Du vil måske bemærke nogle artikler, der viser inkonsekvent indhold. Undskyld, vi roder, mens vi opdaterer vores websted.
cross icon
I denne artikel
dropdown icon
Foransigt
    Nye og ændrede oplysninger
    dropdown icon
    Kom godt i gang med hybrid-datasikkerhed
      Oversigt over hybrid-datasikkerhed
        dropdown icon
        Arkitektur for sikkerhedsdomæne
          Områder for adskillelse (uden hybrid-datasikkerhed)
        Samarbejde med andre organisationer
          Forventninger til implementering af hybrid-datasikkerhed
            Opsætningsproces på højt niveau
              dropdown icon
              Udrulningsmodel for hybrid-datasikkerhed
                Udrulningsmodel for hybrid-datasikkerhed
              Prøvetilstand for hybrid-datasikkerhed
                dropdown icon
                Standby-datacenter til gendannelse efter nedbrud
                  Konfigurer standbydatacenter til gendannelse efter nedbrud
                Proxy-support
                dropdown icon
                Forbered dit miljø
                  dropdown icon
                  Krav til hybrid-datasikkerhed
                    Cisco Webex-licenskrav
                    Krav til Docker Desktop
                    X.509 Certifikatkrav
                    Krav til virtuel vært
                    Krav til databaseserver
                    Krav til ekstern forbindelse
                    Proxy server krav
                  Udfyld forudsætningerne for hybrid-datasikkerhed
                  dropdown icon
                  Opsæt en hybrid-datasikkerhedsklynge
                    Opgavestrøm til installation af hybrid-datasikkerhed
                      Download installationsfiler
                        Opret en konfigurations-ISO for HDS-værter
                          Installer HDS-værts-OVA
                            Opsæt VM for hybrid-datasikkerhed
                              Overfør og monter HDS-konfigurations-ISO
                                Konfigurer HDS-knudepunkt for proxy integration
                                  Tilmeld den første knude i klyngen
                                    Opret og tilmeld flere knudepunkter
                                    dropdown icon
                                    Kør en prøveversion, og flyt til produktion
                                      Proces til produktionsopgaveproces
                                        Aktivér prøveversion
                                          Test din udrulning af hybrid-datasikkerhed
                                            Overvåg sundheden for hybrid-datasikkerhed
                                              Tilføj eller fjern brugere fra din prøveversion
                                                Flyt fra prøveversion til produktion
                                                  Afslut prøveversionen uden at gå til produktion
                                                  dropdown icon
                                                  Administrer din HDS-udrulning
                                                    Administrer HDS-udrulning
                                                      Indstil tidsplan for klyngeopgradering
                                                        Skift nodekonfigurationen
                                                          Slå blokeret ekstern DNS-opløsnings tilstand fra
                                                            Fjern et knudepunkt
                                                              Katastrofegendannelse ved hjælp af standby-datacenter
                                                                (Valgfrit) Afmonter ISO efter HDS-konfiguration
                                                                dropdown icon
                                                                Fejlfinding af hybrid-datasikkerhed
                                                                  Vis varsler og fejlfinding
                                                                    dropdown icon
                                                                    Varsler
                                                                      Almindelige problemer og trin til at løse dem
                                                                    Fejlfinding af hybrid-datasikkerhed
                                                                    dropdown icon
                                                                    Andre bemærkninger
                                                                      Kendte problemer med hybrid-datasikkerhed
                                                                        Brug OpenSSL til at generere en PKCS12-fil
                                                                          Trafik mellem HDS-noderne og skyen
                                                                            dropdown icon
                                                                            Konfigurer Squid-proxyer for hybrid-data sikkerhed
                                                                              WebSocket kan ikke oprette forbindelse via Squid-Proxy
                                                                          I denne artikel
                                                                          cross icon
                                                                          dropdown icon
                                                                          Foransigt
                                                                            Nye og ændrede oplysninger
                                                                            dropdown icon
                                                                            Kom godt i gang med hybrid-datasikkerhed
                                                                              Oversigt over hybrid-datasikkerhed
                                                                                dropdown icon
                                                                                Arkitektur for sikkerhedsdomæne
                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)
                                                                                Samarbejde med andre organisationer
                                                                                  Forventninger til implementering af hybrid-datasikkerhed
                                                                                    Opsætningsproces på højt niveau
                                                                                      dropdown icon
                                                                                      Udrulningsmodel for hybrid-datasikkerhed
                                                                                        Udrulningsmodel for hybrid-datasikkerhed
                                                                                      Prøvetilstand for hybrid-datasikkerhed
                                                                                        dropdown icon
                                                                                        Standby-datacenter til gendannelse efter nedbrud
                                                                                          Konfigurer standbydatacenter til gendannelse efter nedbrud
                                                                                        Proxy-support
                                                                                        dropdown icon
                                                                                        Forbered dit miljø
                                                                                          dropdown icon
                                                                                          Krav til hybrid-datasikkerhed
                                                                                            Cisco Webex-licenskrav
                                                                                            Krav til Docker Desktop
                                                                                            X.509 Certifikatkrav
                                                                                            Krav til virtuel vært
                                                                                            Krav til databaseserver
                                                                                            Krav til ekstern forbindelse
                                                                                            Proxy server krav
                                                                                          Udfyld forudsætningerne for hybrid-datasikkerhed
                                                                                          dropdown icon
                                                                                          Opsæt en hybrid-datasikkerhedsklynge
                                                                                            Opgavestrøm til installation af hybrid-datasikkerhed
                                                                                              Download installationsfiler
                                                                                                Opret en konfigurations-ISO for HDS-værter
                                                                                                  Installer HDS-værts-OVA
                                                                                                    Opsæt VM for hybrid-datasikkerhed
                                                                                                      Overfør og monter HDS-konfigurations-ISO
                                                                                                        Konfigurer HDS-knudepunkt for proxy integration
                                                                                                          Tilmeld den første knude i klyngen
                                                                                                            Opret og tilmeld flere knudepunkter
                                                                                                            dropdown icon
                                                                                                            Kør en prøveversion, og flyt til produktion
                                                                                                              Proces til produktionsopgaveproces
                                                                                                                Aktivér prøveversion
                                                                                                                  Test din udrulning af hybrid-datasikkerhed
                                                                                                                    Overvåg sundheden for hybrid-datasikkerhed
                                                                                                                      Tilføj eller fjern brugere fra din prøveversion
                                                                                                                        Flyt fra prøveversion til produktion
                                                                                                                          Afslut prøveversionen uden at gå til produktion
                                                                                                                          dropdown icon
                                                                                                                          Administrer din HDS-udrulning
                                                                                                                            Administrer HDS-udrulning
                                                                                                                              Indstil tidsplan for klyngeopgradering
                                                                                                                                Skift nodekonfigurationen
                                                                                                                                  Slå blokeret ekstern DNS-opløsnings tilstand fra
                                                                                                                                    Fjern et knudepunkt
                                                                                                                                      Katastrofegendannelse ved hjælp af standby-datacenter
                                                                                                                                        (Valgfrit) Afmonter ISO efter HDS-konfiguration
                                                                                                                                        dropdown icon
                                                                                                                                        Fejlfinding af hybrid-datasikkerhed
                                                                                                                                          Vis varsler og fejlfinding
                                                                                                                                            dropdown icon
                                                                                                                                            Varsler
                                                                                                                                              Almindelige problemer og trin til at løse dem
                                                                                                                                            Fejlfinding af hybrid-datasikkerhed
                                                                                                                                            dropdown icon
                                                                                                                                            Andre bemærkninger
                                                                                                                                              Kendte problemer med hybrid-datasikkerhed
                                                                                                                                                Brug OpenSSL til at generere en PKCS12-fil
                                                                                                                                                  Trafik mellem HDS-noderne og skyen
                                                                                                                                                    dropdown icon
                                                                                                                                                    Konfigurer Squid-proxyer for hybrid-data sikkerhed
                                                                                                                                                      WebSocket kan ikke oprette forbindelse via Squid-Proxy

                                                                                                                                                  Udrulningsvejledning til Webex-hybrid-datasikkerhed

                                                                                                                                                  list-menuI denne artikel
                                                                                                                                                  list-menuHar du feedback?
                                                                                                                                                  Forbillede

                                                                                                                                                  Nye og ændrede oplysninger

                                                                                                                                                  Dato

                                                                                                                                                  Ændringer foretaget

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  07. august 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  Den 06. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Opdaterede installationsfiler til download.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

                                                                                                                                                  Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

                                                                                                                                                  20. februar 2020Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.
                                                                                                                                                  4. februar 2020Opdaterede proxyserverkrav.
                                                                                                                                                  16. december 2019Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

                                                                                                                                                  Følgende afsnit blev opdateret i overensstemmelse hermed:


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Tilføjede SQL-serverstandard til databaseserverkrav.

                                                                                                                                                  29. august 2019Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

                                                                                                                                                  Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

                                                                                                                                                  13. juni 2019Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering.
                                                                                                                                                  6. marts 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.

                                                                                                                                                  • Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid-datasikkerhed understøtter nu Microsoft SQL-server som en database. SQL-server altid tændt (Altid på failover-klynger og Altid på tilgængelighedsgrupper) understøttes af de JDBC-drivere, der bruges i hybrid-datasikkerhed. Tilføjet indhold relateret til installation med SQL-server.


                                                                                                                                                     

                                                                                                                                                    Understøttelse af Microsoft SQL Server er kun beregnet til nye installationer af Hybriddatasikkerhed. Vi understøtter i øjeblikket ikke migrering af data fra PostgreSQL til Microsoft SQL Server i en eksisterende installation.

                                                                                                                                                  Den 5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Ændret terminologi for at afspejle genbranding af Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.

                                                                                                                                                  • Cisco Spark-appen er nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton-clouden er nu Webex-clouden.

                                                                                                                                                  Den 11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  Den 2. november 2017

                                                                                                                                                  • Klargjort adressebogssynkronisering af HdsTrialGroup.

                                                                                                                                                  • Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Udgivet første gang

                                                                                                                                                  Kom i gang med hybriddatasikkerhed

                                                                                                                                                  Oversigt over hybriddatasikkerhed

                                                                                                                                                  Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

                                                                                                                                                  Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.

                                                                                                                                                  Sikkerhedsarkitektur

                                                                                                                                                  Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

                                                                                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)

                                                                                                                                                  For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

                                                                                                                                                  I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:

                                                                                                                                                  1. Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

                                                                                                                                                  2. Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.

                                                                                                                                                  3. Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.

                                                                                                                                                  4. Den krypterede meddelelse gemmes i hukommelsesdomænet.

                                                                                                                                                  Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.

                                                                                                                                                  Samarbejde med andre organisationer

                                                                                                                                                  Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

                                                                                                                                                  KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Forventninger til installation af hybrid-datasikkerhed

                                                                                                                                                  En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

                                                                                                                                                  For at installere hybrid-datasikkerhed skal du angive:

                                                                                                                                                  Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

                                                                                                                                                  • Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.

                                                                                                                                                  • Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.


                                                                                                                                                   

                                                                                                                                                  Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

                                                                                                                                                  Opsætningsproces på højt niveau

                                                                                                                                                  Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

                                                                                                                                                  • Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

                                                                                                                                                    Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.

                                                                                                                                                  • Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.

                                                                                                                                                  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.

                                                                                                                                                  Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)

                                                                                                                                                  Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.

                                                                                                                                                  Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

                                                                                                                                                  Vi understøtter kun en enkelt klynge pr. organisation.

                                                                                                                                                  Prøvetilstand for hybrid-datasikkerhed

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.

                                                                                                                                                  Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.

                                                                                                                                                  Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.

                                                                                                                                                  Standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuel failover til standbydatacenter

                                                                                                                                                  De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.


                                                                                                                                                   

                                                                                                                                                  De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

                                                                                                                                                  Opsætning af standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)

                                                                                                                                                  • Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

                                                                                                                                                  Næste trin

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.

                                                                                                                                                  Proxysupport

                                                                                                                                                  Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.

                                                                                                                                                  Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

                                                                                                                                                  • Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

                                                                                                                                                  • Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

                                                                                                                                                      • HTTP – Viser og styrer alle anmodninger, som klienten sender.

                                                                                                                                                      • HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                  Eksempel på hybrid-datasikkerhedsknuder og proxy

                                                                                                                                                  Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.

                                                                                                                                                  Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  Krav til hybrid-datasikkerhed

                                                                                                                                                  Krav til Docker-desktop

                                                                                                                                                  Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkæden skal opfylde følgende krav:

                                                                                                                                                  Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Underskrevet af en betroet certifikatmyndighed (CA)

                                                                                                                                                  Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation

                                                                                                                                                  • Er ikke et jokerkortcertifikat

                                                                                                                                                  CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

                                                                                                                                                  KN må ikke indeholde et * (jokertegn).

                                                                                                                                                  CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.

                                                                                                                                                  • Ikke-SHA1-signatur

                                                                                                                                                  KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

                                                                                                                                                  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

                                                                                                                                                  • Brug det venlige navn på kms-private-key for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.

                                                                                                                                                  Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format.

                                                                                                                                                  Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

                                                                                                                                                  KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.

                                                                                                                                                  Krav til virtuelle vært

                                                                                                                                                  De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

                                                                                                                                                  • Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter

                                                                                                                                                  • VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.


                                                                                                                                                     

                                                                                                                                                    Du skal opgradere, hvis du har en tidligere version af ESXI.

                                                                                                                                                  • Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

                                                                                                                                                  Databaseserverkrav


                                                                                                                                                   

                                                                                                                                                  Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

                                                                                                                                                  Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

                                                                                                                                                  Tabel 2. Databaseserverkrav efter databasetype

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installeret og kører.

                                                                                                                                                  • SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.


                                                                                                                                                     

                                                                                                                                                    SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL-server-JDBC-driver 4.6

                                                                                                                                                  Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

                                                                                                                                                  Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

                                                                                                                                                  Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

                                                                                                                                                  • HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.

                                                                                                                                                  • Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.

                                                                                                                                                  • De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

                                                                                                                                                    HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

                                                                                                                                                  Krav til ekstern forbindelse

                                                                                                                                                  Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

                                                                                                                                                  Applikation

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Retning fra appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasikkerhedsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester

                                                                                                                                                  HDS-opsætningsværktøj

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål.

                                                                                                                                                  URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

                                                                                                                                                  Område

                                                                                                                                                  URL-adresser for fælles identitet-vært

                                                                                                                                                  Nord-, Mellem- og Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  EU

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserverkrav

                                                                                                                                                  • Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

                                                                                                                                                    • Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicit proxy – squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

                                                                                                                                                  • Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:

                                                                                                                                                    • Ingen godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Grundlæggende godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Digest-godkendelse kun med HTTPS

                                                                                                                                                  • Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.

