddatasikkerhed for at angive, at sikkerhedskopieringsmiljøet skal være i et andet datacenter.
Opdateret genoprettelse af katastrofer ved hjælp af standby-datacenter.

22. februar 2018

Tilføjet oplysninger om tjenestekontoadgangskode i 9 måneders levetid og brug af HDS-opsætningsværktøjet til at nulstille tjenestekontoadgangskoderne i Opret en konfiguration-ISO for HDS-værter og Skift nodekonfiguration.

15. februar 2018

I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

18. januar 2018

Tilføjet tillæg, Trafik mellem HDS-knuderne og skyen.
Fjernede et løst problem fra kendte problemer for hybrid-datasikkerhed.
Ændret index.docker.io til *.docker.io og tilføjede *.cloudfront.net til listen over TCP-forbindelseskrav for HDS-noderne i Udfyld forudsætningerne for hybrid-datasikkerhed.
Opdateret Opret en konfigurations-ISO for HDS-værter for at angive, at hvis databaseværten og Syslogd-serveren ikke er DNS-løselige fra HDS-noderne, skal du konfigurere dem ved hjælp af IP-adresser.

Den 2. november 2017

Klargjort adressebogssynkronisering af HdsTrialGroup.
Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

18. august 2017

Udgivet første gang

Kom i gang med hybriddatasikkerhed

Oversigt over hybriddatasikkerhed

Sikkerhedsarkitektur

Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.

Samarbejde med andre organisationer

Forventninger til installation af hybrid-datasikkerhed

En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

For at installere hybrid-datasikkerhed skal du angive:

Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.

Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

Hybrid-datasikkerhedsmodel

Hybrid-datasikkerhedsmodel

Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

Vi understøtter kun en enkelt klynge pr. organisation.

Prøvetilstand for hybrid-datasikkerhed

Standby-datacenter til genoprettelse af katastrofer

Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

Opsætning af standby-datacenter til genoprettelse af katastrofer

Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

Før du begynder

Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger


passiveMode: 'true'

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

Gentag processen for hver knude i standbydatacenteret.

Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

Næste trin

Proxysupport

Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
  - HTTP – Viser og styrer alle anmodninger, som klienten sender.
  - HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
4. Godkendelsestype – vælg blandt følgende godkendelsestyper:
  - Ingen – ingen yderligere godkendelse er påkrævet.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
  - Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
    
    Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
  - Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
    
    Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
    
    Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

Eksempel på hybrid-datasikkerhedsknuder og proxy

Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

Forbered dit miljø

Krav til hybrid-datasikkerhed

Cisco Webex-licenskrav

Sådan installeres hybrid-datasikkerhed:

Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)

Krav til Docker-desktop

X.509 certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation
Krav	Detaljer
Underskrevet af en betroet certifikatmyndighed (CA)	Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.
Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation Er ikke et jokerkortcertifikat	CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. `hds.company.com`. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.
Ikke-SHA1-signatur	KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.
Formateret som en adgangskodebeskyttet PKCS nr. 12-fil Brug det venlige navn på `kms-private-key` for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.	Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

Krav til virtuelle vært

De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.

Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

Databaseserverkrav

Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostmesterSQL

Microsoft SQL-server

PostgreSQL 14, 15 eller 16, installeret og kører.

SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.

SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostmesterSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL-server-JDBC-driver 4.6

Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

Applikation	Protokol	Port	Retning fra appen	Destination
Hybrid-datasikkerhedsnoder	TCP	443	Udgående HTTPS og WSS	Webex-servere: .wbx2.com .ciscospark.com Alle fælles identitetsværter Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester
HDS-opsætningsværktøj	TCP	443	Udgående HTTPS	*.wbx2.com Alle fælles identitetsværter hub.docker.com

URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

Område	URL-adresser for fælles identitet-vært
Nord-, Mellem- og Sydamerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
EU	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxyserverkrav

Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

Eksplicit proxy – squid.

Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
- Ingen godkendelse med HTTP eller HTTPS
- Grundlæggende godkendelse med HTTP eller HTTPS
- Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

Udfyld forudsætningerne for hybriddatasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.

Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)
Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:
- værtsnavnet eller IP-adressen (vært) og porten
- databasens navn (dbname) for nøglelagring
- brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

Opsæt en hybrid-datasikkerhedsklynge

Opgaveflow for installation af hybrid-datasikkerhed

Før du begynder

Download OVA-filen til din lokale maskine til senere brug.

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

Fuldfør klyngeopsætningen.

Kør en prøveversion, og flyt til produktion (næste kapitel)

Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.

Log ind på https://admin.webex.com, og klik derefter på Tjenester.

I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.

Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder

Beskrivelse	Variabel
HTTP-proxy uden godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy uden godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-proxy med godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy med godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
- Legitimationsoplysninger til database
- Certifikatopdateringer
- Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

docker login -u hdscustomersro

Ved adgangskodeprompten skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Download det seneste stabile billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable

Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I FedRAMP-miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kører, kan du se "Express-server lytter på port 8080."

Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

På siden ISO-import har du disse valgmuligheder:

Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.

Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.
(kun Microsoft SQL-server) Vælg din godkendelsestype:
- Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .
- Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .
Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

Eksempel:
dbhost.example.org:1433 eller 198.51.100.17:1433

Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433
Indtast databasenavnet.
Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretrækker TLS (standardindstilling)

HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræver TLS

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

Kræver TLS og verificer certifikatunderskriver

Denne tilstand gælder ikke for SQL-serverdatabaser.

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.
Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

Konfigurer din Syslogd-server på siden Systemlogfiler:

Indtast URL-adressen til syslog-serveren.

Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

Eksempel:
udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.
Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP
- Nul byte -- \x00
- Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.
Klik på Fortsæt.

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxSize: 10

Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

Næste trin

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værtens OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.

Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

Vælg Fil > Installer OVF-skabelon.

I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

Bekræft skabelonoplysningerne, og klik derefter på Næste.

Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.
Den samlede længde af FQDN må ikke overstige 64 tegn.

IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.

Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Højreklik på noden VM, og vælg derefter Strøm > tænd.

Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

Tips til fejlfinding

Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

Konfigurer hybrid-datasikkerhed VM

1	I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
2	Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Log ind: `admin` Adgangskode: `cisco` Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.
3	Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .
4	Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
5	(Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
6	Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Overfør ISO-filen fra din computer:

Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.
Klik på Gem på listen Hardware under fanen Konfiguration på listen.
Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.
Klik på ikonet Overfør filer, og klik derefter på Overfør fil.
Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.
Klik på Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

Monter ISO-filen:

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.
Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.
Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.
Kontrollér Tilsluttet og Tilslut ved tænd.
Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Konfigurer HDS-noden til proxyintegration

Før du begynder

Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
Proxyserverkrav

1	Indtast URL-adressen til opsætning af HDS-node `https://[HDS Node IP or FQDN]/setup` i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.
2	Gå til Trust Store & Proxy, og vælg derefter en valgmulighed: Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet. Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet. Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS). Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger: Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter. Godkendelsestype – vælg blandt følgende godkendelsestyper: Ingen – ingen yderligere godkendelse er påkrævet. Tilgængelig for HTTP- eller HTTPS-proxyer. Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning. Tilgængelig for HTTP- eller HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden. Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket. Kun tilgængelig for HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden. Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.
3	Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.
4	Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.
5	Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.
6	Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter.
7	Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

Tilmeld den første node i klyngen

Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Log på https://admin.webex.com.
2	Fra menuen i venstre side af skærmen skal du vælge Tjenester.
3	I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
4	Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.
5	I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"
6	I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
7	Klik på Gå til node.
8	Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
9	Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
10	Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

Opret og tilmeld flere knudepunkter

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.
2	Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.
3	På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.
4	Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.
5	Registrer noden. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer. Siden Hybrid-datasikkerhedsressourcer vises. Klik på Tilføj ressource. I det første felt skal du vælge navnet på din eksisterende klynge. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen. Klik på Gå til node. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Næste trin

Kør en prøveversion, og flyt til produktion (næste kapitel)

Kør en prøveversion, og flyt til produktion

Prøveversion til produktionsopgaveflow

Før du begynder

1	Synkroniser om nødvendigt `HdsTrialGroup` gruppeobjekt. Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge `HdsTrialGroup` gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.
2	Aktivér prøveversion Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.
3	Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
4	Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer.
5	Tilføj eller fjern brugere fra din prøveperiode
6	Fuldfør prøvefasen med en af følgende handlinger: Flyt fra prøveversion til produktion Afslut din prøveperiode uden at flytte til produktion

Aktivér prøveversion

Før du begynder

1	Log ind på https://admin.webex.com, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
4	Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, `HdsTrialGroup`.)

Test din hybrid-datasikkerhedsinstallation

Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

Før du begynder

Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.

Send meddelelser til det nye rum.

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

Du bør finde en post som f.eks.:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

Du bør finde en post som f.eks.:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Du bør finde en post som f.eks.:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg Hybrid Data Security Health

1	I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.
2	I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
3	Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

Tilføj eller fjern brugere fra din prøveperiode

Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.
4	Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

Flyt fra prøveversion til produktion

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.
4	Bekræft, at du vil flytte alle dine brugere til produktion.