                                                                                                                                                  • Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

                                                                                                                                                  • Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

                                                                                                                                                  Udfyld forudsætningerne for hybriddatasikkerhed

                                                                                                                                                  Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
                                                                                                                                                  1

                                                                                                                                                  Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces.

                                                                                                                                                  2

                                                                                                                                                  Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com) og få en certifikatkæde, der indeholder et X.509 certifikat, privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 certifikatkrav.

                                                                                                                                                  3

                                                                                                                                                  Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter.

                                                                                                                                                  4

                                                                                                                                                  Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

                                                                                                                                                  1. Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)

                                                                                                                                                  2. Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:

                                                                                                                                                    • værtsnavnet eller IP-adressen (vært) og porten

                                                                                                                                                    • databasens navn (dbname) for nøglelagring

                                                                                                                                                    • brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

                                                                                                                                                  5

                                                                                                                                                  For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er.

                                                                                                                                                  6

                                                                                                                                                  Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.


                                                                                                                                                   

                                                                                                                                                  Fordi hybrid-datasikkerhedsknuderne gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operationel installation medføre, at det UOPRETTELIGT TAB af dette indhold.

                                                                                                                                                  Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl.

                                                                                                                                                  8

                                                                                                                                                  Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

                                                                                                                                                  Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger.

                                                                                                                                                  For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

                                                                                                                                                  11

                                                                                                                                                  Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder HdsTrialGroup, og tilføj pilotbrugere. Prøvegruppen kan have op til 250 brugere. Fil HdsTrialGroup objektet skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. For at synkronisere et gruppeobjekt skal du vælge det i Directory Connector's Konfiguration > menuen Objektvalg. (Se udrulningsvejledningen til Cisco Directory Connector for detaljerede vejledninger.)


                                                                                                                                                   

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Når du vælger pilotbrugere, skal du være opmærksom på, at hvis du beslutter dig for permanent at deaktivere installationen af hybrid-datasikkerhed, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugere. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagte kopier af indholdet.

                                                                                                                                                  Opsæt en hybrid-datasikkerhedsklynge

                                                                                                                                                  Opgaveflow for installation af hybrid-datasikkerhed

                                                                                                                                                  Før du begynder

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  1

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  Download OVA-filen til din lokale maskine til senere brug.

                                                                                                                                                  2

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  5

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

                                                                                                                                                  7

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

                                                                                                                                                  8

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Fuldfør klyngeopsætningen.

                                                                                                                                                  9

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)

                                                                                                                                                  Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og klik derefter på Tjenester.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

                                                                                                                                                  Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.


                                                                                                                                                   

                                                                                                                                                  Du kan også downloade OVA når som helst fra afsnittet Hjælp på siden Indstillinger . På hybriddatasikkerhedskortet skal du klikke på Rediger indstillinger for at åbne siden. Klik derefter på Download hybrid-datasikkerhedssoftware i afsnittet Hjælp .


                                                                                                                                                   

                                                                                                                                                  Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan resultere i problemer under opgradering af applikationen. Sørg for, at du downloader den seneste version af OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

                                                                                                                                                  OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:

                                                                                                                                                    • Legitimationsoplysninger til database

                                                                                                                                                    • Certifikatopdateringer

                                                                                                                                                    • Ændringer i godkendelsespolitikken

                                                                                                                                                  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

                                                                                                                                                  1

                                                                                                                                                  På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download det seneste stabile billede til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                  • I almindelige miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

                                                                                                                                                  Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

                                                                                                                                                  7

                                                                                                                                                  Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed.

                                                                                                                                                  8

                                                                                                                                                  Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

                                                                                                                                                  9

                                                                                                                                                  På siden ISO-import har du disse valgmuligheder:

                                                                                                                                                  • Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
                                                                                                                                                  • Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

                                                                                                                                                  • Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
                                                                                                                                                  11

                                                                                                                                                  Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

                                                                                                                                                  1. Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.

                                                                                                                                                  2. (kun Microsoft SQL-server) Vælg din godkendelsestype:

                                                                                                                                                    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .

                                                                                                                                                    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .

                                                                                                                                                  3. Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

                                                                                                                                                    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Indtast databasenavnet.

                                                                                                                                                  5. Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Vælg en TLS-databaseforbindelsestilstand:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrækker TLS (standardindstilling)

                                                                                                                                                  HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

                                                                                                                                                  Kræver TLS

                                                                                                                                                  HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  Kræver TLS og verificer certifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne tilstand gælder ikke for SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer din Syslogd-server på siden Systemlogfiler:

                                                                                                                                                  1. Indtast URL-adressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

                                                                                                                                                    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.

                                                                                                                                                  3. Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP

                                                                                                                                                    • Nul byte -- \x00

                                                                                                                                                    • Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klik på Fortsæt.

                                                                                                                                                  14

                                                                                                                                                  (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

                                                                                                                                                  Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

                                                                                                                                                  17

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

                                                                                                                                                  Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  18

                                                                                                                                                  For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  Næste trin

                                                                                                                                                  Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

                                                                                                                                                  2

                                                                                                                                                  Vælg Fil > Installer OVF-skabelon.

                                                                                                                                                  3

                                                                                                                                                  I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

                                                                                                                                                  4

                                                                                                                                                  Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste.

                                                                                                                                                  5

                                                                                                                                                  Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

                                                                                                                                                  Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

                                                                                                                                                  6

                                                                                                                                                  Bekræft skabelonoplysningerne, og klik derefter på Næste.

                                                                                                                                                  7

                                                                                                                                                  Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

                                                                                                                                                  8

                                                                                                                                                  Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

                                                                                                                                                  9

                                                                                                                                                  Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

                                                                                                                                                  10

                                                                                                                                                  På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

                                                                                                                                                  • Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

                                                                                                                                                     
                                                                                                                                                    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                    • For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.

                                                                                                                                                    • Den samlede længde af FQDN må ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

                                                                                                                                                     

                                                                                                                                                    Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  • Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
                                                                                                                                                  • Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
                                                                                                                                                  • DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
                                                                                                                                                  • NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.
                                                                                                                                                  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

                                                                                                                                                  Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  11

                                                                                                                                                  Højreklik på noden VM, og vælg derefter Strøm > tænd.

                                                                                                                                                  Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

                                                                                                                                                  Tips til fejlfinding

                                                                                                                                                  Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  1

                                                                                                                                                  I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol .

                                                                                                                                                  VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
                                                                                                                                                  2

                                                                                                                                                  Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne:

                                                                                                                                                  1. Log ind: admin

                                                                                                                                                  2. Adgangskode: cisco

                                                                                                                                                  Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik.

                                                                                                                                                  Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.

                                                                                                                                                  1

                                                                                                                                                  Overfør ISO-filen fra din computer:

                                                                                                                                                  1. Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.

                                                                                                                                                  2. Klik på Gem på listen Hardware under fanen Konfiguration på listen.

                                                                                                                                                  3. Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.

                                                                                                                                                  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

                                                                                                                                                  5. Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

                                                                                                                                                  6. Klik Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.

                                                                                                                                                  4. Kontrollér Tilsluttet og Tilslut ved tænd.

                                                                                                                                                  5. Gem dine ændringer, og genstart den virtuelle maskine.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.

                                                                                                                                                  Før du begynder

                                                                                                                                                  1

                                                                                                                                                  Indtast URL-adressen til opsætning af HDS-node https://[HDS Node IP or FQDN]/setup i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:

                                                                                                                                                  • Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
                                                                                                                                                  • Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:
                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                  Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen.

                                                                                                                                                  Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen.

                                                                                                                                                  Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

                                                                                                                                                  5

                                                                                                                                                  Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar.

                                                                                                                                                  Noden genstarter inden for et par minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status.

                                                                                                                                                  Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

                                                                                                                                                  Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Log på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menuen i venstre side af skærmen skal du vælge Tjenester.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt.

                                                                                                                                                  Siden Registrer hybrid-datasikkerhedsknude vises.
                                                                                                                                                  4

                                                                                                                                                  Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.

                                                                                                                                                  5

                                                                                                                                                  I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til.

                                                                                                                                                  Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                  Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik på Gå til node.

                                                                                                                                                  8

                                                                                                                                                  Klik Fortsæt i advarselsmeddelelsen.

                                                                                                                                                  Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
                                                                                                                                                  9

                                                                                                                                                  Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                  Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Hvis du vil tilføje yderligere noder til din klynge, skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

                                                                                                                                                   

                                                                                                                                                  På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  3

                                                                                                                                                  På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer.

                                                                                                                                                    Siden Hybrid-datasikkerhedsressourcer vises.
                                                                                                                                                  3. Klik på Tilføj ressource.

                                                                                                                                                  4. I det første felt skal du vælge navnet på din eksisterende klynge.

                                                                                                                                                  5. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                    Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen.
                                                                                                                                                  6. Klik på Gå til node.

                                                                                                                                                    Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node.
                                                                                                                                                  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  8. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Næste trin

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)
                                                                                                                                                  Kør en prøveversion, og flyt til produktion

                                                                                                                                                  Prøveversion til produktionsopgaveflow

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkroniser om nødvendigt HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  2

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.

                                                                                                                                                  3

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  4

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  Kontrollér status, og konfigurer e-mailunderretninger for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  6

                                                                                                                                                  Fuldfør prøvefasen med en af følgende handlinger:

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Før du begynder

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Tjenestestatus skal du klikke på Start prøveversion.

                                                                                                                                                  Tjenestestatus ændres til prøvetilstand.
                                                                                                                                                  4

                                                                                                                                                  Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester.

                                                                                                                                                  (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Konfigurer din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  • Aktivér prøveversionen, og tilføj flere prøvebrugere.

                                                                                                                                                  • Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer installationen af hybrid-datasikkerhed, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når klientcachelagte kopier af krypteringsnøglerne er udskiftet.

                                                                                                                                                  2

                                                                                                                                                  Send meddelelser til det nye rum.

                                                                                                                                                  3

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1. Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil kontrollere for en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  En statusindikator i Control Hub viser dig, om alt er godt med installationen af hybrid-datasikkerhed. For mere proaktiv varsling skal du tilmelde dig e-mailunderretninger. Du vil blive underrettet, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger.

                                                                                                                                                  Siden Indstillinger for hybrid-datasikkerhed vises.
                                                                                                                                                  3

                                                                                                                                                  Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.

                                                                                                                                                  4

                                                                                                                                                  Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

                                                                                                                                                  Flyt fra prøveversion til produktion

                                                                                                                                                  Når du er overbevist om, at din installation fungerer godt for brugerne af prøveversionen, kan du gå til produktionen. Når du flytter til produktion, vil alle brugere i organisationen bruge dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Du kan ikke gå tilbage til prøvetilstand fra produktion, medmindre du deaktiverer tjenesten som en del af genoprettelse af katastrofer. Hvis du genaktiverer tjenesten, skal du opsætte en ny prøveperiode.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil flytte alle dine brugere til produktion.

                                                                                                                                                  Afslut din prøveperiode uden at flytte til produktion

                                                                                                                                                  Hvis du under din prøveperiode beslutter ikke at fortsætte med din hybrid-datasikkerhedsinstallation, kan du deaktivere hybrid-datasikkerhed, som afslutter prøveperioden og flytter prøvebrugerne tilbage til cloud-datasikkerhedstjenesterne. Brugerne af prøveversionen mister adgang til de data, der blev krypteret under prøveperioden.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Deaktiver i sektionen Deaktiver.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

                                                                                                                                                  Administrer din HDS-installation

                                                                                                                                                  Administrer HDS-installation

                                                                                                                                                  Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Indstil tidsplan for klyngeopgradering

                                                                                                                                                  Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan angive en specifik opgraderingsplan eller bruge standardtidsplanen på 3:00 AM Daily USA: Amerika/Los Angeles Du kan også vælge at udsætte en kommende opgradering, hvis det er nødvendigt.

                                                                                                                                                  Sådan indstilles opgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.

                                                                                                                                                  4

                                                                                                                                                  Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.

                                                                                                                                                  5

                                                                                                                                                  På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen.

                                                                                                                                                  Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

                                                                                                                                                  Rediger nodekonfigurationen

                                                                                                                                                  Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:
                                                                                                                                                  • Ændring af x.509-certifikater på grund af udløb eller andre årsager.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

                                                                                                                                                  • Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

                                                                                                                                                  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

                                                                                                                                                  Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:

                                                                                                                                                  • Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.

                                                                                                                                                  • Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

                                                                                                                                                  Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

                                                                                                                                                  Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

                                                                                                                                                  1

                                                                                                                                                  Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

                                                                                                                                                  1. På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2. For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download det seneste stabile billede til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 indeholder ikke skærmbilleder til nulstilling af adgangskode.

                                                                                                                                                  5. Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                    • I almindelige miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6. Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  7. Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.

                                                                                                                                                  8. Importér den aktuelle ISO-konfigurationsfil.

                                                                                                                                                  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

                                                                                                                                                    For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner.

                                                                                                                                                  1. Installer HDS-hosten OVA.

                                                                                                                                                  2. Opsæt HDS-VM'en.

                                                                                                                                                  3. Tilslut den opdaterede konfigurationsfil.

                                                                                                                                                  4. Registrer den nye node i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude:

                                                                                                                                                  1. Slå den virtuelle maskine fra.

                                                                                                                                                  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

                                                                                                                                                  4. Markér Forbind med tilsluttet strøm.

                                                                                                                                                  5. Gem dine ændringer, og tænd for den virtuelle maskine.

                                                                                                                                                  4

                                                                                                                                                  Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

                                                                                                                                                  Deaktiver blokeret ekstern DNS-opløsningstilstand

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.

                                                                                                                                                  Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversigt (standardsiden).

                                                                                                                                                  Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

                                                                                                                                                  Næste trin

                                                                                                                                                  Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

                                                                                                                                                  Fjern en node

                                                                                                                                                  Brug denne procedure til at fjerne en hybrid-datasikkerhedsknude fra Webex-skyen. Når du har fjernet noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2. På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.

                                                                                                                                                  3. Vælg din klynge for at vise dens oversigtspanel.

                                                                                                                                                  4. Klik på listen Åbn knudepunkter.

                                                                                                                                                  5. På fanen Knuder skal du vælge den knude, du vil fjerne.

                                                                                                                                                  6. Klik Handlinger > Fjern registreringsnode.

                                                                                                                                                  3

                                                                                                                                                  I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

                                                                                                                                                  Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

                                                                                                                                                  Genoprettelse af katastrofer ved hjælp af standby-datacenter

                                                                                                                                                  Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

                                                                                                                                                  Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

                                                                                                                                                  Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis det primære datacenter bliver aktivt igen, skal du placere standbydatacenteret i passiv tilstand igen ved at følge de trin, der er beskrevet i Opsætning af standbydatacenter til genoprettelse af katastrofer.

                                                                                                                                                  (Valgfri) Fjern ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.

                                                                                                                                                  Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

                                                                                                                                                  1

                                                                                                                                                  Luk en af dine HDS-knudepunkter ned.

                                                                                                                                                  2

                                                                                                                                                  Vælg HDS-noden i vCenter-serverapparatet.

                                                                                                                                                  3

                                                                                                                                                  Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gentag for hver HDS-node efter tur.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Vis varsler og fejlfinding

                                                                                                                                                  En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

                                                                                                                                                  • Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)

                                                                                                                                                  • Meddelelser og rumtitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brugere føjet til et rum (kan ikke hente nøgler)

                                                                                                                                                    • Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)

                                                                                                                                                  • Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

                                                                                                                                                  Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.

                                                                                                                                                  Tabel 1. Almindelige problemer og trinnene til at løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Adgang til lokal database mislykkedes.

                                                                                                                                                  Kontrollér for databasefejl eller lokale netværksproblemer.

                                                                                                                                                  Lokal databaseforbindelse mislykkedes.

                                                                                                                                                  Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.

                                                                                                                                                  Adgang til cloud-tjeneste mislykkedes.

                                                                                                                                                  Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.

                                                                                                                                                  Fornyelse af registrering af cloud-tjeneste.

                                                                                                                                                  Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.

                                                                                                                                                  Tilmelding til cloudtjeneste blev droppet.

                                                                                                                                                  Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.

                                                                                                                                                  Tjeneste endnu ikke aktiveret.

                                                                                                                                                  Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.

                                                                                                                                                  Det konfigurerede domæne matcher ikke servercertifikatet.

                                                                                                                                                  Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

                                                                                                                                                  Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.

                                                                                                                                                  Kunne ikke godkendes til cloudtjenester.

                                                                                                                                                  Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.

                                                                                                                                                  Kunne ikke åbne lokal tastaturfil.

                                                                                                                                                  Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.

                                                                                                                                                  Lokalt servercertifikat er ugyldigt.

                                                                                                                                                  Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.

                                                                                                                                                  Kan ikke postere målinger.

                                                                                                                                                  Kontrollér lokal netværksadgang til eksterne cloud-tjenester.

                                                                                                                                                  /media/configdrive/hds-telefonbogen findes ikke.

                                                                                                                                                  Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.
                                                                                                                                                  1

                                                                                                                                                  Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.

                                                                                                                                                  2

                                                                                                                                                  Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-support.

                                                                                                                                                  Andre noter

                                                                                                                                                  Kendte problemer med hybrid-datasikkerhed

                                                                                                                                                  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

                                                                                                                                                  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

                                                                                                                                                    Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

                                                                                                                                                  Brug åbenSSL til at generere en PKCS12-fil

                                                                                                                                                  Før du begynder

                                                                                                                                                  • OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.

                                                                                                                                                  • Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.

                                                                                                                                                  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.

                                                                                                                                                  • Opret en privat nøgle.

                                                                                                                                                  • Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

                                                                                                                                                  1

                                                                                                                                                  Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis certifikatet som tekst, og bekræft detaljerne.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Opret .p12-filen med det venlige navn kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollér servercertifikatoplysningerne.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne friendlyName: kms-private-key.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Næste trin

                                                                                                                                                  Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

                                                                                                                                                  Trafik mellem HDS-knudepunkterne og skyen

                                                                                                                                                  Indsamlingstrafik for udgående målinger

                                                                                                                                                  Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).

                                                                                                                                                  Indgående trafik

                                                                                                                                                  Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

                                                                                                                                                  • Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten

                                                                                                                                                  • Opgraderinger til nodesoftwaren

                                                                                                                                                  Konfigurer Squid-proxyer til hybrid-datasikkerhed

                                                                                                                                                  Websocket kan ikke oprette forbindelse via squid-proxy

                                                                                                                                                  Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss: trafik med henblik på korrekt drift af tjenesterne.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Tilføj on_unsupported_protocol direktiv til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Forbillede

                                                                                                                                                  Nye og ændrede oplysninger

                                                                                                                                                  Dato

                                                                                                                                                  Ændringer foretaget

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  07. august 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  Den 06. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Opdaterede installationsfiler til download.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

                                                                                                                                                  Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

                                                                                                                                                  20. februar 2020Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.
                                                                                                                                                  4. februar 2020Opdaterede proxyserverkrav.
                                                                                                                                                  16. december 2019Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

                                                                                                                                                  Følgende afsnit blev opdateret i overensstemmelse hermed:


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Tilføjede SQL-serverstandard til databaseserverkrav.

                                                                                                                                                  29. august 2019Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

                                                                                                                                                  Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

                                                                                                                                                  13. juni 2019Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering.
                                                                                                                                                  6. marts 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.

                                                                                                                                                  • Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid-datasikkerhed understøtter nu Microsoft SQL-server som en database. SQL-server altid tændt (Altid på failover-klynger og Altid på tilgængelighedsgrupper) understøttes af de JDBC-drivere, der bruges i hybrid-datasikkerhed. Tilføjet indhold relateret til installation med SQL-server.


                                                                                                                                                     

                                                                                                                                                    Understøttelse af Microsoft SQL Server er kun beregnet til nye installationer af Hybriddatasikkerhed. Vi understøtter i øjeblikket ikke migrering af data fra PostgreSQL til Microsoft SQL Server i en eksisterende installation.

                                                                                                                                                  Den 5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Ændret terminologi for at afspejle genbranding af Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.

                                                                                                                                                  • Cisco Spark-appen er nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton-clouden er nu Webex-clouden.

                                                                                                                                                  Den 11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  Den 2. november 2017

                                                                                                                                                  • Klargjort adressebogssynkronisering af HdsTrialGroup.

                                                                                                                                                  • Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Udgivet første gang

                                                                                                                                                  Kom i gang med hybriddatasikkerhed

                                                                                                                                                  Oversigt over hybriddatasikkerhed

                                                                                                                                                  Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

                                                                                                                                                  Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.

                                                                                                                                                  Sikkerhedsarkitektur

                                                                                                                                                  Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

                                                                                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)

                                                                                                                                                  For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

                                                                                                                                                  I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:

                                                                                                                                                  1. Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

                                                                                                                                                  2. Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.

                                                                                                                                                  3. Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.

                                                                                                                                                  4. Den krypterede meddelelse gemmes i hukommelsesdomænet.

                                                                                                                                                  Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.

                                                                                                                                                  Samarbejde med andre organisationer

                                                                                                                                                  Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

                                                                                                                                                  KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Forventninger til installation af hybrid-datasikkerhed

                                                                                                                                                  En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

                                                                                                                                                  For at installere hybrid-datasikkerhed skal du angive:

                                                                                                                                                  Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

                                                                                                                                                  • Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.

                                                                                                                                                  • Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.


                                                                                                                                                   

                                                                                                                                                  Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

                                                                                                                                                  Opsætningsproces på højt niveau

                                                                                                                                                  Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

                                                                                                                                                  • Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

                                                                                                                                                    Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.

                                                                                                                                                  • Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.

                                                                                                                                                  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.

                                                                                                                                                  Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)

                                                                                                                                                  Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.

                                                                                                                                                  Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

                                                                                                                                                  Vi understøtter kun en enkelt klynge pr. organisation.

                                                                                                                                                  Prøvetilstand for hybrid-datasikkerhed

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.

                                                                                                                                                  Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.

                                                                                                                                                  Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.

                                                                                                                                                  Standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuel failover til standbydatacenter

                                                                                                                                                  De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.


                                                                                                                                                   

                                                                                                                                                  De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

                                                                                                                                                  Opsætning af standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)

                                                                                                                                                  • Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

                                                                                                                                                  Næste trin

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.

                                                                                                                                                  Proxysupport

                                                                                                                                                  Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.

                                                                                                                                                  Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

                                                                                                                                                  • Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

                                                                                                                                                  • Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

                                                                                                                                                      • HTTP – Viser og styrer alle anmodninger, som klienten sender.

                                                                                                                                                      • HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                  Eksempel på hybrid-datasikkerhedsknuder og proxy

                                                                                                                                                  Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.

                                                                                                                                                  Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  Krav til hybrid-datasikkerhed

                                                                                                                                                  Krav til Docker-desktop

                                                                                                                                                  Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkæden skal opfylde følgende krav:

                                                                                                                                                  Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Underskrevet af en betroet certifikatmyndighed (CA)

                                                                                                                                                  Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation

                                                                                                                                                  • Er ikke et jokerkortcertifikat

                                                                                                                                                  CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

                                                                                                                                                  KN må ikke indeholde et * (jokertegn).

                                                                                                                                                  CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.

                                                                                                                                                  • Ikke-SHA1-signatur

                                                                                                                                                  KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

                                                                                                                                                  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

                                                                                                                                                  • Brug det venlige navn på kms-private-key for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.

                                                                                                                                                  Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format.

                                                                                                                                                  Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

                                                                                                                                                  KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.

                                                                                                                                                  Krav til virtuelle vært

                                                                                                                                                  De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

                                                                                                                                                  • Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter

                                                                                                                                                  • VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.


                                                                                                                                                     

                                                                                                                                                    Du skal opgradere, hvis du har en tidligere version af ESXI.

                                                                                                                                                  • Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

                                                                                                                                                  Databaseserverkrav


                                                                                                                                                   

                                                                                                                                                  Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

                                                                                                                                                  Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

                                                                                                                                                  Tabel 2. Databaseserverkrav efter databasetype

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installeret og kører.

                                                                                                                                                  • SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.


                                                                                                                                                     

                                                                                                                                                    SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL-server-JDBC-driver 4.6

                                                                                                                                                  Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

                                                                                                                                                  Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

                                                                                                                                                  Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

                                                                                                                                                  • HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.

                                                                                                                                                  • Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.

                                                                                                                                                  • De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

                                                                                                                                                    HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

                                                                                                                                                  Krav til ekstern forbindelse

                                                                                                                                                  Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

                                                                                                                                                  Applikation

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Retning fra appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasikkerhedsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester

                                                                                                                                                  HDS-opsætningsværktøj

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål.

                                                                                                                                                  URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

                                                                                                                                                  Område

                                                                                                                                                  URL-adresser for fælles identitet-vært

                                                                                                                                                  Nord-, Mellem- og Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  EU

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserverkrav

                                                                                                                                                  • Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

                                                                                                                                                    • Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicit proxy – squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

                                                                                                                                                  • Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:

                                                                                                                                                    • Ingen godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Grundlæggende godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Digest-godkendelse kun med HTTPS

                                                                                                                                                  • Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.

                                                                                                                                                  • Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

                                                                                                                                                  • Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

                                                                                                                                                  Udfyld forudsætningerne for hybriddatasikkerhed

                                                                                                                                                  Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
                                                                                                                                                  1

                                                                                                                                                  Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces.

                                                                                                                                                  2

                                                                                                                                                  Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com) og få en certifikatkæde, der indeholder et X.509 certifikat, privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 certifikatkrav.

                                                                                                                                                  3

                                                                                                                                                  Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter.

                                                                                                                                                  4

                                                                                                                                                  Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

                                                                                                                                                  1. Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)

                                                                                                                                                  2. Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:

                                                                                                                                                    • værtsnavnet eller IP-adressen (vært) og porten

                                                                                                                                                    • databasens navn (dbname) for nøglelagring

                                                                                                                                                    • brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

                                                                                                                                                  5

                                                                                                                                                  For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er.

                                                                                                                                                  6

                                                                                                                                                  Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.


                                                                                                                                                   

                                                                                                                                                  Fordi hybrid-datasikkerhedsknuderne gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operationel installation medføre, at det UOPRETTELIGT TAB af dette indhold.

                                                                                                                                                  Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl.

                                                                                                                                                  8

                                                                                                                                                  Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

                                                                                                                                                  Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger.

                                                                                                                                                  For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

                                                                                                                                                  11

                                                                                                                                                  Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder HdsTrialGroup, og tilføj pilotbrugere. Prøvegruppen kan have op til 250 brugere. Fil HdsTrialGroup objektet skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. For at synkronisere et gruppeobjekt skal du vælge det i Directory Connector's Konfiguration > menuen Objektvalg. (Se udrulningsvejledningen til Cisco Directory Connector for detaljerede vejledninger.)


                                                                                                                                                   

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Når du vælger pilotbrugere, skal du være opmærksom på, at hvis du beslutter dig for permanent at deaktivere installationen af hybrid-datasikkerhed, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugere. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagte kopier af indholdet.

                                                                                                                                                  Opsæt en hybrid-datasikkerhedsklynge

                                                                                                                                                  Opgaveflow for installation af hybrid-datasikkerhed

                                                                                                                                                  Før du begynder

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  1

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  Download OVA-filen til din lokale maskine til senere brug.

                                                                                                                                                  2

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  5

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

                                                                                                                                                  7

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

                                                                                                                                                  8

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Fuldfør klyngeopsætningen.

                                                                                                                                                  9

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)

                                                                                                                                                  Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og klik derefter på Tjenester.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

                                                                                                                                                  Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.


                                                                                                                                                   

                                                                                                                                                  Du kan også downloade OVA når som helst fra afsnittet Hjælp på siden Indstillinger . På hybriddatasikkerhedskortet skal du klikke på Rediger indstillinger for at åbne siden. Klik derefter på Download hybrid-datasikkerhedssoftware i afsnittet Hjælp .


                                                                                                                                                   

                                                                                                                                                  Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan resultere i problemer under opgradering af applikationen. Sørg for, at du downloader den seneste version af OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

                                                                                                                                                  OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:

                                                                                                                                                    • Legitimationsoplysninger til database

                                                                                                                                                    • Certifikatopdateringer

                                                                                                                                                    • Ændringer i godkendelsespolitikken

                                                                                                                                                  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

                                                                                                                                                  1

                                                                                                                                                  På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download det seneste stabile billede til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                  • I almindelige miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

                                                                                                                                                  Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

                                                                                                                                                  7

                                                                                                                                                  Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed.

                                                                                                                                                  8

                                                                                                                                                  Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

                                                                                                                                                  9

                                                                                                                                                  På siden ISO-import har du disse valgmuligheder:

                                                                                                                                                  • Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
                                                                                                                                                  • Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

                                                                                                                                                  • Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
                                                                                                                                                  11

                                                                                                                                                  Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

                                                                                                                                                  1. Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.

                                                                                                                                                  2. (kun Microsoft SQL-server) Vælg din godkendelsestype:

                                                                                                                                                    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .

                                                                                                                                                    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .

                                                                                                                                                  3. Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

                                                                                                                                                    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Indtast databasenavnet.