Afslut din prøveperiode uden at flytte til produktion

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	Klik på Deaktiver i sektionen Deaktiver.
4	Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

Administrer din HDS-installation

Administrer HDS-installation

Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

Indstil tidsplan for klyngeopgradering

Sådan indstilles opgraderingsplanen:

1	Log ind på Control Hub.
2	På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.
3	På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.
4	Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.
5	På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

Rediger nodekonfigurationen

Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:

Ændring af x.509-certifikater på grund af udløb eller andre årsager.

Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.

Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

Før du begynder

Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

Beskrivelse	Variabel
HTTP-proxy uden godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy uden godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-proxy med godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy med godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
```
docker login -u hdscustomersro
```
Ved adgangskodeprompten skal du indtaste denne hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Download det seneste stabile billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable

Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I FedRAMP-miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kører, kan du se "Express-server lytter på port 8080."

Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.

Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.
Importér den aktuelle ISO-konfigurationsfil.
Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

For at lukke opsætningsværktøjet skal du indtaste CTRL+C.
Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

Installer HDS-hosten OVA.
Opsæt HDS-VM'en.
Tilslut den opdaterede konfigurationsfil.
Registrer den nye node i Control Hub.

Slå den virtuelle maskine fra.
I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.
Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.
Markér Forbind med tilsluttet strøm.
Gem dine ændringer, og tænd for den virtuelle maskine.

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Deaktiver blokeret ekstern DNS-opløsningstilstand

Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.

1	I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.
2	Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .
3	Gå til siden Trust Store & Proxy .
4	Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

Næste trin

Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

Fjern en node

Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

Fjern noden:

Log ind på Control Hub, og vælg derefter Tjenester.
På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.
Vælg din klynge for at vise dens oversigtspanel.
Klik på listen Åbn knudepunkter.
På fanen Knuder skal du vælge den knude, du vil fjerne.
Klik Handlinger > Fjern registreringsnode.

I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

Genoprettelse af katastrofer ved hjælp af standby-datacenter

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.


passiveMode: 'false'

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

Gentag processen for hver knude i standbydatacenteret.

Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

Næste trin

(Valgfri) Fjern ISO efter HDS-konfiguration

Før du begynder

Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

1	Luk en af dine HDS-knudepunkter ned.
2	Vælg HDS-noden i vCenter-serverapparatet.
3	Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af datastore ISO-fil.
4	Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.
5	Gentag for hver HDS-node efter tur.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
- Nye brugere føjet til et rum (kan ikke hente nøgler)
- Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

Varsler

Tabel 1. Almindelige problemer og trinnene til at løse dem
Varsel	Handling
Adgang til lokal database mislykkedes.	Kontrollér for databasefejl eller lokale netværksproblemer.
Lokal databaseforbindelse mislykkedes.	Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.
Adgang til cloud-tjeneste mislykkedes.	Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.
Fornyelse af registrering af cloud-tjeneste.	Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.
Tilmelding til cloudtjeneste blev droppet.	Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.
Tjeneste endnu ikke aktiveret.	Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.
Det konfigurerede domæne matcher ikke servercertifikatet.	Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.
Kunne ikke godkendes til cloudtjenester.	Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.
Kunne ikke åbne lokal tastaturfil.	Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.
Lokalt servercertifikat er ugyldigt.	Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.
Kan ikke postere målinger.	Kontrollér lokal netværksadgang til eksterne cloud-tjenester.
/media/configdrive/hds-telefonbogen findes ikke.	Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.

1	Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.
2	Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.
3	Kontakt Cisco-support.

Andre noter

Kendte problemer med hybrid-datasikkerhed

Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

Brug åbenSSL til at generere en PKCS12-fil

Før du begynder

OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

1	Når du modtager servercertifikatet fra dit CA, skal du gemme det som `hdsnode.pem`.
2	Vis certifikatet som tekst, og bekræft detaljerne. `openssl x509 -text -noout -in hdsnode.pem`
3	Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes `hdsnode-bundle.pem`. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Opret .p12-filen med det venlige navn `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Kontrollér servercertifikatoplysningerne. `openssl pkcs12 -in hdsnode.p12` Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne `friendlyName: kms-private-key`. Eksempel: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Næste trin

Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-knudepunkterne og skyen

Indsamlingstrafik for udgående målinger

Indgående trafik

Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer til hybrid-datasikkerhed

Websocket kan ikke oprette forbindelse via squid-proxy

Squid 4 og 5

Tilføj on_unsupported_protocol direktiv til squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Forbillede

Nye og ændrede oplysninger

Dato

Ændringer foretaget

20. oktober 2023

Opdaterede oplysninger i databaseserverkrav.
Tilføjet opsætning af standby-datacenter til genoprettelse af katastrofer.
Opdaterede oplysninger i Standby Data Center til genoprettelse af katastrofer og genoprettelse af katastrofer ved hjælp af Standby Data Center.

07. august 2023

Tilføjet en note i Download installationsfiler.
Tilføjet en note i Opret en konfiguration-ISO for HDS-værterne og Rediger nodekonfigurationen.

23. maj 2023

Slettede oplysninger fra databaseserverkrav, der anmoder om en funktion, der skal aktiveres ved at kontakte kontoteamet.
Opdaterede oplysninger i Eksterne forbindelseskrav og tilføjede Canada til CI-værtstabellen.
Tilføjet en note i Forventninger til implementering af hybrid-datasikkerhed vedrørende utilgængelighed af mekanismer til at flytte nøgler tilbage til skyen.

Den 06. december 2022

HDS-opsætningsværktøjsbilleder hostes nu i ciscocitg dockerhub-lager.
Opdateret Opret en konfigurations-ISO for HDS-værter og Rediger nodekonfigurationsemnerne for at ændre ændringerne i kommandoer.

23. november 2022

HDS-knudepunkter kan nu bruge Windows-godkendelse mod Microsoft SQL-server.

Opdaterede emnet databaseserverkrav med yderligere krav for denne godkendelsestilstand.

Opdateret Opret en konfigurations-ISO for HDS-værter med proceduren til at konfigurere Windows-godkendelse på noderne.
Opdateret emnet databaseserverkrav med nye minimumskrav (Postgre SQL 10).

13. oktober 2021

Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

24. juni 2021

Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

30. april 2021

Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

24. februar 2021

HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

2. februar 2021

HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

11. januar 2021

Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

13. oktober 2020

8. oktober 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

14. august 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

5. august 2020

Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

16. juni 2020

Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

4. juni 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

29. maj 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

5. maj 2020

Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

21. april 2020

Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

1. april 2020

Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

20. februar 2020 Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.

4. februar 2020 Opdaterede proxyserverkrav.

16. december 2019 Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.

19. november 2019

Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

Proxysupport
Konfigurer HDS-noden til proxyintegration
Deaktiver blokeret ekstern DNS-opløsningstilstand

8. november 2019

Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

Følgende afsnit blev opdateret i overensstemmelse hermed:

Opgaveflow for installation af hybrid-datasikkerhed
Installer HDS-værtens OVA
Konfigurer hybrid-datasikkerhed VM

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

6. september 2019

Tilføjede SQL-serverstandard til databaseserverkrav.

29. august 2019 Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.

20. august 2019

Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

Proxysupport
Proxyserverkrav
Konfigurer HDS-noden til proxyintegration

Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

6. marts 2019

Flyttet krav og forudsætninger til et separat kapitel, Forbered dit miljø.
Tilføjet Opgaveflow for installation af hybrid-datasikkerhedoversigt i kapitlet Opsæt en hybrid-datasikkerhedsklynge.

Bemærk, at dine noder, indtil du starter en prøveperiode (ved hjælp af instruktionerne i det følgende kapitel), genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
Tilføjede prøveversionen til produktionsopgaveflow i kapitlet Kør en prøveversion og flyt til produktion.

28. februar 2019

Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

26. februar 2019

Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.
Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

24. januar 2019

Den 5. november 2018

Tilføjet et indledende trin for at rydde op i alle eksisterende forekomster af docker-hds i Opret en konfiguration-ISO for HDS-værterne og Rediger nodekonfigurationen.
Opdaterede trinnet for nøgleadgangsniveau i Opret en konfiguration-ISO for HDS-værter til at matche grænsefladen.

19. oktober 2018

Opdel firewallforbindelsesoplysninger i nodekrav og ISO-konfigurationsmaskinkrav i Udfyld forudsætningerne for hybrid-datasikkerhed.

31. juli 2018

Tilføjede port 22 (SSH-adgang) og oplysninger om NAT- og firewallforbindelser for at fuldføre forudsætningerne for hybrid-datasikkerhed.

21. maj 2018

Ændret terminologi for at afspejle genbranding af Cisco Spark:

Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.
Cisco Spark-appen er nu Webex-appen.
Cisco Collaboraton-clouden er nu Webex-clouden.

Den 11. april 2018

Tilføjet standby-datacenter til genoprettelse af katastrofer.
Opdateret Udfyld forudsætningerne for hybriddatasikkerhed for at angive, at sikkerhedskopieringsmiljøet skal være i et andet datacenter.
Opdateret genoprettelse af katastrofer ved hjælp af standby-datacenter.

22. februar 2018

Tilføjet oplysninger om tjenestekontoadgangskode i 9 måneders levetid og brug af HDS-opsætningsværktøjet til at nulstille tjenestekontoadgangskoderne i Opret en konfiguration-ISO for HDS-værter og Skift nodekonfiguration.