                                                                                                                                                  5. Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Vælg en TLS-databaseforbindelsestilstand:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrækker TLS (standardindstilling)

                                                                                                                                                  HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

                                                                                                                                                  Kræver TLS

                                                                                                                                                  HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  Kræver TLS og verificer certifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne tilstand gælder ikke for SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer din Syslogd-server på siden Systemlogfiler:

                                                                                                                                                  1. Indtast URL-adressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

                                                                                                                                                    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.

                                                                                                                                                  3. Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP

                                                                                                                                                    • Nul byte -- \x00

                                                                                                                                                    • Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klik på Fortsæt.

                                                                                                                                                  14

                                                                                                                                                  (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

                                                                                                                                                  Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

                                                                                                                                                  17

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

                                                                                                                                                  Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  18

                                                                                                                                                  For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  Næste trin

                                                                                                                                                  Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

                                                                                                                                                  2

                                                                                                                                                  Vælg Fil > Installer OVF-skabelon.

                                                                                                                                                  3

                                                                                                                                                  I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

                                                                                                                                                  4

                                                                                                                                                  Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste.

                                                                                                                                                  5

                                                                                                                                                  Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

                                                                                                                                                  Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

                                                                                                                                                  6

                                                                                                                                                  Bekræft skabelonoplysningerne, og klik derefter på Næste.

                                                                                                                                                  7

                                                                                                                                                  Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

                                                                                                                                                  8

                                                                                                                                                  Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

                                                                                                                                                  9

                                                                                                                                                  Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

                                                                                                                                                  10

                                                                                                                                                  På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

                                                                                                                                                  • Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

                                                                                                                                                     
                                                                                                                                                    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                    • For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.

                                                                                                                                                    • Den samlede længde af FQDN må ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

                                                                                                                                                     

                                                                                                                                                    Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  • Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
                                                                                                                                                  • Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
                                                                                                                                                  • DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
                                                                                                                                                  • NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.
                                                                                                                                                  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

                                                                                                                                                  Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  11

                                                                                                                                                  Højreklik på noden VM, og vælg derefter Strøm > tænd.

                                                                                                                                                  Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

                                                                                                                                                  Tips til fejlfinding

                                                                                                                                                  Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  1

                                                                                                                                                  I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol .

                                                                                                                                                  VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
                                                                                                                                                  2

                                                                                                                                                  Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne:

                                                                                                                                                  1. Log ind: admin

                                                                                                                                                  2. Adgangskode: cisco

                                                                                                                                                  Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik.

                                                                                                                                                  Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.

                                                                                                                                                  1

                                                                                                                                                  Overfør ISO-filen fra din computer:

                                                                                                                                                  1. Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.

                                                                                                                                                  2. Klik på Gem på listen Hardware under fanen Konfiguration på listen.

                                                                                                                                                  3. Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.

                                                                                                                                                  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

                                                                                                                                                  5. Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

                                                                                                                                                  6. Klik Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.

                                                                                                                                                  4. Kontrollér Tilsluttet og Tilslut ved tænd.

                                                                                                                                                  5. Gem dine ændringer, og genstart den virtuelle maskine.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.

                                                                                                                                                  Før du begynder

                                                                                                                                                  1

                                                                                                                                                  Indtast URL-adressen til opsætning af HDS-node https://[HDS Node IP or FQDN]/setup i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:

                                                                                                                                                  • Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
                                                                                                                                                  • Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:
                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                  Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen.

                                                                                                                                                  Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen.

                                                                                                                                                  Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

                                                                                                                                                  5

                                                                                                                                                  Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar.

                                                                                                                                                  Noden genstarter inden for et par minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status.

                                                                                                                                                  Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

                                                                                                                                                  Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Log på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menuen i venstre side af skærmen skal du vælge Tjenester.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt.

                                                                                                                                                  Siden Registrer hybrid-datasikkerhedsknude vises.
                                                                                                                                                  4

                                                                                                                                                  Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.

                                                                                                                                                  5

                                                                                                                                                  I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til.

                                                                                                                                                  Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                  Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik på Gå til node.

                                                                                                                                                  8

                                                                                                                                                  Klik Fortsæt i advarselsmeddelelsen.

                                                                                                                                                  Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
                                                                                                                                                  9

                                                                                                                                                  Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                  Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Hvis du vil tilføje yderligere noder til din klynge, skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

                                                                                                                                                   

                                                                                                                                                  På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  3

                                                                                                                                                  På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer.

                                                                                                                                                    Siden Hybrid-datasikkerhedsressourcer vises.
                                                                                                                                                  3. Klik på Tilføj ressource.

                                                                                                                                                  4. I det første felt skal du vælge navnet på din eksisterende klynge.

                                                                                                                                                  5. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                    Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen.
                                                                                                                                                  6. Klik på Gå til node.

                                                                                                                                                    Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node.
                                                                                                                                                  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  8. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Næste trin

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)
                                                                                                                                                  Kør en prøveversion, og flyt til produktion

                                                                                                                                                  Prøveversion til produktionsopgaveflow

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkroniser om nødvendigt HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  2

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.

                                                                                                                                                  3

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  4

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  Kontrollér status, og konfigurer e-mailunderretninger for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  6

                                                                                                                                                  Fuldfør prøvefasen med en af følgende handlinger:

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Før du begynder

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Tjenestestatus skal du klikke på Start prøveversion.

                                                                                                                                                  Tjenestestatus ændres til prøvetilstand.
                                                                                                                                                  4

                                                                                                                                                  Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester.

                                                                                                                                                  (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Konfigurer din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  • Aktivér prøveversionen, og tilføj flere prøvebrugere.

                                                                                                                                                  • Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer installationen af hybrid-datasikkerhed, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når klientcachelagte kopier af krypteringsnøglerne er udskiftet.

                                                                                                                                                  2

                                                                                                                                                  Send meddelelser til det nye rum.

                                                                                                                                                  3

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1. Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil kontrollere for en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  En statusindikator i Control Hub viser dig, om alt er godt med installationen af hybrid-datasikkerhed. For mere proaktiv varsling skal du tilmelde dig e-mailunderretninger. Du vil blive underrettet, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger.

                                                                                                                                                  Siden Indstillinger for hybrid-datasikkerhed vises.
                                                                                                                                                  3

                                                                                                                                                  Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.

                                                                                                                                                  4

                                                                                                                                                  Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

                                                                                                                                                  Flyt fra prøveversion til produktion

                                                                                                                                                  Når du er overbevist om, at din installation fungerer godt for brugerne af prøveversionen, kan du gå til produktionen. Når du flytter til produktion, vil alle brugere i organisationen bruge dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Du kan ikke gå tilbage til prøvetilstand fra produktion, medmindre du deaktiverer tjenesten som en del af genoprettelse af katastrofer. Hvis du genaktiverer tjenesten, skal du opsætte en ny prøveperiode.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil flytte alle dine brugere til produktion.

                                                                                                                                                  Afslut din prøveperiode uden at flytte til produktion

                                                                                                                                                  Hvis du under din prøveperiode beslutter ikke at fortsætte med din hybrid-datasikkerhedsinstallation, kan du deaktivere hybrid-datasikkerhed, som afslutter prøveperioden og flytter prøvebrugerne tilbage til cloud-datasikkerhedstjenesterne. Brugerne af prøveversionen mister adgang til de data, der blev krypteret under prøveperioden.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Deaktiver i sektionen Deaktiver.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

                                                                                                                                                  Administrer din HDS-installation

                                                                                                                                                  Administrer HDS-installation

                                                                                                                                                  Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Indstil tidsplan for klyngeopgradering

                                                                                                                                                  Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan angive en specifik opgraderingsplan eller bruge standardtidsplanen på 3:00 AM Daily USA: Amerika/Los Angeles Du kan også vælge at udsætte en kommende opgradering, hvis det er nødvendigt.

                                                                                                                                                  Sådan indstilles opgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.

                                                                                                                                                  4

                                                                                                                                                  Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.

                                                                                                                                                  5

                                                                                                                                                  På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen.

                                                                                                                                                  Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

                                                                                                                                                  Rediger nodekonfigurationen

                                                                                                                                                  Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:
                                                                                                                                                  • Ændring af x.509-certifikater på grund af udløb eller andre årsager.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

                                                                                                                                                  • Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

                                                                                                                                                  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

                                                                                                                                                  Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:

                                                                                                                                                  • Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.

                                                                                                                                                  • Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

                                                                                                                                                  Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

                                                                                                                                                  Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

                                                                                                                                                  1

                                                                                                                                                  Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

                                                                                                                                                  1. På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2. For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download det seneste stabile billede til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 indeholder ikke skærmbilleder til nulstilling af adgangskode.

                                                                                                                                                  5. Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                    • I almindelige miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6. Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  7. Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.

                                                                                                                                                  8. Importér den aktuelle ISO-konfigurationsfil.

                                                                                                                                                  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

                                                                                                                                                    For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner.

                                                                                                                                                  1. Installer HDS-hosten OVA.

                                                                                                                                                  2. Opsæt HDS-VM'en.

                                                                                                                                                  3. Tilslut den opdaterede konfigurationsfil.

                                                                                                                                                  4. Registrer den nye node i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude:

                                                                                                                                                  1. Slå den virtuelle maskine fra.

                                                                                                                                                  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

                                                                                                                                                  4. Markér Forbind med tilsluttet strøm.

                                                                                                                                                  5. Gem dine ændringer, og tænd for den virtuelle maskine.

                                                                                                                                                  4

                                                                                                                                                  Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

                                                                                                                                                  Deaktiver blokeret ekstern DNS-opløsningstilstand

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.

                                                                                                                                                  Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversigt (standardsiden).

                                                                                                                                                  Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

                                                                                                                                                  Næste trin

                                                                                                                                                  Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

                                                                                                                                                  Fjern en node

                                                                                                                                                  Brug denne procedure til at fjerne en hybrid-datasikkerhedsknude fra Webex-skyen. Når du har fjernet noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2. På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.

                                                                                                                                                  3. Vælg din klynge for at vise dens oversigtspanel.

                                                                                                                                                  4. Klik på listen Åbn knudepunkter.

                                                                                                                                                  5. På fanen Knuder skal du vælge den knude, du vil fjerne.

                                                                                                                                                  6. Klik Handlinger > Fjern registreringsnode.

                                                                                                                                                  3

                                                                                                                                                  I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

                                                                                                                                                  Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

                                                                                                                                                  Genoprettelse af katastrofer ved hjælp af standby-datacenter

                                                                                                                                                  Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

                                                                                                                                                  Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

                                                                                                                                                  Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis det primære datacenter bliver aktivt igen, skal du placere standbydatacenteret i passiv tilstand igen ved at følge de trin, der er beskrevet i Opsætning af standbydatacenter til genoprettelse af katastrofer.

                                                                                                                                                  (Valgfri) Fjern ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.

                                                                                                                                                  Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

                                                                                                                                                  1

                                                                                                                                                  Luk en af dine HDS-knudepunkter ned.

                                                                                                                                                  2

                                                                                                                                                  Vælg HDS-noden i vCenter-serverapparatet.

                                                                                                                                                  3

                                                                                                                                                  Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gentag for hver HDS-node efter tur.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Vis varsler og fejlfinding

                                                                                                                                                  En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

                                                                                                                                                  • Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)

                                                                                                                                                  • Meddelelser og rumtitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brugere føjet til et rum (kan ikke hente nøgler)

                                                                                                                                                    • Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)

                                                                                                                                                  • Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

                                                                                                                                                  Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.

                                                                                                                                                  Tabel 1. Almindelige problemer og trinnene til at løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Adgang til lokal database mislykkedes.

                                                                                                                                                  Kontrollér for databasefejl eller lokale netværksproblemer.

                                                                                                                                                  Lokal databaseforbindelse mislykkedes.

                                                                                                                                                  Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.

                                                                                                                                                  Adgang til cloud-tjeneste mislykkedes.

                                                                                                                                                  Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.

                                                                                                                                                  Fornyelse af registrering af cloud-tjeneste.

                                                                                                                                                  Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.

                                                                                                                                                  Tilmelding til cloudtjeneste blev droppet.

                                                                                                                                                  Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.

                                                                                                                                                  Tjeneste endnu ikke aktiveret.

                                                                                                                                                  Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.

                                                                                                                                                  Det konfigurerede domæne matcher ikke servercertifikatet.

                                                                                                                                                  Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

                                                                                                                                                  Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.

                                                                                                                                                  Kunne ikke godkendes til cloudtjenester.

                                                                                                                                                  Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.

                                                                                                                                                  Kunne ikke åbne lokal tastaturfil.

                                                                                                                                                  Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.

                                                                                                                                                  Lokalt servercertifikat er ugyldigt.

                                                                                                                                                  Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.

                                                                                                                                                  Kan ikke postere målinger.

                                                                                                                                                  Kontrollér lokal netværksadgang til eksterne cloud-tjenester.

                                                                                                                                                  /media/configdrive/hds-telefonbogen findes ikke.

                                                                                                                                                  Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.
                                                                                                                                                  1

                                                                                                                                                  Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.

                                                                                                                                                  2

                                                                                                                                                  Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-support.

                                                                                                                                                  Andre noter

                                                                                                                                                  Kendte problemer med hybrid-datasikkerhed

                                                                                                                                                  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

                                                                                                                                                  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

                                                                                                                                                    Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

                                                                                                                                                  Brug åbenSSL til at generere en PKCS12-fil

                                                                                                                                                  Før du begynder

                                                                                                                                                  • OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.

                                                                                                                                                  • Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.

                                                                                                                                                  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.

                                                                                                                                                  • Opret en privat nøgle.

                                                                                                                                                  • Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

                                                                                                                                                  1

                                                                                                                                                  Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis certifikatet som tekst, og bekræft detaljerne.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Opret .p12-filen med det venlige navn kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollér servercertifikatoplysningerne.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne friendlyName: kms-private-key.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Næste trin

                                                                                                                                                  Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

                                                                                                                                                  Trafik mellem HDS-knudepunkterne og skyen

                                                                                                                                                  Indsamlingstrafik for udgående målinger

                                                                                                                                                  Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).

                                                                                                                                                  Indgående trafik

                                                                                                                                                  Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

                                                                                                                                                  • Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten

                                                                                                                                                  • Opgraderinger til nodesoftwaren

                                                                                                                                                  Konfigurer Squid-proxyer til hybrid-datasikkerhed

                                                                                                                                                  Websocket kan ikke oprette forbindelse via squid-proxy

                                                                                                                                                  Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss: trafik med henblik på korrekt drift af tjenesterne.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Tilføj on_unsupported_protocol direktiv til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Forbillede

                                                                                                                                                  Nye og ændrede oplysninger

                                                                                                                                                  Dato

                                                                                                                                                  Ændringer foretaget

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  07. august 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  Den 06. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Opdaterede installationsfiler til download.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

                                                                                                                                                  Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

                                                                                                                                                  20. februar 2020Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.
                                                                                                                                                  4. februar 2020Opdaterede proxyserverkrav.
                                                                                                                                                  16. december 2019Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

                                                                                                                                                  Følgende afsnit blev opdateret i overensstemmelse hermed:


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Tilføjede SQL-serverstandard til databaseserverkrav.