15. februar 2018

I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

18. januar 2018

Tilføjet tillæg, Trafik mellem HDS-knuderne og skyen.
Fjernede et løst problem fra kendte problemer for hybrid-datasikkerhed.
Ændret index.docker.io til *.docker.io og tilføjede *.cloudfront.net til listen over TCP-forbindelseskrav for HDS-noderne i Udfyld forudsætningerne for hybrid-datasikkerhed.
Opdateret Opret en konfigurations-ISO for HDS-værter for at angive, at hvis databaseværten og Syslogd-serveren ikke er DNS-løselige fra HDS-noderne, skal du konfigurere dem ved hjælp af IP-adresser.

Den 2. november 2017

Klargjort adressebogssynkronisering af HdsTrialGroup.
Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

18. august 2017

Udgivet første gang

Kom i gang med hybriddatasikkerhed

Oversigt over hybriddatasikkerhed

Sikkerhedsarkitektur

Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.

Samarbejde med andre organisationer

Forventninger til installation af hybrid-datasikkerhed

En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

For at installere hybrid-datasikkerhed skal du angive:

Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.

Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

Hybrid-datasikkerhedsmodel

Hybrid-datasikkerhedsmodel

Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

Vi understøtter kun en enkelt klynge pr. organisation.

Prøvetilstand for hybrid-datasikkerhed

Standby-datacenter til genoprettelse af katastrofer

Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

Opsætning af standby-datacenter til genoprettelse af katastrofer

Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

Før du begynder

Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger


passiveMode: 'true'

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

Gentag processen for hver knude i standbydatacenteret.

Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

Næste trin

Proxysupport

Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
  - HTTP – Viser og styrer alle anmodninger, som klienten sender.
  - HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
4. Godkendelsestype – vælg blandt følgende godkendelsestyper:
  - Ingen – ingen yderligere godkendelse er påkrævet.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
  - Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
    
    Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
  - Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
    
    Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
    
    Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

Eksempel på hybrid-datasikkerhedsknuder og proxy

Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

Forbered dit miljø

Krav til hybrid-datasikkerhed

Cisco Webex-licenskrav

Sådan installeres hybrid-datasikkerhed:

Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)

Krav til Docker-desktop

X.509 certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation
Krav	Detaljer
Underskrevet af en betroet certifikatmyndighed (CA)	Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.
Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation Er ikke et jokerkortcertifikat	CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. `hds.company.com`. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.
Ikke-SHA1-signatur	KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.
Formateret som en adgangskodebeskyttet PKCS nr. 12-fil Brug det venlige navn på `kms-private-key` for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.	Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

Krav til virtuelle vært

De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.

Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

Databaseserverkrav

Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostmesterSQL

Microsoft SQL-server

PostgreSQL 14, 15 eller 16, installeret og kører.

SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.

SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostmesterSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL-server-JDBC-driver 4.6

Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

Applikation	Protokol	Port	Retning fra appen	Destination
Hybrid-datasikkerhedsnoder	TCP	443	Udgående HTTPS og WSS	Webex-servere: .wbx2.com .ciscospark.com Alle fælles identitetsværter Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester
HDS-opsætningsværktøj	TCP	443	Udgående HTTPS	*.wbx2.com Alle fælles identitetsværter hub.docker.com

URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

Område	URL-adresser for fælles identitet-vært
Nord-, Mellem- og Sydamerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
EU	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxyserverkrav

Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

Eksplicit proxy – squid.

Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
- Ingen godkendelse med HTTP eller HTTPS
- Grundlæggende godkendelse med HTTP eller HTTPS
- Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

Udfyld forudsætningerne for hybriddatasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.

Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)
Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:
- værtsnavnet eller IP-adressen (vært) og porten
- databasens navn (dbname) for nøglelagring
- brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

Opsæt en hybrid-datasikkerhedsklynge

Opgaveflow for installation af hybrid-datasikkerhed

Før du begynder

Download OVA-filen til din lokale maskine til senere brug.

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

Fuldfør klyngeopsætningen.

Kør en prøveversion, og flyt til produktion (næste kapitel)

Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.

Log ind på https://admin.webex.com, og klik derefter på Tjenester.

I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.

Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder

Beskrivelse	Variabel
HTTP-proxy uden godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy uden godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-proxy med godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy med godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
- Legitimationsoplysninger til database
- Certifikatopdateringer
- Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

docker login -u hdscustomersro

Ved adgangskodeprompten skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Download det seneste stabile billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable

Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I FedRAMP-miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kører, kan du se "Express-server lytter på port 8080."

Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

På siden ISO-import har du disse valgmuligheder:

Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.

Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.
(kun Microsoft SQL-server) Vælg din godkendelsestype:
- Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .
- Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .
Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

Eksempel:
dbhost.example.org:1433 eller 198.51.100.17:1433

Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433
Indtast databasenavnet.
Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretrækker TLS (standardindstilling)

HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræver TLS

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

Kræver TLS og verificer certifikatunderskriver

Denne tilstand gælder ikke for SQL-serverdatabaser.

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.
Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

Konfigurer din Syslogd-server på siden Systemlogfiler:

Indtast URL-adressen til syslog-serveren.

Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

Eksempel:
udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.
Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP
- Nul byte -- \x00
- Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.
Klik på Fortsæt.

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxSize: 10

Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

Næste trin

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værtens OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.

Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

Vælg Fil > Installer OVF-skabelon.

I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

Bekræft skabelonoplysningerne, og klik derefter på Næste.

Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.
Den samlede længde af FQDN må ikke overstige 64 tegn.

IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.

Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Højreklik på noden VM, og vælg derefter Strøm > tænd.

Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

Tips til fejlfinding

Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

Konfigurer hybrid-datasikkerhed VM

1	I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
2	Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Log ind: `admin` Adgangskode: `cisco` Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.
3	Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .
4	Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
5	(Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
6	Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Overfør ISO-filen fra din computer:

Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.
Klik på Gem på listen Hardware under fanen Konfiguration på listen.
Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.
Klik på ikonet Overfør filer, og klik derefter på Overfør fil.
Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.
Klik på Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

Monter ISO-filen:

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.
Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.
Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.
Kontrollér Tilsluttet og Tilslut ved tænd.
Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Konfigurer HDS-noden til proxyintegration

Før du begynder

Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
Proxyserverkrav

1	Indtast URL-adressen til opsætning af HDS-node `https://[HDS Node IP or FQDN]/setup` i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.
2	Gå til Trust Store & Proxy, og vælg derefter en valgmulighed: Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet. Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet. Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS). Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger: Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter. Godkendelsestype – vælg blandt følgende godkendelsestyper: Ingen – ingen yderligere godkendelse er påkrævet. Tilgængelig for HTTP- eller HTTPS-proxyer. Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning. Tilgængelig for HTTP- eller HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden. Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket. Kun tilgængelig for HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden. Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.
3	Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.
4	Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.
5	Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.
6	Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter.
7	Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

Tilmeld den første node i klyngen

Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Log på https://admin.webex.com.
2	Fra menuen i venstre side af skærmen skal du vælge Tjenester.
3	I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
4	Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.
5	I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"
6	I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
7	Klik på Gå til node.
8	Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
9	Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
10	Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

Opret og tilmeld flere knudepunkter

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.
2	Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.
3	På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.
4	Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.
5	Registrer noden. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer. Siden Hybrid-datasikkerhedsressourcer vises. Klik på Tilføj ressource. I det første felt skal du vælge navnet på din eksisterende klynge. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen. Klik på Gå til node. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Næste trin

Kør en prøveversion, og flyt til produktion (næste kapitel)

Kør en prøveversion, og flyt til produktion

Prøveversion til produktionsopgaveflow

Før du begynder

1	Synkroniser om nødvendigt `HdsTrialGroup` gruppeobjekt. Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge `HdsTrialGroup` gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.
2	Aktivér prøveversion Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.
3	Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
4	Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer.
5	Tilføj eller fjern brugere fra din prøveperiode
6	Fuldfør prøvefasen med en af følgende handlinger: Flyt fra prøveversion til produktion Afslut din prøveperiode uden at flytte til produktion

Aktivér prøveversion

Før du begynder

1	Log ind på https://admin.webex.com, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
4	Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, `HdsTrialGroup`.)

Test din hybrid-datasikkerhedsinstallation

Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

Før du begynder

Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.

Send meddelelser til det nye rum.

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

Du bør finde en post som f.eks.:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

Du bør finde en post som f.eks.:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Du bør finde en post som f.eks.:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg Hybrid Data Security Health

1	I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.
2	I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
3	Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

Tilføj eller fjern brugere fra din prøveperiode

Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.
4	Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

Flyt fra prøveversion til produktion

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.
4	Bekræft, at du vil flytte alle dine brugere til produktion.

Afslut din prøveperiode uden at flytte til produktion

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	Klik på Deaktiver i sektionen Deaktiver.
4	Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

Administrer din HDS-installation

Administrer HDS-installation

Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

Indstil tidsplan for klyngeopgradering

Sådan indstilles opgraderingsplanen:

1	Log ind på Control Hub.
2	På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.
3	På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.
4	Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.
5	På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

Rediger nodekonfigurationen

Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:

Ændring af x.509-certifikater på grund af udløb eller andre årsager.

Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.

Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.
Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

Før du begynder

Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

Beskrivelse	Variabel
HTTP-proxy uden godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy uden godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-proxy med godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy med godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:
```
docker login -u hdscustomersro
```
Ved adgangskodeprompten skal du indtaste denne hash:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Download det seneste stabile billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable

Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I FedRAMP-miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kører, kan du se "Express-server lytter på port 8080."

Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.

Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.
Importér den aktuelle ISO-konfigurationsfil.
Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

For at lukke opsætningsværktøjet skal du indtaste CTRL+C.
Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

Installer HDS-hosten OVA.
Opsæt HDS-VM'en.
Tilslut den opdaterede konfigurationsfil.
Registrer den nye node i Control Hub.

Slå den virtuelle maskine fra.
I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.
Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.
Markér Forbind med tilsluttet strøm.
Gem dine ændringer, og tænd for den virtuelle maskine.

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Deaktiver blokeret ekstern DNS-opløsningstilstand

Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.

1	I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.
2	Gå til Oversigt (standardsiden). Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .
3	Gå til siden Trust Store & Proxy .
4	Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

Næste trin

Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

Fjern en node

Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

Fjern noden:

Log ind på Control Hub, og vælg derefter Tjenester.
På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.
Vælg din klynge for at vise dens oversigtspanel.
Klik på listen Åbn knudepunkter.
På fanen Knuder skal du vælge den knude, du vil fjerne.
Klik Handlinger > Fjern registreringsnode.

I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

Genoprettelse af katastrofer ved hjælp af standby-datacenter

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.


passiveMode: 'false'

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

Gentag processen for hver knude i standbydatacenteret.

Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

Næste trin

(Valgfri) Fjern ISO efter HDS-konfiguration

Før du begynder

Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

1	Luk en af dine HDS-knudepunkter ned.
2	Vælg HDS-noden i vCenter-serverapparatet.
3	Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af datastore ISO-fil.
4	Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.
5	Gentag for hver HDS-node efter tur.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
- Nye brugere føjet til et rum (kan ikke hente nøgler)
- Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

Varsler

Tabel 1. Almindelige problemer og trinnene til at løse dem
Varsel	Handling
Adgang til lokal database mislykkedes.	Kontrollér for databasefejl eller lokale netværksproblemer.
Lokal databaseforbindelse mislykkedes.	Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.
Adgang til cloud-tjeneste mislykkedes.	Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.
Fornyelse af registrering af cloud-tjeneste.	Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.
Tilmelding til cloudtjeneste blev droppet.	Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.
Tjeneste endnu ikke aktiveret.	Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.
Det konfigurerede domæne matcher ikke servercertifikatet.	Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.
Kunne ikke godkendes til cloudtjenester.	Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.
Kunne ikke åbne lokal tastaturfil.	Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.
Lokalt servercertifikat er ugyldigt.	Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.
Kan ikke postere målinger.	Kontrollér lokal netværksadgang til eksterne cloud-tjenester.
/media/configdrive/hds-telefonbogen findes ikke.	Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.

1	Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.
2	Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.
3	Kontakt Cisco-support.

Andre noter

Kendte problemer med hybrid-datasikkerhed

Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

Brug åbenSSL til at generere en PKCS12-fil

Før du begynder

OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

1	Når du modtager servercertifikatet fra dit CA, skal du gemme det som `hdsnode.pem`.
2	Vis certifikatet som tekst, og bekræft detaljerne. `openssl x509 -text -noout -in hdsnode.pem`
3	Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes `hdsnode-bundle.pem`. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Opret .p12-filen med det venlige navn `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Kontrollér servercertifikatoplysningerne. `openssl pkcs12 -in hdsnode.p12` Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne `friendlyName: kms-private-key`. Eksempel: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Næste trin

Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-knudepunkterne og skyen

Indsamlingstrafik for udgående målinger

Indgående trafik

Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer til hybrid-datasikkerhed

Websocket kan ikke oprette forbindelse via squid-proxy

Squid 4 og 5

Tilføj on_unsupported_protocol direktiv til squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Forbillede

Nye og ændrede oplysninger

Dato

Ændringer foretaget

20. oktober 2023

Opdaterede oplysninger i databaseserverkrav.
Tilføjet opsætning af standby-datacenter til genoprettelse af katastrofer.
Opdaterede oplysninger i Standby Data Center til genoprettelse af katastrofer og genoprettelse af katastrofer ved hjælp af Standby Data Center.

07. august 2023

Tilføjet en note i Download installationsfiler.
Tilføjet en note i Opret en konfiguration-ISO for HDS-værterne og Rediger nodekonfigurationen.

23. maj 2023

Slettede oplysninger fra databaseserverkrav, der anmoder om en funktion, der skal aktiveres ved at kontakte kontoteamet.
Opdaterede oplysninger i Eksterne forbindelseskrav og tilføjede Canada til CI-værtstabellen.
Tilføjet en note i Forventninger til implementering af hybrid-datasikkerhed vedrørende utilgængelighed af mekanismer til at flytte nøgler tilbage til skyen.

Den 06. december 2022

HDS-opsætningsværktøjsbilleder hostes nu i ciscocitg Dockerhub-lager.
Opdateret Opret en konfigurations-ISO for HDS-værter og Rediger nodekonfigurationsemnerne for at ændre ændringerne i kommandoer.

23. november 2022

HDS-knudepunkter kan nu bruge Windows-godkendelse mod Microsoft SQL-server.

Opdaterede emnet databaseserverkrav med yderligere krav for denne godkendelsestilstand.

Opdateret Opret en konfigurations-ISO for HDS-værter med proceduren til at konfigurere Windows-godkendelse på noderne.
Opdateret emnet databaseserverkrav med nye minimumskrav (Postgre SQL 10).

13. oktober 2021

Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

24. juni 2021

Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

30. april 2021

Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

24. februar 2021

HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

2. februar 2021

HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

11. januar 2021

Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

13. oktober 2020

8. oktober 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

14. august 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

5. august 2020

Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

16. juni 2020

Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

4. juni 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

29. maj 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

5. maj 2020

Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

21. april 2020

Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

1. april 2020

Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

20. februar 2020 Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.

4. februar 2020 Opdaterede proxyserverkrav.

16. december 2019 Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.

19. november 2019

Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

Proxyunderstøttelse
Konfigurer HDS-noden til proxyintegration
Deaktiver blokeret ekstern DNS-opløsningstilstand

8. november 2019

Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

Følgende afsnit blev opdateret i overensstemmelse hermed:

Opgaveflow for installation af hybrid-datasikkerhed
Installer HDS-værtens OVA
Konfigurer hybrid-datasikkerhed VM

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

6. september 2019

Tilføjede SQL-serverstandard til databaseserverkrav.

29. august 2019 Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.

20. august 2019

Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

Proxyunderstøttelse
Proxyserverkrav
Konfigurer HDS-noden til proxyintegration

Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

6. marts 2019

Flyttet krav og forudsætninger til et separat kapitel, Forbered dit miljø.
Tilføjet Opgaveflow for installation af hybrid-datasikkerhedoversigt i kapitlet Opsæt en hybrid-datasikkerhedsklynge.

Bemærk, at dine noder, indtil du starter en prøveperiode (ved hjælp af instruktionerne i det følgende kapitel), genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
Tilføjede prøveversionen til produktionsopgaveflow i kapitlet Kør en prøveversion og flyt til produktion.

28. februar 2019

Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

26. februar 2019

Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.
Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

24. januar 2019

Den 5. november 2018

Tilføjet et indledende trin for at rydde op i alle eksisterende forekomster af docker-hds i Opret en konfiguration-ISO for HDS-værterne og Rediger nodekonfigurationen.
Opdaterede trinnet for nøgleadgangsniveau i Opret en konfiguration-ISO for HDS-værter til at matche grænsefladen.

19. oktober 2018

Opdel firewallforbindelsesoplysninger i nodekrav og ISO-konfigurationsmaskinkrav i Udfyld forudsætningerne for hybrid-datasikkerhed.

31. juli 2018

Tilføjede port 22 (SSH-adgang) og oplysninger om NAT- og firewallforbindelser for at fuldføre forudsætningerne for hybrid-datasikkerhed.

21. maj 2018

Ændret terminologi for at afspejle genbranding af Cisco Spark:

Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.
Cisco Spark-appen er nu Webex-appen.
Cisco Collaboraton-clouden er nu Webex-clouden.

Den 11. april 2018

Tilføjet standby-datacenter til genoprettelse af katastrofer.
Opdateret Udfyld forudsætningerne for hybriddatasikkerhed for at angive, at sikkerhedskopieringsmiljøet skal være i et andet datacenter.
Opdateret genoprettelse af katastrofer ved hjælp af standby-datacenter.

22. februar 2018

Tilføjet oplysninger om tjenestekontoadgangskode i 9 måneders levetid og brug af HDS-opsætningsværktøjet til at nulstille tjenestekontoadgangskoderne i Opret en konfiguration-ISO for HDS-værter og Skift nodekonfiguration.