                                                                                                                                                  29. august 2019Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

                                                                                                                                                  Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

                                                                                                                                                  13. juni 2019Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering.
                                                                                                                                                  6. marts 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.

                                                                                                                                                  • Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid-datasikkerhed understøtter nu Microsoft SQL-server som en database. SQL-server altid tændt (Altid på failover-klynger og Altid på tilgængelighedsgrupper) understøttes af de JDBC-drivere, der bruges i hybrid-datasikkerhed. Tilføjet indhold relateret til installation med SQL-server.


                                                                                                                                                     

                                                                                                                                                    Understøttelse af Microsoft SQL Server er kun beregnet til nye installationer af Hybriddatasikkerhed. Vi understøtter i øjeblikket ikke migrering af data fra PostgreSQL til Microsoft SQL Server i en eksisterende installation.

                                                                                                                                                  Den 5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Ændret terminologi for at afspejle genbranding af Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.

                                                                                                                                                  • Cisco Spark-appen er nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton-clouden er nu Webex-clouden.

                                                                                                                                                  Den 11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  Den 2. november 2017

                                                                                                                                                  • Klargjort adressebogssynkronisering af HdsTrialGroup.

                                                                                                                                                  • Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Udgivet første gang

                                                                                                                                                  Kom i gang med hybriddatasikkerhed

                                                                                                                                                  Oversigt over hybriddatasikkerhed

                                                                                                                                                  Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

                                                                                                                                                  Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.

                                                                                                                                                  Sikkerhedsarkitektur

                                                                                                                                                  Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

                                                                                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)

                                                                                                                                                  For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

                                                                                                                                                  I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:

                                                                                                                                                  1. Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

                                                                                                                                                  2. Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.

                                                                                                                                                  3. Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.

                                                                                                                                                  4. Den krypterede meddelelse gemmes i hukommelsesdomænet.

                                                                                                                                                  Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.

                                                                                                                                                  Samarbejde med andre organisationer

                                                                                                                                                  Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

                                                                                                                                                  KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Forventninger til installation af hybrid-datasikkerhed

                                                                                                                                                  En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

                                                                                                                                                  For at installere hybrid-datasikkerhed skal du angive:

                                                                                                                                                  Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

                                                                                                                                                  • Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.

                                                                                                                                                  • Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.


                                                                                                                                                   

                                                                                                                                                  Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

                                                                                                                                                  Opsætningsproces på højt niveau

                                                                                                                                                  Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

                                                                                                                                                  • Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

                                                                                                                                                    Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.

                                                                                                                                                  • Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.

                                                                                                                                                  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.

                                                                                                                                                  Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)

                                                                                                                                                  Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.

                                                                                                                                                  Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

                                                                                                                                                  Vi understøtter kun en enkelt klynge pr. organisation.

                                                                                                                                                  Prøvetilstand for hybrid-datasikkerhed

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.

                                                                                                                                                  Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.

                                                                                                                                                  Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.

                                                                                                                                                  Standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuel failover til standbydatacenter

                                                                                                                                                  De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.


                                                                                                                                                   

                                                                                                                                                  De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

                                                                                                                                                  Opsætning af standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)

                                                                                                                                                  • Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

                                                                                                                                                  Næste trin

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.

                                                                                                                                                  Proxysupport

                                                                                                                                                  Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.

                                                                                                                                                  Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

                                                                                                                                                  • Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

                                                                                                                                                  • Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

                                                                                                                                                      • HTTP – Viser og styrer alle anmodninger, som klienten sender.

                                                                                                                                                      • HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                  Eksempel på hybrid-datasikkerhedsknuder og proxy

                                                                                                                                                  Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.

                                                                                                                                                  Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  Krav til hybrid-datasikkerhed

                                                                                                                                                  Krav til Docker-desktop

                                                                                                                                                  Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkæden skal opfylde følgende krav:

                                                                                                                                                  Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Underskrevet af en betroet certifikatmyndighed (CA)

                                                                                                                                                  Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation

                                                                                                                                                  • Er ikke et jokerkortcertifikat

                                                                                                                                                  CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

                                                                                                                                                  KN må ikke indeholde et * (jokertegn).

                                                                                                                                                  CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.

                                                                                                                                                  • Ikke-SHA1-signatur

                                                                                                                                                  KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

                                                                                                                                                  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

                                                                                                                                                  • Brug det venlige navn på kms-private-key for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.

                                                                                                                                                  Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format.

                                                                                                                                                  Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

                                                                                                                                                  KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.

                                                                                                                                                  Krav til virtuelle vært

                                                                                                                                                  De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

                                                                                                                                                  • Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter

                                                                                                                                                  • VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.


                                                                                                                                                     

                                                                                                                                                    Du skal opgradere, hvis du har en tidligere version af ESXI.

                                                                                                                                                  • Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

                                                                                                                                                  Databaseserverkrav


                                                                                                                                                   

                                                                                                                                                  Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

                                                                                                                                                  Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

                                                                                                                                                  Tabel 2. Databaseserverkrav efter databasetype

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installeret og kører.

                                                                                                                                                  • SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.


                                                                                                                                                     

                                                                                                                                                    SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL-server-JDBC-driver 4.6

                                                                                                                                                  Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

                                                                                                                                                  Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

                                                                                                                                                  Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

                                                                                                                                                  • HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.

                                                                                                                                                  • Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.

                                                                                                                                                  • De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

                                                                                                                                                    HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

                                                                                                                                                  Krav til ekstern forbindelse

                                                                                                                                                  Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

                                                                                                                                                  Applikation

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Retning fra appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasikkerhedsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester

                                                                                                                                                  HDS-opsætningsværktøj

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål.

                                                                                                                                                  URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

                                                                                                                                                  Område

                                                                                                                                                  URL-adresser for fælles identitet-vært

                                                                                                                                                  Nord-, Mellem- og Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  EU

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserverkrav

                                                                                                                                                  • Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

                                                                                                                                                    • Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicit proxy – squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

                                                                                                                                                  • Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:

                                                                                                                                                    • Ingen godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Grundlæggende godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Digest-godkendelse kun med HTTPS

                                                                                                                                                  • Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.

                                                                                                                                                  • Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

                                                                                                                                                  • Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

                                                                                                                                                  Udfyld forudsætningerne for hybriddatasikkerhed

                                                                                                                                                  Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
                                                                                                                                                  1

                                                                                                                                                  Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces.

                                                                                                                                                  2

                                                                                                                                                  Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com) og få en certifikatkæde, der indeholder et X.509 certifikat, privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 certifikatkrav.

                                                                                                                                                  3

                                                                                                                                                  Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter.

                                                                                                                                                  4

                                                                                                                                                  Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

                                                                                                                                                  1. Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)

                                                                                                                                                  2. Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:

                                                                                                                                                    • værtsnavnet eller IP-adressen (vært) og porten

                                                                                                                                                    • databasens navn (dbname) for nøglelagring

                                                                                                                                                    • brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

                                                                                                                                                  5

                                                                                                                                                  For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er.

                                                                                                                                                  6

                                                                                                                                                  Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.


                                                                                                                                                   

                                                                                                                                                  Fordi hybrid-datasikkerhedsknuderne gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operationel installation medføre, at det UOPRETTELIGT TAB af dette indhold.

                                                                                                                                                  Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl.

                                                                                                                                                  8

                                                                                                                                                  Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

                                                                                                                                                  Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger.

                                                                                                                                                  For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

                                                                                                                                                  11

                                                                                                                                                  Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder HdsTrialGroup, og tilføj pilotbrugere. Prøvegruppen kan have op til 250 brugere. Fil HdsTrialGroup objektet skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. For at synkronisere et gruppeobjekt skal du vælge det i Directory Connector's Konfiguration > menuen Objektvalg. (Se udrulningsvejledningen til Cisco Directory Connector for detaljerede vejledninger.)


                                                                                                                                                   

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Når du vælger pilotbrugere, skal du være opmærksom på, at hvis du beslutter dig for permanent at deaktivere installationen af hybrid-datasikkerhed, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugere. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagte kopier af indholdet.

                                                                                                                                                  Opsæt en hybrid-datasikkerhedsklynge

                                                                                                                                                  Opgaveflow for installation af hybrid-datasikkerhed

                                                                                                                                                  Før du begynder

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  1

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  Download OVA-filen til din lokale maskine til senere brug.

                                                                                                                                                  2

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  5

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

                                                                                                                                                  7

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

                                                                                                                                                  8

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Fuldfør klyngeopsætningen.

                                                                                                                                                  9

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)

                                                                                                                                                  Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og klik derefter på Tjenester.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

                                                                                                                                                  Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.


                                                                                                                                                   

                                                                                                                                                  Du kan også downloade OVA når som helst fra afsnittet Hjælp på siden Indstillinger . På hybriddatasikkerhedskortet skal du klikke på Rediger indstillinger for at åbne siden. Klik derefter på Download hybrid-datasikkerhedssoftware i afsnittet Hjælp .


                                                                                                                                                   

                                                                                                                                                  Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan resultere i problemer under opgradering af applikationen. Sørg for, at du downloader den seneste version af OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

                                                                                                                                                  OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:

                                                                                                                                                    • Legitimationsoplysninger til database

                                                                                                                                                    • Certifikatopdateringer

                                                                                                                                                    • Ændringer i godkendelsespolitikken

                                                                                                                                                  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

                                                                                                                                                  1

                                                                                                                                                  På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download det seneste stabile billede til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                  • I almindelige miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

                                                                                                                                                  Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

                                                                                                                                                  7

                                                                                                                                                  Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed.

                                                                                                                                                  8

                                                                                                                                                  Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

                                                                                                                                                  9

                                                                                                                                                  På siden ISO-import har du disse valgmuligheder:

                                                                                                                                                  • Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
                                                                                                                                                  • Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

                                                                                                                                                  • Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
                                                                                                                                                  11

                                                                                                                                                  Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

                                                                                                                                                  1. Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.

                                                                                                                                                  2. (kun Microsoft SQL-server) Vælg din godkendelsestype:

                                                                                                                                                    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .

                                                                                                                                                    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .

                                                                                                                                                  3. Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

                                                                                                                                                    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Indtast databasenavnet.

                                                                                                                                                  5. Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Vælg en TLS-databaseforbindelsestilstand:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrækker TLS (standardindstilling)

                                                                                                                                                  HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

                                                                                                                                                  Kræver TLS

                                                                                                                                                  HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  Kræver TLS og verificer certifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne tilstand gælder ikke for SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer din Syslogd-server på siden Systemlogfiler:

                                                                                                                                                  1. Indtast URL-adressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

                                                                                                                                                    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.

                                                                                                                                                  3. Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP

                                                                                                                                                    • Nul byte -- \x00

                                                                                                                                                    • Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klik på Fortsæt.

                                                                                                                                                  14

                                                                                                                                                  (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

                                                                                                                                                  Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

                                                                                                                                                  17

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

                                                                                                                                                  Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  18

                                                                                                                                                  For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  Næste trin

                                                                                                                                                  Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

                                                                                                                                                  2

                                                                                                                                                  Vælg Fil > Installer OVF-skabelon.

                                                                                                                                                  3

                                                                                                                                                  I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

                                                                                                                                                  4

                                                                                                                                                  Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste.

                                                                                                                                                  5

                                                                                                                                                  Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

                                                                                                                                                  Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

                                                                                                                                                  6

                                                                                                                                                  Bekræft skabelonoplysningerne, og klik derefter på Næste.

                                                                                                                                                  7

                                                                                                                                                  Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

                                                                                                                                                  8

                                                                                                                                                  Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

                                                                                                                                                  9

                                                                                                                                                  Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

                                                                                                                                                  10

                                                                                                                                                  På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

                                                                                                                                                  • Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

                                                                                                                                                     
                                                                                                                                                    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                    • For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.

                                                                                                                                                    • Den samlede længde af FQDN må ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

                                                                                                                                                     

                                                                                                                                                    Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  • Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
                                                                                                                                                  • Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
                                                                                                                                                  • DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
                                                                                                                                                  • NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.
                                                                                                                                                  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

                                                                                                                                                  Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  11

                                                                                                                                                  Højreklik på noden VM, og vælg derefter Strøm > tænd.

                                                                                                                                                  Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

                                                                                                                                                  Tips til fejlfinding

                                                                                                                                                  Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  1

                                                                                                                                                  I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol .

                                                                                                                                                  VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
                                                                                                                                                  2

                                                                                                                                                  Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne:

                                                                                                                                                  1. Log ind: admin

                                                                                                                                                  2. Adgangskode: cisco

                                                                                                                                                  Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik.

                                                                                                                                                  Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.

                                                                                                                                                  1

                                                                                                                                                  Overfør ISO-filen fra din computer:

                                                                                                                                                  1. Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.

                                                                                                                                                  2. Klik på Gem på listen Hardware under fanen Konfiguration på listen.

                                                                                                                                                  3. Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.

                                                                                                                                                  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

                                                                                                                                                  5. Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

                                                                                                                                                  6. Klik Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.

                                                                                                                                                  4. Kontrollér Tilsluttet og Tilslut ved tænd.

                                                                                                                                                  5. Gem dine ændringer, og genstart den virtuelle maskine.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.

                                                                                                                                                  Før du begynder

                                                                                                                                                  1

                                                                                                                                                  Indtast URL-adressen til opsætning af HDS-node https://[HDS Node IP or FQDN]/setup i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:

                                                                                                                                                  • Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
                                                                                                                                                  • Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:
                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                  Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen.

                                                                                                                                                  Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen.

                                                                                                                                                  Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

                                                                                                                                                  5

                                                                                                                                                  Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar.

                                                                                                                                                  Noden genstarter inden for et par minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status.

                                                                                                                                                  Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

                                                                                                                                                  Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Log på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menuen i venstre side af skærmen skal du vælge Tjenester.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt.

                                                                                                                                                  Siden Registrer hybrid-datasikkerhedsknude vises.
                                                                                                                                                  4

                                                                                                                                                  Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.

                                                                                                                                                  5

                                                                                                                                                  I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til.

                                                                                                                                                  Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                  Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik på Gå til node.

                                                                                                                                                  8

                                                                                                                                                  Klik Fortsæt i advarselsmeddelelsen.

                                                                                                                                                  Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
                                                                                                                                                  9

                                                                                                                                                  Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                  Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Hvis du vil tilføje yderligere noder til din klynge, skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

                                                                                                                                                   

                                                                                                                                                  På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  3

                                                                                                                                                  På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer.

                                                                                                                                                    Siden Hybrid-datasikkerhedsressourcer vises.
                                                                                                                                                  3. Klik på Tilføj ressource.