15. februar 2018

I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

18. januar 2018

Tilføjet tillæg, Trafik mellem HDS-knuderne og skyen.
Fjernede et løst problem fra kendte problemer for hybrid-datasikkerhed.
Ændret index.docker.io til *.docker.io og tilføjede *.cloudfront.net til listen over TCP-forbindelseskrav for HDS-noderne i Udfyld forudsætningerne for hybrid-datasikkerhed.
Opdateret Opret en konfigurations-ISO for HDS-værter for at angive, at hvis databaseværten og Syslogd-serveren ikke er DNS-løselige fra HDS-noderne, skal du konfigurere dem ved hjælp af IP-adresser.

Den 2. november 2017

Klargjort adressebogssynkronisering af HdsTrialGroup.
Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

18. august 2017

Udgivet første gang

Kom i gang med hybriddatasikkerhed

Oversigt over hybriddatasikkerhed

Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er slutpunkt-til-slutpunkt-kryptering af indhold, aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdatacenter, så ingen undtagen du har nøglerne til dit krypterede indhold.

Sikkerhedsarkitektur

Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.

Samarbejde med andre organisationer

Forventninger til installation af hybrid-datasikkerhed

En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

For at installere hybrid-datasikkerhed skal du angive:

Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.

Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

Hybrid-datasikkerhedsmodel

Hybrid-datasikkerhedsmodel

Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

Vi understøtter kun en enkelt klynge pr. organisation.

Prøvetilstand for hybrid-datasikkerhed

Standby-datacenter til genoprettelse af katastrofer

Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

Opsætning af standby-datacenter til genoprettelse af katastrofer

Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

Før du begynder

Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger


passiveMode: 'true'

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

Gentag processen for hver knude i standbydatacenteret.

Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

Næste trin

Proxyunderstøttelse

Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatstyring og til at kontrollere den samlede forbindelsesstatus, når du har konfigureret proxyen på noderne.

Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.
3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
  - HTTP – Viser og styrer alle anmodninger, som klienten sender.
  - HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.
4. Godkendelsestype – vælg blandt følgende godkendelsestyper:
  - Ingen – Ingen yderligere godkendelse er påkrævet.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
  - Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.
    
    Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.
  - Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.
    
    Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.
    
    Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

Eksempel på hybrid-datasikkerhedsknuder og proxy

Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

Forbered dit miljø

Krav til hybrid-datasikkerhed

Cisco Webex-licenskrav

Sådan installeres hybrid-datasikkerhed:

Du skal have Pro Pack til Cisco Webex Control Hub. (se https://www.cisco.com/go/pro-pack.)

Krav til Docker-desktop

Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement for Docker Desktop. Få flere oplysninger i blogindlægget Docker, "Docker opdaterer og udvider vores produktabonnementer".

X.509 certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation
Krav	Detaljer
Underskrevet af en betroet certifikatmyndighed (CA)	Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.
Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation Er ikke et jokerkortcertifikat	CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. `hds.company.com`. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.
Ikke-SHA1-signatur	KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.
Formateret som en adgangskodebeskyttet PKCS nr. 12-fil Brug det venlige navn på `kms-private-key` for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.	Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

Krav til virtuelle vært

De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.

Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

Databaseserverkrav

Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostmesterSQL

Microsoft SQL-server

PostgreSQL 14, 15 eller 16, installeret og kører.

SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.

SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostmesterSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL-server-JDBC-driver 4.6

Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

Applikation	Protokol	Port	Retning fra appen	Destination
Hybrid-datasikkerhedsnoder	TCP	443	Udgående HTTPS og WSS	Webex-servere: .wbx2.com .ciscospark.com Alle fælles identitetsværter Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester
HDS-opsætningsværktøj	TCP	443	Udgående HTTPS	*.wbx2.com Alle fælles identitetsværter hub.docker.com

URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

Område	URL-adresser for fælles identitet-vært
Nord-, Mellem- og Sydamerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
EU	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxyserverkrav

Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

Eksplicit proxy – squid.

Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:
- Ingen godkendelse med HTTP eller HTTPS
- Grundlæggende godkendelse med HTTP eller HTTPS
- Digest-godkendelse kun med HTTPS
Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.
Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der inspicerer webtrafik, kan forstyrre webstikforbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

Udfyld forudsætningerne for hybriddatasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.

Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)
Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:
- værtsnavnet eller IP-adressen (vært) og porten
- databasens navn (dbname) for nøglelagring
- brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at data ikke kan gendannes, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.

Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

Opsæt en hybrid-datasikkerhedsklynge

Opgaveflow for installation af hybrid-datasikkerhed

Før du begynder

Download OVA-filen til din lokale maskine til senere brug.

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

Fuldfør klyngeopsætningen.

Kør en prøveversion, og flyt til produktion (næste kapitel)

Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.

Log ind på https://admin.webex.com, og klik derefter på Tjenester.

I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.

Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder

HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. Kør Docker på den maskine for at få adgang til den. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.

Beskrivelse	Variabel
HTTP-proxy uden godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy uden godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-proxy med godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy med godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
- Legitimationsoplysninger til database
- Certifikatopdateringer
- Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

På din maskins kommandolinje skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRamp-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin renser tidligere HDS-opsætningsværktøjsbilleder. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

Indtast følgende for at logge ind på Docker-billedregistret:

docker login -u hdscustomersro

Indtast dette hash i meddelelsen om adgangskode:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Download det seneste stabile billede for dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRamp-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable

Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I Fed-RAMP-miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Ekspresserver, der lytter til port 8080".

Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

På siden ISO-import har du disse valgmuligheder:

Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.

Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.
(kun Microsoft SQL-server) Vælg din godkendelsestype:
- Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .
- Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .
Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

Eksempel:
dbhost.example.org:1433 eller 198.51.100.17:1433

Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433
Indtast databasenavnet.
Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretrækker TLS(standardvalgmulighed)

HDS-noder kræver ikke, at TLS opretter forbindelse til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræv TLS

HDS-knudepunkter opretter kun forbindelse, hvis databaseserveren kan forhandle TLS.

Kræv TLS, og bekræft certifikatunderskriver

Denne tilstand gælder ikke for SQL-serverdatabaser.

HDS-knudepunkter opretter kun forbindelse, hvis databaseserveren kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, mister noden forbindelsen.

Brug kontrolfunktionen Database rodcertifikat under rullemenuen til at overføre rodcertifikatet til denne valgmulighed.

Kræv TLS, og bekræft certifikatunderskriver og værtsnavn

HDS-knudepunkter opretter kun forbindelse, hvis databaseserveren kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, mister noden forbindelsen.
Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal matche nøjagtigt, eller knuden dropper forbindelsen.

Brug kontrolfunktionen Database rodcertifikat under rullemenuen til at overføre rodcertifikatet til denne valgmulighed.

Konfigurer din Syslogd-server på siden Systemlogfiler:

Indtast URL-adressen til syslog-serveren.

Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

Eksempel:
udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.
Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP
- Nul byte -- \x00
- Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.
Klik på Fortsæt.

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxSize: 10

Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

Hvis du vil lukke opsætningsværktøjet, skal du skrive CTRL+C.

Næste trin

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værtens OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.

Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

Vælg Fil > Installer OVF-skabelon.

I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

Bekræft skabelonoplysningerne, og klik derefter på Næste.

Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.
Den samlede længde af FQDN må ikke overstige 64 tegn.

IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.

Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Højreklik på noden VM, og vælg derefter Strøm > tænd.

Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

Tips til fejlfinding

Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

Konfigurer hybrid-datasikkerhed VM

1	I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
2	Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Log ind: `admin` Adgangskode: `cisco` Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.
3	Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .
4	Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
5	(Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
6	Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Overfør ISO-filen fra din computer:

Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.
Klik på Gem på listen Hardware under fanen Konfiguration på listen.
Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.
Klik på ikonet Overfør filer, og klik derefter på Overfør fil.
Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.
Klik på Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

Monter ISO-filen:

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.
Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.
Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.
Kontrollér Tilsluttet og Tilslut ved tænd.
Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Konfigurer HDS-noden til proxyintegration

Før du begynder

Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
Proxyserverkrav

1	Indtast URL-adressen til opsætning af HDS-node `https://[HDS Node IP or FQDN]/setup` i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.
2	Gå til Trust Store & Proxy, og vælg derefter en valgmulighed: Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet. Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet. Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS). Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger: Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter. Godkendelsestype – vælg blandt følgende godkendelsestyper: Ingen – Ingen yderligere godkendelse er påkrævet. Tilgængelig for HTTP- eller HTTPS-proxyer. Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning. Tilgængelig for HTTP- eller HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden. Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket. Kun tilgængelig for HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden. Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.
3	Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.
4	Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.
5	Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.
6	Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar. Noden genstarter inden for et par minutter.
7	Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status. Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

Tilmeld den første node i klyngen

Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Log på https://admin.webex.com.
2	Fra menuen i venstre side af skærmen skal du vælge Tjenester.
3	I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
4	Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.
5	I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"
6	I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
7	Klik på Gå til node.
8	Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
9	Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
10	Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

Opret og tilmeld flere knudepunkter

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.
2	Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.
3	På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.
4	Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.
5	Registrer noden. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer. Siden Hybrid-datasikkerhedsressourcer vises. Klik på Tilføj ressource. I det første felt skal du vælge navnet på din eksisterende klynge. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen. Klik på Gå til node. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Næste trin

Kør en prøveversion, og flyt til produktion (næste kapitel)

Kør en prøveversion, og flyt til produktion

Prøveversion til produktionsopgaveflow

Før du begynder

1	Synkroniser om nødvendigt `HdsTrialGroup` gruppeobjekt. Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge `HdsTrialGroup` gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.
2	Aktivér prøveversion Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.
3	Test din hybrid-datasikkerhedsinstallation Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.
4	Overvåg Hybrid Data Security Health Kontrollér status, og konfigurer e-mailunderretninger for alarmer.
5	Tilføj eller fjern brugere fra din prøveperiode
6	Fuldfør prøvefasen med en af følgende handlinger: Flyt fra prøveversion til produktion Afslut din prøveperiode uden at flytte til produktion

Aktivér prøveversion

Før du begynder

1	Log ind på https://admin.webex.com, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	I afsnittet Tjenestestatus skal du klikke på Start prøveversion. Tjenestestatus ændres til prøvetilstand.
4	Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester. (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, `HdsTrialGroup`.)

Test din hybrid-datasikkerhedsinstallation

Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

Før du begynder

Konfigurer din hybrid-datasikkerhedsinstallation.
Aktivér prøveversionen, og tilføj flere prøvebrugere.
Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.

Send meddelelser til det nye rum.

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

Du bør finde en post som f.eks.:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

Du bør finde en post som f.eks.:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Du bør finde en post som f.eks.:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg Hybrid Data Security Health

1	I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.
2	I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger. Siden Indstillinger for hybrid-datasikkerhed vises.
3	Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

Tilføj eller fjern brugere fra din prøveperiode

Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.
4	Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem.

Flyt fra prøveversion til produktion

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.
4	Bekræft, at du vil flytte alle dine brugere til produktion.

Afslut din prøveperiode uden at flytte til produktion

1	Log ind på Control Hub, og vælg derefter Tjenester.
2	Under Hybrid-datasikkerhed skal du klikke på Indstillinger.
3	Klik på Deaktiver i sektionen Deaktiver.
4	Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

Administrer din HDS-installation

Administrer HDS-installation

Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

Indstil tidsplan for klyngeopgradering

Sådan indstilles opgraderingsplanen:

1	Log ind på Control Hub.
2	På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.
3	På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.
4	Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.
5	På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen. Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

Rediger nodekonfigurationen

Lejlighedsvis kan det være nødvendigt at ændre konfigurationen af din hybrid-datasikkerhedsnode af en årsag såsom:

Ændring af x.509 certifikater på grund af udløb eller andre årsager.

Vi understøtter ikke ændring af et certifikats CN-domænenavn. Domænet skal stemme overens med det oprindelige domæne, der bruges til at registrere klyngen.

Opdatering af databaseindstillinger for at ændre til en kopi af PostgreSQL- eller Microsoft SQL-serverdatabasen.

Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL-server eller omvendt. Hvis du vil skifte databasemiljøet, skal du starte en ny installation af hybrid-datasikkerhed.

Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Til sikkerhedsformål bruger hybrid datasikkerhed også tjenestekontoadgangskoder, der har en ni måneders levetid. Når værktøjet HDS-opsætning genererer disse adgangskoder, skal du installere dem til hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden til din maskinkonto. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden.") Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to valgmuligheder:

Softwaretilpasning – de gamle og nye adgangskoder fungerer begge i op til 10 dage. Brug denne periode til gradvist at udskifte ISO-filen på noderne.
Hård nulstilling – de gamle adgangskoder holder op med at fungere med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker den din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO-filen på alle knuder.

Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.

Før du begynder

Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel indeholder nogle mulige miljøvariabler:

Beskrivelse	Variabel
HTTP-proxy uden godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy uden godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-proxy med godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy med godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

På din maskins kommandolinje skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRamp-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin renser tidligere HDS-opsætningsværktøjsbilleder. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

Indtast følgende for at logge ind på Docker-billedregistret:
```
docker login -u hdscustomersro
```
Indtast dette hash i meddelelsen om adgangskode:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Download det seneste stabile billede for dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRamp-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable

Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet, der er oprettet før den 22. februar 2018, har ikke skærmbillederne til nulstilling af adgangskode.

Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

I almindelige miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I Fed-RAMP-miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTP-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTPS-proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Ekspresserver, der lytter til port 8080".

Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.

Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger til Control Hub-kundelogin og derefter klikke på Accepter for at fortsætte.
Importér den aktuelle ISO-konfigurationsfil.
Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

Hvis du vil lukke opsætningsværktøjet, skal du skrive CTRL+C.
Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

Hvis du kun har én HDS-node i gang, opret en ny hybrid-datasikkerhedsnode VM, og registrer den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner.

Installer HDS-hosten OVA.
Opsæt HDS-VM'en.
Tilslut den opdaterede konfigurationsfil.
Registrer den nye node i Control Hub.

For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO-filen. Udfør følgende fremgangsmåde på hver node efter tur, og opdater hver node, før den næste node deaktiveres:

Slå den virtuelle maskine fra.
I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.
Klik på CD/DVD Drive 1, vælg valgmuligheden for at montere fra en ISO-fil, og gå til den placering, hvor du downloadede den nye ISO-konfigurationsfil.
Markér Forbind med tilsluttet strøm.
Gem dine ændringer, og tænd for den virtuelle maskine.

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Deaktiver blokeret ekstern DNS-opløsningstilstand

Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.

1	I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.
2	Gå til Oversigt (standardsiden). Når den er aktiveret, indstilles blokeret ekstern DNS-opløsning til Ja.
3	Gå til siden Trust Store & Proxy .
4	Klik på Kontrollér proxyforbindelse. Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

Næste trin

Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

Fjern en node

Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

Fjern noden:

Log ind på Control Hub, og vælg derefter Tjenester.
På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.
Vælg din klynge for at vise dens oversigtspanel.
Klik på listen Åbn knudepunkter.
På fanen Knuder skal du vælge den knude, du vil fjerne.
Klik Handlinger > Fjern registreringsnode.

I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

Genoprettelse af katastrofer ved hjælp af standby-datacenter

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.


passiveMode: 'false'

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

Gentag processen for hver knude i standbydatacenteret.

Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

Næste trin

(Valgfri) Fjern ISO efter HDS-konfiguration

Før du begynder

Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

1	Luk en af dine HDS-knudepunkter ned.
2	Vælg HDS-noden i vCenter-serverapparatet.
3	Vælg Rediger indstillinger > CD/DVD-drev , og fjern markering af datastore ISO-fil.
4	Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.
5	Gentag for hver HDS-node efter tur.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)
Meddelelser og rumtitler kan ikke dekrypteres for:
- Nye brugere føjet til et rum (kan ikke hente nøgler)
- Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)
Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

Varsler

Tabel 1. Almindelige problemer og trinnene til at løse dem
Varsel	Handling
Adgang til lokal database mislykkedes.	Kontrollér for databasefejl eller lokale netværksproblemer.
Lokal databaseforbindelse mislykkedes.	Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.
Adgang til cloud-tjeneste mislykkedes.	Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.
Fornyelse af registrering af cloud-tjeneste.	Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.
Tilmelding til cloudtjeneste blev droppet.	Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.
Tjeneste endnu ikke aktiveret.	Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.
Det konfigurerede domæne matcher ikke servercertifikatet.	Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne. Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.
Kunne ikke godkendes til cloudtjenester.	Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.
Kunne ikke åbne lokal tastaturfil.	Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.
Lokalt servercertifikat er ugyldigt.	Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.
Kan ikke postere målinger.	Kontrollér lokal netværksadgang til eksterne cloud-tjenester.
/media/configdrive/hds-telefonbogen findes ikke.	Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.

1	Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.
2	Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.
3	Kontakt Cisco-support.

Andre noter

Kendte problemer med hybrid-datasikkerhed

Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.
En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

Brug åbenSSL til at generere en PKCS12-fil

Før du begynder

OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.
Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.
Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.
Opret en privat nøgle.
Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

1	Når du modtager servercertifikatet fra dit CA, skal du gemme det som `hdsnode.pem`.
2	Vis certifikatet som tekst, og bekræft detaljerne. `openssl x509 -text -noout -in hdsnode.pem`
3	Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes `hdsnode-bundle.pem`. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Opret .p12-filen med det venlige navn `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Kontrollér servercertifikatoplysningerne. `openssl pkcs12 -in hdsnode.p12` Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne `friendlyName: kms-private-key`. Eksempel: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Næste trin

Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-knudepunkterne og skyen

Indsamlingstrafik for udgående målinger

Indgående trafik

Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten
Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer til hybrid-datasikkerhed

Websocket kan ikke oprette forbindelse via squid-proxy

Squid 4 og 5

Tilføj on_unsupported_protocol direktiv til squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Forbillede

Nye og ændrede oplysninger

Dato

Ændringer foretaget

20. oktober 2023

Opdaterede oplysninger i databaseserverkrav.
Tilføjet opsætning af standby-datacenter til genoprettelse af katastrofer.
Opdaterede oplysninger i Standby Data Center til genoprettelse af katastrofer og genoprettelse af katastrofer ved hjælp af Standby Data Center.

07. august 2023

Tilføjet en note i Download installationsfiler.
Tilføjet en note i Opret en konfiguration-ISO for HDS-værterne og Rediger nodekonfigurationen.