                                                                                                                                                  4. I det første felt skal du vælge navnet på din eksisterende klynge.

                                                                                                                                                  5. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                    Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen.
                                                                                                                                                  6. Klik på Gå til node.

                                                                                                                                                    Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node.
                                                                                                                                                  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  8. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Næste trin

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)
                                                                                                                                                  Kør en prøveversion, og flyt til produktion

                                                                                                                                                  Prøveversion til produktionsopgaveflow

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkroniser om nødvendigt HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  2

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.

                                                                                                                                                  3

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  4

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  Kontrollér status, og konfigurer e-mailunderretninger for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  6

                                                                                                                                                  Fuldfør prøvefasen med en af følgende handlinger:

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Før du begynder

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Tjenestestatus skal du klikke på Start prøveversion.

                                                                                                                                                  Tjenestestatus ændres til prøvetilstand.
                                                                                                                                                  4

                                                                                                                                                  Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester.

                                                                                                                                                  (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Konfigurer din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  • Aktivér prøveversionen, og tilføj flere prøvebrugere.

                                                                                                                                                  • Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer installationen af hybrid-datasikkerhed, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når klientcachelagte kopier af krypteringsnøglerne er udskiftet.

                                                                                                                                                  2

                                                                                                                                                  Send meddelelser til det nye rum.

                                                                                                                                                  3

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1. Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil kontrollere for en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  En statusindikator i Control Hub viser dig, om alt er godt med installationen af hybrid-datasikkerhed. For mere proaktiv varsling skal du tilmelde dig e-mailunderretninger. Du vil blive underrettet, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger.

                                                                                                                                                  Siden Indstillinger for hybrid-datasikkerhed vises.
                                                                                                                                                  3

                                                                                                                                                  Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.

                                                                                                                                                  4

                                                                                                                                                  Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

                                                                                                                                                  Flyt fra prøveversion til produktion

                                                                                                                                                  Når du er overbevist om, at din installation fungerer godt for brugerne af prøveversionen, kan du gå til produktionen. Når du flytter til produktion, vil alle brugere i organisationen bruge dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Du kan ikke gå tilbage til prøvetilstand fra produktion, medmindre du deaktiverer tjenesten som en del af genoprettelse af katastrofer. Hvis du genaktiverer tjenesten, skal du opsætte en ny prøveperiode.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil flytte alle dine brugere til produktion.

                                                                                                                                                  Afslut din prøveperiode uden at flytte til produktion

                                                                                                                                                  Hvis du under din prøveperiode beslutter ikke at fortsætte med din hybrid-datasikkerhedsinstallation, kan du deaktivere hybrid-datasikkerhed, som afslutter prøveperioden og flytter prøvebrugerne tilbage til cloud-datasikkerhedstjenesterne. Brugerne af prøveversionen mister adgang til de data, der blev krypteret under prøveperioden.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Deaktiver i sektionen Deaktiver.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

                                                                                                                                                  Administrer din HDS-installation

                                                                                                                                                  Administrer HDS-installation

                                                                                                                                                  Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Indstil tidsplan for klyngeopgradering

                                                                                                                                                  Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan angive en specifik opgraderingsplan eller bruge standardtidsplanen på 3:00 AM Daily USA: Amerika/Los Angeles Du kan også vælge at udsætte en kommende opgradering, hvis det er nødvendigt.

                                                                                                                                                  Sådan indstilles opgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.

                                                                                                                                                  4

                                                                                                                                                  Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.

                                                                                                                                                  5

                                                                                                                                                  På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen.

                                                                                                                                                  Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

                                                                                                                                                  Rediger nodekonfigurationen

                                                                                                                                                  Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:
                                                                                                                                                  • Ændring af x.509-certifikater på grund af udløb eller andre årsager.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

                                                                                                                                                  • Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

                                                                                                                                                  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

                                                                                                                                                  Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:

                                                                                                                                                  • Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.

                                                                                                                                                  • Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

                                                                                                                                                  Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

                                                                                                                                                  Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

                                                                                                                                                  1

                                                                                                                                                  Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

                                                                                                                                                  1. På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2. For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download det seneste stabile billede til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 indeholder ikke skærmbilleder til nulstilling af adgangskode.

                                                                                                                                                  5. Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                    • I almindelige miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6. Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  7. Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.

                                                                                                                                                  8. Importér den aktuelle ISO-konfigurationsfil.

                                                                                                                                                  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

                                                                                                                                                    For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner.

                                                                                                                                                  1. Installer HDS-hosten OVA.

                                                                                                                                                  2. Opsæt HDS-VM'en.

                                                                                                                                                  3. Tilslut den opdaterede konfigurationsfil.

                                                                                                                                                  4. Registrer den nye node i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude:

                                                                                                                                                  1. Slå den virtuelle maskine fra.

                                                                                                                                                  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

                                                                                                                                                  4. Markér Forbind med tilsluttet strøm.

                                                                                                                                                  5. Gem dine ændringer, og tænd for den virtuelle maskine.

                                                                                                                                                  4

                                                                                                                                                  Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

                                                                                                                                                  Deaktiver blokeret ekstern DNS-opløsningstilstand

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.

                                                                                                                                                  Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversigt (standardsiden).

                                                                                                                                                  Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

                                                                                                                                                  Næste trin

                                                                                                                                                  Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

                                                                                                                                                  Fjern en node

                                                                                                                                                  Brug denne procedure til at fjerne en hybrid-datasikkerhedsknude fra Webex-skyen. Når du har fjernet noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2. På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.

                                                                                                                                                  3. Vælg din klynge for at vise dens oversigtspanel.

                                                                                                                                                  4. Klik på listen Åbn knudepunkter.

                                                                                                                                                  5. På fanen Knuder skal du vælge den knude, du vil fjerne.

                                                                                                                                                  6. Klik Handlinger > Fjern registreringsnode.

                                                                                                                                                  3

                                                                                                                                                  I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

                                                                                                                                                  Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

                                                                                                                                                  Genoprettelse af katastrofer ved hjælp af standby-datacenter

                                                                                                                                                  Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

                                                                                                                                                  Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

                                                                                                                                                  Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis det primære datacenter bliver aktivt igen, skal du placere standbydatacenteret i passiv tilstand igen ved at følge de trin, der er beskrevet i Opsætning af standbydatacenter til genoprettelse af katastrofer.

                                                                                                                                                  (Valgfri) Fjern ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.

                                                                                                                                                  Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

                                                                                                                                                  1

                                                                                                                                                  Luk en af dine HDS-knudepunkter ned.

                                                                                                                                                  2

                                                                                                                                                  Vælg HDS-noden i vCenter-serverapparatet.

                                                                                                                                                  3

                                                                                                                                                  Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gentag for hver HDS-node efter tur.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Vis varsler og fejlfinding

                                                                                                                                                  En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

                                                                                                                                                  • Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)

                                                                                                                                                  • Meddelelser og rumtitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brugere føjet til et rum (kan ikke hente nøgler)

                                                                                                                                                    • Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)

                                                                                                                                                  • Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

                                                                                                                                                  Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.

                                                                                                                                                  Tabel 1. Almindelige problemer og trinnene til at løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Adgang til lokal database mislykkedes.

                                                                                                                                                  Kontrollér for databasefejl eller lokale netværksproblemer.

                                                                                                                                                  Lokal databaseforbindelse mislykkedes.

                                                                                                                                                  Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.

                                                                                                                                                  Adgang til cloud-tjeneste mislykkedes.

                                                                                                                                                  Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.

                                                                                                                                                  Fornyelse af registrering af cloud-tjeneste.

                                                                                                                                                  Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.

                                                                                                                                                  Tilmelding til cloudtjeneste blev droppet.

                                                                                                                                                  Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.

                                                                                                                                                  Tjeneste endnu ikke aktiveret.

                                                                                                                                                  Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.

                                                                                                                                                  Det konfigurerede domæne matcher ikke servercertifikatet.

                                                                                                                                                  Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

                                                                                                                                                  Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.

                                                                                                                                                  Kunne ikke godkendes til cloudtjenester.

                                                                                                                                                  Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.

                                                                                                                                                  Kunne ikke åbne lokal tastaturfil.

                                                                                                                                                  Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.

                                                                                                                                                  Lokalt servercertifikat er ugyldigt.

                                                                                                                                                  Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.

                                                                                                                                                  Kan ikke postere målinger.

                                                                                                                                                  Kontrollér lokal netværksadgang til eksterne cloud-tjenester.

                                                                                                                                                  /media/configdrive/hds-telefonbogen findes ikke.

                                                                                                                                                  Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.
                                                                                                                                                  1

                                                                                                                                                  Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.

                                                                                                                                                  2

                                                                                                                                                  Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-support.

                                                                                                                                                  Andre noter

                                                                                                                                                  Kendte problemer med hybrid-datasikkerhed

                                                                                                                                                  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

                                                                                                                                                  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

                                                                                                                                                    Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

                                                                                                                                                  Brug åbenSSL til at generere en PKCS12-fil

                                                                                                                                                  Før du begynder

                                                                                                                                                  • OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.

                                                                                                                                                  • Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.

                                                                                                                                                  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.

                                                                                                                                                  • Opret en privat nøgle.

                                                                                                                                                  • Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

                                                                                                                                                  1

                                                                                                                                                  Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis certifikatet som tekst, og bekræft detaljerne.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Opret .p12-filen med det venlige navn kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollér servercertifikatoplysningerne.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne friendlyName: kms-private-key.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Næste trin

                                                                                                                                                  Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

                                                                                                                                                  Trafik mellem HDS-knudepunkterne og skyen

                                                                                                                                                  Indsamlingstrafik for udgående målinger

                                                                                                                                                  Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).

                                                                                                                                                  Indgående trafik

                                                                                                                                                  Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

                                                                                                                                                  • Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten

                                                                                                                                                  • Opgraderinger til nodesoftwaren

                                                                                                                                                  Konfigurer Squid-proxyer til hybrid-datasikkerhed

                                                                                                                                                  Websocket kan ikke oprette forbindelse via squid-proxy

                                                                                                                                                  Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss: trafik med henblik på korrekt drift af tjenesterne.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Tilføj on_unsupported_protocol direktiv til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Forbillede

                                                                                                                                                  Nye og ændrede oplysninger

                                                                                                                                                  Dato

                                                                                                                                                  Ændringer foretaget

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  07. august 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  Den 06. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Opdaterede installationsfiler til download.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

                                                                                                                                                  Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

                                                                                                                                                  20. februar 2020Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.
                                                                                                                                                  4. februar 2020Opdaterede proxyserverkrav.
                                                                                                                                                  16. december 2019Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

                                                                                                                                                  Følgende afsnit blev opdateret i overensstemmelse hermed:


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Tilføjede SQL-serverstandard til databaseserverkrav.

                                                                                                                                                  29. august 2019Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

                                                                                                                                                  Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

                                                                                                                                                  13. juni 2019Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering.
                                                                                                                                                  6. marts 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.

                                                                                                                                                  • Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid-datasikkerhed understøtter nu Microsoft SQL-server som en database. SQL-server altid tændt (Altid på failover-klynger og Altid på tilgængelighedsgrupper) understøttes af de JDBC-drivere, der bruges i hybrid-datasikkerhed. Tilføjet indhold relateret til installation med SQL-server.


                                                                                                                                                     

                                                                                                                                                    Understøttelse af Microsoft SQL Server er kun beregnet til nye installationer af Hybriddatasikkerhed. Vi understøtter i øjeblikket ikke migrering af data fra PostgreSQL til Microsoft SQL Server i en eksisterende installation.

                                                                                                                                                  Den 5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Ændret terminologi for at afspejle genbranding af Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.

                                                                                                                                                  • Cisco Spark-appen er nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton-clouden er nu Webex-clouden.

                                                                                                                                                  Den 11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  Den 2. november 2017

                                                                                                                                                  • Klargjort adressebogssynkronisering af HdsTrialGroup.

                                                                                                                                                  • Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Udgivet første gang

                                                                                                                                                  Kom i gang med hybriddatasikkerhed

                                                                                                                                                  Oversigt over hybriddatasikkerhed

                                                                                                                                                  Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

                                                                                                                                                  Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.

                                                                                                                                                  Sikkerhedsarkitektur

                                                                                                                                                  Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

                                                                                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)

                                                                                                                                                  For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

                                                                                                                                                  I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:

                                                                                                                                                  1. Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

                                                                                                                                                  2. Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.

                                                                                                                                                  3. Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.

                                                                                                                                                  4. Den krypterede meddelelse gemmes i hukommelsesdomænet.

                                                                                                                                                  Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.

                                                                                                                                                  Samarbejde med andre organisationer

                                                                                                                                                  Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

                                                                                                                                                  KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Forventninger til installation af hybrid-datasikkerhed

                                                                                                                                                  En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

                                                                                                                                                  For at installere hybrid-datasikkerhed skal du angive:

                                                                                                                                                  Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

                                                                                                                                                  • Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.

                                                                                                                                                  • Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.


                                                                                                                                                   

                                                                                                                                                  Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

                                                                                                                                                  Opsætningsproces på højt niveau

                                                                                                                                                  Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

                                                                                                                                                  • Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

                                                                                                                                                    Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.

                                                                                                                                                  • Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.

                                                                                                                                                  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.

                                                                                                                                                  Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)

                                                                                                                                                  Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.

                                                                                                                                                  Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

                                                                                                                                                  Vi understøtter kun en enkelt klynge pr. organisation.

                                                                                                                                                  Prøvetilstand for hybrid-datasikkerhed

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.

                                                                                                                                                  Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.

                                                                                                                                                  Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.

                                                                                                                                                  Standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuel failover til standbydatacenter

                                                                                                                                                  De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.


                                                                                                                                                   

                                                                                                                                                  De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

                                                                                                                                                  Opsætning af standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)

                                                                                                                                                  • Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

                                                                                                                                                  Næste trin

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.

                                                                                                                                                  Proxysupport

                                                                                                                                                  Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.

                                                                                                                                                  Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

                                                                                                                                                  • Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

                                                                                                                                                  • Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

                                                                                                                                                      • HTTP – Viser og styrer alle anmodninger, som klienten sender.

                                                                                                                                                      • HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                  Eksempel på hybrid-datasikkerhedsknuder og proxy

                                                                                                                                                  Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.

                                                                                                                                                  Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  Krav til hybrid-datasikkerhed

                                                                                                                                                  Krav til Docker-desktop

                                                                                                                                                  Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkæden skal opfylde følgende krav:

                                                                                                                                                  Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Underskrevet af en betroet certifikatmyndighed (CA)

                                                                                                                                                  Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation

                                                                                                                                                  • Er ikke et jokerkortcertifikat

                                                                                                                                                  CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

                                                                                                                                                  KN må ikke indeholde et * (jokertegn).

                                                                                                                                                  CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.