23. maj 2023

Slettede oplysninger fra databaseserverkrav , der anmoder om en funktion, der skal aktiveres ved at kontakte kontoteamet.
Opdaterede oplysninger i Eksterne forbindelseskrav og tilføjede Canada til CI-værtstabellen.
Tilføjet en note i Forventninger til implementering af hybrid-datasikkerhed vedrørende utilgængelighed af mekanismer til at flytte nøgler tilbage til skyen.

Den 06. december 2022

HDS-opsætningsværktøjsbilleder hostes nu i ciscocitg dockerhub-opbevaringen.
Opdateret Opret en konfigurations-ISO for HDS-værter og Rediger nodekonfigurationsemnerne for at ændre ændringerne i kommandoer.

23. november 2022

HDS-knudepunkter kan nu bruge Windows-godkendelse mod Microsoft SQL-server.

Opdaterede emnet databaseserverkrav med yderligere krav for denne godkendelsestilstand.

Opdateret Opret en konfigurations-ISO for HDS-værter med proceduren til at konfigurere Windows-godkendelse på noderne.
Opdateret emnet databaseserverkrav med nye minimumskrav (Postgre SQL 10).

13. oktober 2021

Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

24. juni 2021

Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

30. april 2021

Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

24. februar 2021

HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

2. februar 2021

HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

11. januar 2021

Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

13. oktober 2020

8. oktober 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

14. august 2020

Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

5. august 2020

Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

16. juni 2020

Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

4. juni 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

29. maj 2020

Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

5. maj 2020

Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

21. april 2020

Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

1. april 2020

Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

20. februar 2020 Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.

4. februar 2020 Opdaterede proxyserverkrav.

16. december 2019 Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.

19. november 2019

Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

Proxy-support
Konfigurer HDS-knudepunkt for proxy integration
Slå blokeret ekstern DNS-opløsnings tilstand fra

8. november 2019

Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

Følgende afsnit blev opdateret i overensstemmelse hermed:

Opgaveflow for installation af hybrid-datasikkerhed
Installer HDS-værtens OVA
Konfigurer hybrid-datasikkerhed VM

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

6. september 2019

Tilføjede SQL-serverstandard til databaseserverkrav.

29. august 2019 Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.

20. august 2019

Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

Proxy-support
Proxy server krav
Konfigurer HDS-knudepunkt for proxy integration

Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

13. juni 2019 Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere Hds prøvegruppeobjektet, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering.

6. marts 2019

Flyttet krav og forudsætninger til et separat kapitel, Forbered dit miljø.
Tilføjet Opgaveflow for installation af hybrid-datasikkerhed oversigt i kapitlet Opsæt en hybrid-datasikkerhedsklynge.

Bemærk, at dine noder, indtil du starter en prøveperiode (ved hjælp af instruktionerne i det følgende kapitel), genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.
Tilføjede prøveversionen til produktionsopgaveflow i kapitlet Kør en prøveversion og flyt til produktion.

28. februar 2019

Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

26. februar 2019

Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.
Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

24. januar 2019

Den 5. november 2018

Tilføjet et indledende trin for at rydde op i alle eksisterende forekomster af docker-hds i Opret en konfiguration-ISO for HDS-værterne og Rediger nodekonfigurationen.
Opdaterede trinnet for nøgleadgangsniveau i Opret en konfiguration-ISO for HDS-værter til at matche grænsefladen.

19. oktober 2018

Opdel firewallforbindelsesoplysninger i nodekrav og ISO-konfigurationsmaskinkrav i Udfyld forudsætningerne for hybrid-datasikkerhed.

31. juli 2018

Tilføjet port 22 (SSH-adgang) og oplysninger om NAT- og firewallforbindelser for at fuldføre forudsætningerne for hybrid-datasikkerhed.

21. maj 2018

Ændret terminologi for at afspejle genbranding af Cisco Spark:

Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.
Cisco Spark-appen er nu Webex-appen.
Cisco Collaboraton-clouden er nu Webex-clouden.

Den 11. april 2018

Tilføjet standby-datacenter til genoprettelse af katastrofer.
Opdateret Udfyld forudsætningerne for hybrid-datasikkerhed for at angive, at sikkerhedskopieringsmiljøet skal være i et andet datacenter.
Opdateret genoprettelse af katastrofer ved hjælp af standby-datacenter.

22. februar 2018

Tilføjet oplysninger om tjenestekontoadgangskode i 9 måneders levetid og brug af HDS-opsætningsværktøjet til at nulstille tjenestekontoadgangskoderne i Opret en konfiguration-ISO for HDS-værter og Skift nodekonfiguration.

15. februar 2018

I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

18. januar 2018

Tilføjet tillæg, Trafik mellem HDS-knuderne og skyen.
Fjernede et løst problem fra kendte problemer for hybrid-datasikkerhed.
Ændret index.docker.io til *.docker.io og tilføjede *.cloudfront.net til listen over TCP-forbindelseskrav for HDS-noderne i Udfyld forudsætningerne for hybrid-datasikkerhed.
Opdateret Opret en konfigurations-ISO for HDS-værter for at angive , at hvis databaseværten og Syslogd-serveren ikke er DNS-løselige fra HDS-noderne, skal du konfigurere dem ved hjælp af IP-adresser.

Den 2. november 2017

Klargjort adressebogssynkronisering af HdsTrialGroup.
Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

18. august 2017

Udgivet første gang

Kom i gang med hybriddatasikkerhed

Oversigt over hybriddatasikkerhed

Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.

Sikkerhedsrådets arkitektur

Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger som f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og den er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:

Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.
Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.
Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.
Den krypterede meddelelse gemmes i hukommelsesdomænet.

Samarbejde med andre organisationer

Forventninger til installation af hybrid-datasikkerhed

En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

For at installere hybrid-datasikkerhed skal du angive:

Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-planerne.
Det udstyr, software og netværksadgang, der er beskrevet i Forbered dit miljø.

Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.
Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.
Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.
Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.
Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

Hybrid-datasikkerhedsmodel

Hybrid-datasikkerhedsmodel

Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

Vi understøtter kun en enkelt klynge pr. organisation.

Prøvetilstand for hybrid-datasikkerhed

Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. for at udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.

Standby-datacenter til genoprettelse af katastrofer

Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

Før failover har Data Center A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL-server-database, mens B har en kopi af ISO-filen med yderligere konfigurationer, VM'er, der er registreret i organisationen, og en standby-database. Efter failover har Data Center B aktive HDS-noder og den primære database, mens A har ikke-registrerede VM'er og en kopi af ISO-filen, og databasen er i standbytilstand. — ***Manuel failover til standbydatacenter***

De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

Opsætning af standby-datacenter til genoprettelse af katastrofer

Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

Før du begynder

Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)
Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

 passivtilstand: ''Sandt''

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

Højreklik på VM-ware v Shere-klientens venstre navigationsrude, og klik på Rediger indstillinger..

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

Gentag processen for hver knude i standbydatacenteret.

Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

Næste trin

Når du har konfigureret passiv tilstand i ISO-filen og gemt den, kan du oprette en anden kopi af ISO-filen uden konfigurationen af passiv tilstand og gemme den på en sikker placering. Denne kopi af ISO-filen uden konfigureret passiv tilstand kan hjælpe med en hurtig failover-proces under gendannelse af katastrofer. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.

Proxy-support

Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.

Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:

Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikat opdatering er påkrævet.
Gennemsigtig ikke-inspektionsproxy – noderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikat opdatering er påkrævet.
Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
Eksplicit proxy – Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:
1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.
2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.
3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:
  - HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.
  - HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.
4. Godkendelsestype – vælg mellem følgende godkendelsestyper:
  - Ingen – Ingen yderligere godkendelse er påkrævet.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.
  - Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.
    
    Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.
    
    Kræver, at du indtaster brugernavn og adgangskode på hver knude.
  - Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.
    
    Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.
    
    Kræver, at du indtaster brugernavn og adgangskode på hver knude.

Eksempel på hybrid-data sikkerheds knuder og proxy

Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.

Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.

Forbered dit miljø

Krav til hybrid-datasikkerhed

Cisco Webex-licenskrav

Sådan installeres hybrid-datasikkerhed:

Du skal have Pro Pack til Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker-desktop

Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".

X.509 certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation
Krav	Oplysninger
Underskrevet af en betroet certifikatmyndighed (CA)	Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.
Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation Er ikke et jokerkortcertifikat	CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. `hds.company.com`. KN må ikke indeholde et * (jokertegn). CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne. Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.
Ikke-SHA1-signatur	KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.
Formateret som en adgangskodebeskyttet PKCS nr. 12-fil Brug det venlige navn på `kms-private-nøgle` til at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.	Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format. Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

Krav til virtuelle værter

De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter
VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.

Du skal opgradere, hvis du har en tidligere version af ESXI.
Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

Databaseserverkrav

Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostmesterSQL

Microsoft SQL-server

PostgreSQL 14, 15 eller 16, installeret og kører.

SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.

SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostmesterSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL-server-JDBC-driver 4.6

Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.
Den Windows-konto, du leverer til HDS-noder, skal have læse-/skriveadgang til databasen.
De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).
Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

Applikation	Protocol	Port	Retning fra appen	Destination
Hybrid-datasikkerhedsnoder	TCP	443	Udgående HTTPS og WSS	Webex-servere: .wbx2.com .ciscospark.com Alle fælles identitetsværter Andre URL-adresser, der er angivet for hybriddatasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester
HDS-opsætningsværktøj	TCP	443	Udgående HTTPS	*.wbx2.com Alle fælles identitetsværter hub.docker.com

URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

Område	URL-adresser for fælles identitet-vært
Nord-, Mellem- og Sydamerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
EU	https://idbroker-eu.webex.com https://identity-eu.webex.com
Canada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Proxy server krav

Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.

Gennemsigtig proxy – Cisco web Security-Appliance (WSA).

Eksplicit proxy-squid.

Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:)-forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:
- Ingen godkendelse med HTTP eller HTTPS
- Grundlæggende godkendelse med HTTP eller HTTPS
- Samlet godkendelse kun med HTTPS
For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.
Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.
Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil tilsidesættelse af trafik til wbx2.com og ciscospark.com løse problemet.

Udfyld forudsætningerne for hybriddatasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.

Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com), og få en certifikatkæde, der indeholder et X.509-certifikat, privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 certifikatkrav.

Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)
Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:
- værtsnavnet eller IP-adressen (vært) og porten
- databasens navn (dbname) for nøglelagring
- brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

Da hybrid-datasikkerhedsknuderne gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operationel installation medføre, at det UOPRETTELIGT TAB af dette indhold.

Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsnoderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationsfilen og være klar til at genopbygge hybrid-datasikkerhedscentret, hvis der opstår en katastrofal fejl.

Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er angivet i kravene til ekstern forbindelse.

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

Hvis din organisation bruger adressebogssynkronisering, skal du oprette en gruppe i Active Directory, der kaldesHds Trial Group, og tilføje pilotbrugere. Forsøgsgruppen kan have op til 250 brugere. Objektet Hds-prøvegruppe skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. For at synkronisere et gruppeobjekt skal du vælge det i menuen Directory Connector Konfiguration > Objektvalg . (Se udrulningsvejledningen til Cisco Directory Connector for detaljerede instruktioner.)

Opsæt en hybrid-datasikkerhedsklynge

Opgaveflow for installation af hybrid-datasikkerhed

Før du begynder

Download OVA-filen til din lokale maskine til senere brug.

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

Konfigurer HDS-knudepunkt for proxy integration

Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

Fuldfør klyngeopsætningen.

Kør en prøveversion og flyt til produktion (næste kapitel)

Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.

Log ind på https://admin.webex.com, og klik derefter på Tjenester.

I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.

Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder

HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver brugeroplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.

Beskrivelse	Variabel
HTTP-proxy uden godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy uden godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-proxy med godkendelse	`GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy med godkendelse	`GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT`

ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:
- Legitimationsoplysninger til database
- Certifikatopdateringer
- Ændringer i godkendelsespolitikken
Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-opsætning-fedramp:stable

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker-login -u hdscustomersro

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6RO kvKUI o

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-opsætning-fedramp:stabil

Når træk er fuldført, indtast den relevante kommando for dit miljø:

I almindelige miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-opsætning:stabil

I almindelige miljøer med en HTTP-proxy:

Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT__HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I almindelige miljøer med en HTTPS-proxy:

Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT__HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

I FedRAMP-miljøer uden en proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTP-proxy:

Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

I FedRAMP-miljøer med en HTTPS-proxy:

Docker run -p 8080:8080 --rm -it -e GLOBAL AGENT__HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080og indtaste kundens administratorbrugernavn for Control Hub i prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

På siden ISO-import har du disse valgmuligheder:

Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.

Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.
(kun Microsoft SQL-server ) Vælg din godkendelsestype:
- Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .
- Windows-godkendelse: Du skal have en Windows-konto i formatet username@DOMÆNE i feltet Brugernavn .
Indtast databaseserveradressen i formatet : eller :.

Eksempel:
dbhost.example.org:1433 eller 198.51.100.17:1433

Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433
Indtast databasenavnet.
Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretrækker TLS (standardvalgmulighed)

HDS-noder kræver ikke TLS for at tilslutte til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræv TLS

HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

Kræv TLS, og bekræft certifikatcertifikatstegner

Denne tilstand gælder ikke for SQL-serverdatabaser.

HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Kræv TLS, og bekræft certifikatvært og værtsnavn

HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.
Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.
Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal passe præcist, ellers vil knudepunktet falde i forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.)

Konfigurer din Syslogd-server på siden Systemlogfiler:

Indtast URL-adressen til syslog-serveren.

Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

Eksempel:
udp://10.92.43.23:514 angiver logføring til Syslogd vært 10.92.43.23 på UDP-port 514.
Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse såsom tcp://10.92.43.23:514.
Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP
- Nul byte -- \x00
- Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.
Klik på Fortsæt.

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du gerne vil ændre:

app_datasource_connection_pool_maxStørrelse: 10

Klik på Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

Klik på Download ISO-fil. Gem filen på en placering, der er nem at finde.

Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

For at lukke opsætningsværktøjet skal du taste CTRL+C.

Næste trin

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værtens OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.

Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

Vælg Fil > Installer OVF-skabelon.

I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke på Næste.

På siden Vælg et navn og mappe skal du indtaste et virtuelt maskinnavn for noden (f.eks. "HDS_Node_1"), vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste.

På siden Vælg en computerressource skal du vælge destinationscomputerressourcen og derefter klikke på Næste.

Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

Bekræft skabelonoplysningerne, og klik derefter på Næste.

Hvis du bliver bedt om at vælge ressourcekonfigurationen på siden Konfiguration , skal du klikke på 4 CPU og derefter klikke på Næste.

På siden Vælg hukommelse skal du klikke på Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

På siden Vælg netværk skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Store bogstaver understøttes ikke på dette tidspunkt.
Den samlede længde af FQDN må ikke overstige 64 tegn.

IP-adresse – Angiv IP-adressen for nodens interne grænseflade.

Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
Maske – Indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
Gateway – Indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.

Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

Højreklik på noden VM, og vælg derefter Strøm > Tænd.

Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

Fejlfindingstip

Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

Konfigurer hybrid-datasikkerhed VM

1	I VM-ware v Shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol . VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
2	Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne: Log ind: `Administrator` Adgangskode: `Cisco` Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.
3	Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .
4	Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.
5	(Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik. Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.
6	Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Da ISO-filen har hovednøglen, bør den kun udsættes på et "need to know"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.

Overfør ISO-filen fra din computer:

Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.
Klik på Gem på listen Hardware under fanen Konfiguration på listen.
Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.
Klik på ikonet Overfør filer, og klik derefter på Overfør fil.
Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.
Klik på Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

Monter ISO-filen:

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.
Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.
Klik på CD/DVD-drev 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.
Kontrollér Tilsluttet og Tilslut ved tænd.
Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.

Før du begynder

Se Proxysupport for at få en oversigt over de understøttede proxyindstillinger.
Proxy server krav

1	Indtast URL-adresse til opsætning af HDS-knude `https://[HDS knude IP eller FQDN]/Setup` i en webbrowser, Indtast administratorens legitimationsoplysninger, som du opsætter for knudepunktet, og klik derefter på Log ind.
2	Gå til Trust store & proxy, og vælg derefter en valgmulighed: Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikat opdatering er påkrævet. Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikat opdatering er påkrævet. Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-data sikkerhed, men HDS-knuder skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS). Eksplicit proxy – Med eksplicit proxy fortæller du klienten (HDS-noder), hvilken proxyserver der skal bruges, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger: Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad dine proxyserver understøtter. Godkendelsestype – vælg mellem følgende godkendelsestyper: Ingen – Ingen yderligere godkendelse er påkrævet. Tilgængelig for HTTP-eller HTTPS-proxyer. Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning. Tilgængelig for HTTP-eller HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode. Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket. Kun tilgængelig for HTTPS-proxyer. Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode. Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy.
3	Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen. Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen.
4	Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen. Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet. Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.
5	Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft.
6	Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar. Knuden genstarter inden for et par minutter.
7	Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status. Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen.

Tilmeld den første node i klyngen

Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Log på https://admin.webex.com.
2	Fra menuen i venstre side af skærmen skal du vælge Tjenester.
3	I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt. Siden Registrer hybrid-datasikkerhedsknude vises.
4	Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.
5	I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til. Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"
6	I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Denne IP-adresse eller FQDN skal stemme overens med den IP-adresse eller værtsnavn og domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
7	Klik på Gå til node.
8	Klik på Fortsæt i advarselsmeddelelsen. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
9	Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
10	Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

Opret og tilmeld flere knudepunkter

Før du begynder

Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.
Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1	Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.
2	Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.
3	På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.
4	Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.
5	Registrer noden. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer. Siden Hybrid-datasikkerhedsressourcer vises. Klik på Tilføj ressource. I det første felt skal du vælge navnet på din eksisterende klynge. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste. Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen. Klik på Gå til node. Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt. Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed. Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

Næste trin

Kør en prøveversion og flyt til produktion (næste kapitel)

Kør en prøveversion, og flyt til produktion

Prøveversion til produktionsopgaveflow

Før du begynder