                                                                                                                                                  • Ikke-SHA1-signatur

                                                                                                                                                  KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

                                                                                                                                                  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

                                                                                                                                                  • Brug det venlige navn på kms-private-key for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.

                                                                                                                                                  Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format.

                                                                                                                                                  Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

                                                                                                                                                  KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.

                                                                                                                                                  Krav til virtuelle vært

                                                                                                                                                  De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

                                                                                                                                                  • Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter

                                                                                                                                                  • VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.


                                                                                                                                                     

                                                                                                                                                    Du skal opgradere, hvis du har en tidligere version af ESXI.

                                                                                                                                                  • Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

                                                                                                                                                  Databaseserverkrav


                                                                                                                                                   

                                                                                                                                                  Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

                                                                                                                                                  Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

                                                                                                                                                  Tabel 2. Databaseserverkrav efter databasetype

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installeret og kører.

                                                                                                                                                  • SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.


                                                                                                                                                     

                                                                                                                                                    SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL-server-JDBC-driver 4.6

                                                                                                                                                  Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

                                                                                                                                                  Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

                                                                                                                                                  Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

                                                                                                                                                  • HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.

                                                                                                                                                  • Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.

                                                                                                                                                  • De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

                                                                                                                                                    HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

                                                                                                                                                  Krav til ekstern forbindelse

                                                                                                                                                  Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

                                                                                                                                                  Applikation

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Retning fra appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasikkerhedsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester

                                                                                                                                                  HDS-opsætningsværktøj

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål.

                                                                                                                                                  URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

                                                                                                                                                  Område

                                                                                                                                                  URL-adresser for fælles identitet-vært

                                                                                                                                                  Nord-, Mellem- og Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  EU

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserverkrav

                                                                                                                                                  • Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

                                                                                                                                                    • Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicit proxy – squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

                                                                                                                                                  • Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:

                                                                                                                                                    • Ingen godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Grundlæggende godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Digest-godkendelse kun med HTTPS

                                                                                                                                                  • Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.

                                                                                                                                                  • Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

                                                                                                                                                  • Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

                                                                                                                                                  Udfyld forudsætningerne for hybriddatasikkerhed

                                                                                                                                                  Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
                                                                                                                                                  1

                                                                                                                                                  Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces.

                                                                                                                                                  2

                                                                                                                                                  Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com) og få en certifikatkæde, der indeholder et X.509 certifikat, privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 certifikatkrav.

                                                                                                                                                  3

                                                                                                                                                  Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter.

                                                                                                                                                  4

                                                                                                                                                  Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

                                                                                                                                                  1. Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)

                                                                                                                                                  2. Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:

                                                                                                                                                    • værtsnavnet eller IP-adressen (vært) og porten

                                                                                                                                                    • databasens navn (dbname) for nøglelagring

                                                                                                                                                    • brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

                                                                                                                                                  5

                                                                                                                                                  For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er.

                                                                                                                                                  6

                                                                                                                                                  Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.


                                                                                                                                                   

                                                                                                                                                  Fordi hybrid-datasikkerhedsknuderne gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operationel installation medføre, at det UOPRETTELIGT TAB af dette indhold.

                                                                                                                                                  Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl.

                                                                                                                                                  8

                                                                                                                                                  Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

                                                                                                                                                  Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger.

                                                                                                                                                  For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

                                                                                                                                                  11

                                                                                                                                                  Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder HdsTrialGroup, og tilføj pilotbrugere. Prøvegruppen kan have op til 250 brugere. Fil HdsTrialGroup objektet skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. For at synkronisere et gruppeobjekt skal du vælge det i Directory Connector's Konfiguration > menuen Objektvalg. (Se udrulningsvejledningen til Cisco Directory Connector for detaljerede vejledninger.)


                                                                                                                                                   

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Når du vælger pilotbrugere, skal du være opmærksom på, at hvis du beslutter dig for permanent at deaktivere installationen af hybrid-datasikkerhed, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugere. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagte kopier af indholdet.

                                                                                                                                                  Opsæt en hybrid-datasikkerhedsklynge

                                                                                                                                                  Opgaveflow for installation af hybrid-datasikkerhed

                                                                                                                                                  Før du begynder

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  1

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  Download OVA-filen til din lokale maskine til senere brug.

                                                                                                                                                  2

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  5

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

                                                                                                                                                  7

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

                                                                                                                                                  8

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Fuldfør klyngeopsætningen.

                                                                                                                                                  9

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)

                                                                                                                                                  Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og klik derefter på Tjenester.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

                                                                                                                                                  Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.


                                                                                                                                                   

                                                                                                                                                  Du kan også downloade OVA når som helst fra afsnittet Hjælp på siden Indstillinger . På hybriddatasikkerhedskortet skal du klikke på Rediger indstillinger for at åbne siden. Klik derefter på Download hybrid-datasikkerhedssoftware i afsnittet Hjælp .


                                                                                                                                                   

                                                                                                                                                  Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan resultere i problemer under opgradering af applikationen. Sørg for, at du downloader den seneste version af OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

                                                                                                                                                  OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:

                                                                                                                                                    • Legitimationsoplysninger til database

                                                                                                                                                    • Certifikatopdateringer

                                                                                                                                                    • Ændringer i godkendelsespolitikken

                                                                                                                                                  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

                                                                                                                                                  1

                                                                                                                                                  På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download det seneste stabile billede til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                  • I almindelige miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

                                                                                                                                                  Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

                                                                                                                                                  7

                                                                                                                                                  Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed.

                                                                                                                                                  8

                                                                                                                                                  Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

                                                                                                                                                  9

                                                                                                                                                  På siden ISO-import har du disse valgmuligheder:

                                                                                                                                                  • Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
                                                                                                                                                  • Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

                                                                                                                                                  • Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
                                                                                                                                                  11

                                                                                                                                                  Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

                                                                                                                                                  1. Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.

                                                                                                                                                  2. (kun Microsoft SQL-server) Vælg din godkendelsestype:

                                                                                                                                                    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .

                                                                                                                                                    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .

                                                                                                                                                  3. Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

                                                                                                                                                    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Indtast databasenavnet.

                                                                                                                                                  5. Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Vælg en TLS-databaseforbindelsestilstand:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrækker TLS (standardindstilling)

                                                                                                                                                  HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

                                                                                                                                                  Kræver TLS

                                                                                                                                                  HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  Kræver TLS og verificer certifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne tilstand gælder ikke for SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer din Syslogd-server på siden Systemlogfiler:

                                                                                                                                                  1. Indtast URL-adressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

                                                                                                                                                    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.

                                                                                                                                                  3. Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP

                                                                                                                                                    • Nul byte -- \x00

                                                                                                                                                    • Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klik på Fortsæt.

                                                                                                                                                  14

                                                                                                                                                  (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

                                                                                                                                                  Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

                                                                                                                                                  17

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

                                                                                                                                                  Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  18

                                                                                                                                                  For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  Næste trin

                                                                                                                                                  Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

                                                                                                                                                  2

                                                                                                                                                  Vælg Fil > Installer OVF-skabelon.

                                                                                                                                                  3

                                                                                                                                                  I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

                                                                                                                                                  4

                                                                                                                                                  Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste.

                                                                                                                                                  5

                                                                                                                                                  Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

                                                                                                                                                  Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

                                                                                                                                                  6

                                                                                                                                                  Bekræft skabelonoplysningerne, og klik derefter på Næste.

                                                                                                                                                  7

                                                                                                                                                  Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

                                                                                                                                                  8

                                                                                                                                                  Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

                                                                                                                                                  9

                                                                                                                                                  Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

                                                                                                                                                  10

                                                                                                                                                  På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

                                                                                                                                                  • Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

                                                                                                                                                     
                                                                                                                                                    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                    • For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.

                                                                                                                                                    • Den samlede længde af FQDN må ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

                                                                                                                                                     

                                                                                                                                                    Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  • Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
                                                                                                                                                  • Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
                                                                                                                                                  • DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
                                                                                                                                                  • NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.
                                                                                                                                                  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

                                                                                                                                                  Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  11

                                                                                                                                                  Højreklik på noden VM, og vælg derefter Strøm > tænd.

                                                                                                                                                  Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

                                                                                                                                                  Tips til fejlfinding

                                                                                                                                                  Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  1

                                                                                                                                                  I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol .

                                                                                                                                                  VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
                                                                                                                                                  2

                                                                                                                                                  Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne:

                                                                                                                                                  1. Log ind: admin

                                                                                                                                                  2. Adgangskode: cisco

                                                                                                                                                  Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik.

                                                                                                                                                  Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.

                                                                                                                                                  1

                                                                                                                                                  Overfør ISO-filen fra din computer:

                                                                                                                                                  1. Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.

                                                                                                                                                  2. Klik på Gem på listen Hardware under fanen Konfiguration på listen.

                                                                                                                                                  3. Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.

                                                                                                                                                  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

                                                                                                                                                  5. Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

                                                                                                                                                  6. Klik Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.

                                                                                                                                                  4. Kontrollér Tilsluttet og Tilslut ved tænd.

                                                                                                                                                  5. Gem dine ændringer, og genstart den virtuelle maskine.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.

                                                                                                                                                  Før du begynder

                                                                                                                                                  1

                                                                                                                                                  Indtast URL-adressen til opsætning af HDS-node https://[HDS Node IP or FQDN]/setup i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:

                                                                                                                                                  • Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
                                                                                                                                                  • Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:
                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                  Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen.

                                                                                                                                                  Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen.

                                                                                                                                                  Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

                                                                                                                                                  5

                                                                                                                                                  Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar.

                                                                                                                                                  Noden genstarter inden for et par minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status.

                                                                                                                                                  Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

                                                                                                                                                  Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Log på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menuen i venstre side af skærmen skal du vælge Tjenester.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt.

                                                                                                                                                  Siden Registrer hybrid-datasikkerhedsknude vises.
                                                                                                                                                  4

                                                                                                                                                  Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.

                                                                                                                                                  5

                                                                                                                                                  I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til.

                                                                                                                                                  Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                  Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik på Gå til node.

                                                                                                                                                  8

                                                                                                                                                  Klik Fortsæt i advarselsmeddelelsen.

                                                                                                                                                  Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
                                                                                                                                                  9

                                                                                                                                                  Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                  Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Hvis du vil tilføje yderligere noder til din klynge, skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

                                                                                                                                                   

                                                                                                                                                  På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  3

                                                                                                                                                  På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer.

                                                                                                                                                    Siden Hybrid-datasikkerhedsressourcer vises.
                                                                                                                                                  3. Klik på Tilføj ressource.

                                                                                                                                                  4. I det første felt skal du vælge navnet på din eksisterende klynge.

                                                                                                                                                  5. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                    Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen.
                                                                                                                                                  6. Klik på Gå til node.

                                                                                                                                                    Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node.
                                                                                                                                                  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  8. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Næste trin

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)
                                                                                                                                                  Kør en prøveversion, og flyt til produktion

                                                                                                                                                  Prøveversion til produktionsopgaveflow

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkroniser om nødvendigt HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  2

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.

                                                                                                                                                  3

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  4

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  Kontrollér status, og konfigurer e-mailunderretninger for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  6

                                                                                                                                                  Fuldfør prøvefasen med en af følgende handlinger:

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Før du begynder

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Tjenestestatus skal du klikke på Start prøveversion.

                                                                                                                                                  Tjenestestatus ændres til prøvetilstand.
                                                                                                                                                  4

                                                                                                                                                  Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester.

                                                                                                                                                  (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Konfigurer din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  • Aktivér prøveversionen, og tilføj flere prøvebrugere.

                                                                                                                                                  • Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer installationen af hybrid-datasikkerhed, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når klientcachelagte kopier af krypteringsnøglerne er udskiftet.

                                                                                                                                                  2

                                                                                                                                                  Send meddelelser til det nye rum.

                                                                                                                                                  3

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1. Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil kontrollere for en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  En statusindikator i Control Hub viser dig, om alt er godt med installationen af hybrid-datasikkerhed. For mere proaktiv varsling skal du tilmelde dig e-mailunderretninger. Du vil blive underrettet, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger.

                                                                                                                                                  Siden Indstillinger for hybrid-datasikkerhed vises.
                                                                                                                                                  3

                                                                                                                                                  Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.

                                                                                                                                                  4

                                                                                                                                                  Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

                                                                                                                                                  Flyt fra prøveversion til produktion

                                                                                                                                                  Når du er overbevist om, at din installation fungerer godt for brugerne af prøveversionen, kan du gå til produktionen. Når du flytter til produktion, vil alle brugere i organisationen bruge dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Du kan ikke gå tilbage til prøvetilstand fra produktion, medmindre du deaktiverer tjenesten som en del af genoprettelse af katastrofer. Hvis du genaktiverer tjenesten, skal du opsætte en ny prøveperiode.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil flytte alle dine brugere til produktion.

                                                                                                                                                  Afslut din prøveperiode uden at flytte til produktion

                                                                                                                                                  Hvis du under din prøveperiode beslutter ikke at fortsætte med din hybrid-datasikkerhedsinstallation, kan du deaktivere hybrid-datasikkerhed, som afslutter prøveperioden og flytter prøvebrugerne tilbage til cloud-datasikkerhedstjenesterne. Brugerne af prøveversionen mister adgang til de data, der blev krypteret under prøveperioden.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Deaktiver i sektionen Deaktiver.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

                                                                                                                                                  Administrer din HDS-installation

                                                                                                                                                  Administrer HDS-installation

                                                                                                                                                  Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Indstil tidsplan for klyngeopgradering

                                                                                                                                                  Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan angive en specifik opgraderingsplan eller bruge standardtidsplanen på 3:00 AM Daily USA: Amerika/Los Angeles Du kan også vælge at udsætte en kommende opgradering, hvis det er nødvendigt.

                                                                                                                                                  Sådan indstilles opgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.

                                                                                                                                                  4

                                                                                                                                                  Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.

                                                                                                                                                  5

                                                                                                                                                  På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen.

                                                                                                                                                  Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

                                                                                                                                                  Rediger nodekonfigurationen

                                                                                                                                                  Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:
                                                                                                                                                  • Ændring af x.509-certifikater på grund af udløb eller andre årsager.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

                                                                                                                                                  • Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

                                                                                                                                                  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

                                                                                                                                                  Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:

                                                                                                                                                  • Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.

                                                                                                                                                  • Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

                                                                                                                                                  Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

                                                                                                                                                  Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

                                                                                                                                                  1

                                                                                                                                                  Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

                                                                                                                                                  1. På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2. For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download det seneste stabile billede til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 indeholder ikke skærmbilleder til nulstilling af adgangskode.

                                                                                                                                                  5. Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                    • I almindelige miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6. Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  7. Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.

                                                                                                                                                  8. Importér den aktuelle ISO-konfigurationsfil.

                                                                                                                                                  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

                                                                                                                                                    For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner.

                                                                                                                                                  1. Installer HDS-hosten OVA.

                                                                                                                                                  2. Opsæt HDS-VM'en.

                                                                                                                                                  3. Tilslut den opdaterede konfigurationsfil.

                                                                                                                                                  4. Registrer den nye node i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude:

                                                                                                                                                  1. Slå den virtuelle maskine fra.

                                                                                                                                                  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

                                                                                                                                                  4. Markér Forbind med tilsluttet strøm.

                                                                                                                                                  5. Gem dine ændringer, og tænd for den virtuelle maskine.

                                                                                                                                                  4

                                                                                                                                                  Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

                                                                                                                                                  Deaktiver blokeret ekstern DNS-opløsningstilstand

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.

                                                                                                                                                  Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversigt (standardsiden).

                                                                                                                                                  Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

                                                                                                                                                  Næste trin

                                                                                                                                                  Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

                                                                                                                                                  Fjern en node

                                                                                                                                                  Brug denne procedure til at fjerne en hybrid-datasikkerhedsknude fra Webex-skyen. Når du har fjernet noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2. På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.

                                                                                                                                                  3. Vælg din klynge for at vise dens oversigtspanel.

                                                                                                                                                  4. Klik på listen Åbn knudepunkter.

                                                                                                                                                  5. På fanen Knuder skal du vælge den knude, du vil fjerne.

                                                                                                                                                  6. Klik Handlinger > Fjern registreringsnode.

                                                                                                                                                  3

                                                                                                                                                  I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

                                                                                                                                                  Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

                                                                                                                                                  Genoprettelse af katastrofer ved hjælp af standby-datacenter

                                                                                                                                                  Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

                                                                                                                                                  Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

                                                                                                                                                  Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis det primære datacenter bliver aktivt igen, skal du placere standbydatacenteret i passiv tilstand igen ved at følge de trin, der er beskrevet i Opsætning af standbydatacenter til genoprettelse af katastrofer.

                                                                                                                                                  (Valgfri) Fjern ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.

                                                                                                                                                  Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

                                                                                                                                                  1

                                                                                                                                                  Luk en af dine HDS-knudepunkter ned.

                                                                                                                                                  2

                                                                                                                                                  Vælg HDS-noden i vCenter-serverapparatet.

                                                                                                                                                  3

                                                                                                                                                  Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gentag for hver HDS-node efter tur.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Vis varsler og fejlfinding

                                                                                                                                                  En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

                                                                                                                                                  • Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)

                                                                                                                                                  • Meddelelser og rumtitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brugere føjet til et rum (kan ikke hente nøgler)

                                                                                                                                                    • Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)

                                                                                                                                                  • Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

                                                                                                                                                  Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.

                                                                                                                                                  Tabel 1. Almindelige problemer og trinnene til at løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Adgang til lokal database mislykkedes.

                                                                                                                                                  Kontrollér for databasefejl eller lokale netværksproblemer.

                                                                                                                                                  Lokal databaseforbindelse mislykkedes.

                                                                                                                                                  Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.

                                                                                                                                                  Adgang til cloud-tjeneste mislykkedes.

                                                                                                                                                  Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.

                                                                                                                                                  Fornyelse af registrering af cloud-tjeneste.

                                                                                                                                                  Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.

                                                                                                                                                  Tilmelding til cloudtjeneste blev droppet.

                                                                                                                                                  Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.

                                                                                                                                                  Tjeneste endnu ikke aktiveret.

                                                                                                                                                  Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.

                                                                                                                                                  Det konfigurerede domæne matcher ikke servercertifikatet.

                                                                                                                                                  Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

                                                                                                                                                  Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.

                                                                                                                                                  Kunne ikke godkendes til cloudtjenester.

                                                                                                                                                  Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.

                                                                                                                                                  Kunne ikke åbne lokal tastaturfil.

                                                                                                                                                  Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.

                                                                                                                                                  Lokalt servercertifikat er ugyldigt.

                                                                                                                                                  Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.

                                                                                                                                                  Kan ikke postere målinger.

                                                                                                                                                  Kontrollér lokal netværksadgang til eksterne cloud-tjenester.

                                                                                                                                                  /media/configdrive/hds-telefonbogen findes ikke.

                                                                                                                                                  Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.
                                                                                                                                                  1

                                                                                                                                                  Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.

                                                                                                                                                  2

                                                                                                                                                  Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-support.

                                                                                                                                                  Andre noter

                                                                                                                                                  Kendte problemer med hybrid-datasikkerhed

                                                                                                                                                  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

                                                                                                                                                  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

                                                                                                                                                    Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

                                                                                                                                                  Brug åbenSSL til at generere en PKCS12-fil

                                                                                                                                                  Før du begynder

                                                                                                                                                  • OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.

                                                                                                                                                  • Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.

                                                                                                                                                  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.

                                                                                                                                                  • Opret en privat nøgle.

                                                                                                                                                  • Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

                                                                                                                                                  1

                                                                                                                                                  Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis certifikatet som tekst, og bekræft detaljerne.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Opret .p12-filen med det venlige navn kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollér servercertifikatoplysningerne.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne friendlyName: kms-private-key.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Næste trin

                                                                                                                                                  Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

                                                                                                                                                  Trafik mellem HDS-knudepunkterne og skyen

                                                                                                                                                  Indsamlingstrafik for udgående målinger

                                                                                                                                                  Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).

                                                                                                                                                  Indgående trafik

                                                                                                                                                  Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

                                                                                                                                                  • Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten

                                                                                                                                                  • Opgraderinger til nodesoftwaren

                                                                                                                                                  Konfigurer Squid-proxyer til hybrid-datasikkerhed

                                                                                                                                                  Websocket kan ikke oprette forbindelse via squid-proxy

                                                                                                                                                  Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss: trafik med henblik på korrekt drift af tjenesterne.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Tilføj on_unsupported_protocol direktiv til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Forbillede

                                                                                                                                                  Nye og ændrede oplysninger

                                                                                                                                                  Dato

                                                                                                                                                  Ændringer foretaget

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  07. august 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  Den 06. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Opdaterede installationsfiler til download.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

                                                                                                                                                  Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

                                                                                                                                                  20. februar 2020Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.
                                                                                                                                                  4. februar 2020Opdaterede proxyserverkrav.
                                                                                                                                                  16. december 2019Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

                                                                                                                                                  Følgende afsnit blev opdateret i overensstemmelse hermed:


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Tilføjede SQL-serverstandard til databaseserverkrav.

                                                                                                                                                  29. august 2019Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

                                                                                                                                                  Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

                                                                                                                                                  13. juni 2019Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering.
                                                                                                                                                  6. marts 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.

                                                                                                                                                  • Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid-datasikkerhed understøtter nu Microsoft SQL-server som en database. SQL-server altid tændt (Altid på failover-klynger og Altid på tilgængelighedsgrupper) understøttes af de JDBC-drivere, der bruges i hybrid-datasikkerhed. Tilføjet indhold relateret til installation med SQL-server.


                                                                                                                                                     

                                                                                                                                                    Understøttelse af Microsoft SQL Server er kun beregnet til nye installationer af Hybriddatasikkerhed. Vi understøtter i øjeblikket ikke migrering af data fra PostgreSQL til Microsoft SQL Server i en eksisterende installation.

                                                                                                                                                  Den 5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Ændret terminologi for at afspejle genbranding af Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.

                                                                                                                                                  • Cisco Spark-appen er nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton-clouden er nu Webex-clouden.

                                                                                                                                                  Den 11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  Den 2. november 2017

                                                                                                                                                  • Klargjort adressebogssynkronisering af HdsTrialGroup.

                                                                                                                                                  • Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Udgivet første gang

                                                                                                                                                  Kom i gang med hybriddatasikkerhed

                                                                                                                                                  Oversigt over hybriddatasikkerhed

                                                                                                                                                  Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, der er aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

                                                                                                                                                  Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdata , så ingen andre end dig ligger inde med nøglerne til dit krypterede indhold.

                                                                                                                                                  Sikkerhedsarkitektur

                                                                                                                                                  Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

                                                                                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)

                                                                                                                                                  For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

                                                                                                                                                  I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:

                                                                                                                                                  1. Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

                                                                                                                                                  2. Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.

                                                                                                                                                  3. Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.

                                                                                                                                                  4. Den krypterede meddelelse gemmes i hukommelsesdomænet.

                                                                                                                                                  Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.

                                                                                                                                                  Samarbejde med andre organisationer

                                                                                                                                                  Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

                                                                                                                                                  KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Forventninger til installation af hybrid-datasikkerhed

                                                                                                                                                  En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

                                                                                                                                                  For at installere hybrid-datasikkerhed skal du angive:

                                                                                                                                                  Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

                                                                                                                                                  • Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.

                                                                                                                                                  • Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.


                                                                                                                                                   

                                                                                                                                                  Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

                                                                                                                                                  Opsætningsproces på højt niveau

                                                                                                                                                  Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

                                                                                                                                                  • Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

                                                                                                                                                    Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.

                                                                                                                                                  • Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.

                                                                                                                                                  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.

                                                                                                                                                  Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)

                                                                                                                                                  Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.

                                                                                                                                                  Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

                                                                                                                                                  Vi understøtter kun en enkelt klynge pr. organisation.

                                                                                                                                                  Prøvetilstand for hybrid-datasikkerhed

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.

                                                                                                                                                  Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.

                                                                                                                                                  Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.

                                                                                                                                                  Standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuel failover til standbydatacenter

                                                                                                                                                  De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.


                                                                                                                                                   

                                                                                                                                                  De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

                                                                                                                                                  Opsætning af standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)

                                                                                                                                                  • Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

                                                                                                                                                  Næste trin

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.

                                                                                                                                                  Proxysupport

                                                                                                                                                  Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatadministration og til at kontrollere den overordnede forbindelsesstatus, efter du har konfigureret proxyen på noderne.

                                                                                                                                                  Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

                                                                                                                                                  • Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

                                                                                                                                                  • Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

                                                                                                                                                      • HTTP – Viser og styrer alle anmodninger, som klienten sender.

                                                                                                                                                      • HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                  Eksempel på hybrid-datasikkerhedsknuder og proxy

                                                                                                                                                  Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.

                                                                                                                                                  Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  Krav til hybrid-datasikkerhed

                                                                                                                                                  Krav til Docker-desktop

                                                                                                                                                  Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. Få flere oplysninger i Docker-bloginlægget, " Docker opdaterer og udvider vores produktabonnementer ".

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkæden skal opfylde følgende krav:

                                                                                                                                                  Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Underskrevet af en betroet certifikatmyndighed (CA)

                                                                                                                                                  Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation

                                                                                                                                                  • Er ikke et jokerkortcertifikat

                                                                                                                                                  CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

                                                                                                                                                  KN må ikke indeholde et * (jokertegn).

                                                                                                                                                  CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.

                                                                                                                                                  • Ikke-SHA1-signatur

                                                                                                                                                  KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

                                                                                                                                                  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

                                                                                                                                                  • Brug det venlige navn på kms-private-key for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.

                                                                                                                                                  Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format.

                                                                                                                                                  Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

                                                                                                                                                  KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.

                                                                                                                                                  Krav til virtuelle vært

                                                                                                                                                  De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

                                                                                                                                                  • Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter

                                                                                                                                                  • VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.


                                                                                                                                                     

                                                                                                                                                    Du skal opgradere, hvis du har en tidligere version af ESXI.

                                                                                                                                                  • Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

                                                                                                                                                  Databaseserverkrav


                                                                                                                                                   

                                                                                                                                                  Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

                                                                                                                                                  Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

                                                                                                                                                  Tabel 2. Databaseserverkrav efter databasetype

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installeret og kører.

                                                                                                                                                  • SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.


                                                                                                                                                     

                                                                                                                                                    SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL-server-JDBC-driver 4.6

                                                                                                                                                  Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

                                                                                                                                                  Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

                                                                                                                                                  Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

                                                                                                                                                  • HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.

                                                                                                                                                  • Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.

                                                                                                                                                  • De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

                                                                                                                                                    HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

                                                                                                                                                  Krav til ekstern forbindelse

                                                                                                                                                  Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

                                                                                                                                                  Applikation

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Retning fra appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasikkerhedsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester

                                                                                                                                                  HDS-opsætningsværktøj

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål.

                                                                                                                                                  URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

                                                                                                                                                  Område

                                                                                                                                                  URL-adresser for fælles identitet-vært

                                                                                                                                                  Nord-, Mellem- og Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  EU

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserverkrav

                                                                                                                                                  • Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

                                                                                                                                                    • Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicit proxy – squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

                                                                                                                                                  • Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:

                                                                                                                                                    • Ingen godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Grundlæggende godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Digest-godkendelse kun med HTTPS

                                                                                                                                                  • Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.

                                                                                                                                                  • Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

                                                                                                                                                  • Proxyer, der inspicerer webtrafik, kan forstyrre web socket-forbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

                                                                                                                                                  Udfyld forudsætningerne for hybriddatasikkerhed

                                                                                                                                                  Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
                                                                                                                                                  1

                                                                                                                                                  Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces.

                                                                                                                                                  2

                                                                                                                                                  Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com) og få en certifikatkæde, der indeholder et X.509 certifikat, privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 certifikatkrav.

                                                                                                                                                  3

                                                                                                                                                  Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter.

                                                                                                                                                  4

                                                                                                                                                  Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

                                                                                                                                                  1. Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)

                                                                                                                                                  2. Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:

                                                                                                                                                    • værtsnavnet eller IP-adressen (vært) og porten

                                                                                                                                                    • databasens navn (dbname) for nøglelagring

                                                                                                                                                    • brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

                                                                                                                                                  5

                                                                                                                                                  For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er.

                                                                                                                                                  6

                                                                                                                                                  Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at der ikke kan gendannes data, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.


                                                                                                                                                   

                                                                                                                                                  Fordi hybrid-datasikkerhedsknuderne gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operationel installation medføre, at det UOPRETTELIGT TAB af dette indhold.

                                                                                                                                                  Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl.

                                                                                                                                                  8

                                                                                                                                                  Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

                                                                                                                                                  Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger.

                                                                                                                                                  For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

                                                                                                                                                  11

                                                                                                                                                  Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder HdsTrialGroup, og tilføj pilotbrugere. Prøvegruppen kan have op til 250 brugere. Fil HdsTrialGroup objektet skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. For at synkronisere et gruppeobjekt skal du vælge det i Directory Connector's Konfiguration > menuen Objektvalg. (Se udrulningsvejledningen til Cisco Directory Connector for detaljerede vejledninger.)


                                                                                                                                                   

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Når du vælger pilotbrugere, skal du være opmærksom på, at hvis du beslutter dig for permanent at deaktivere installationen af hybrid-datasikkerhed, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugere. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagte kopier af indholdet.

                                                                                                                                                  Opsæt en hybrid-datasikkerhedsklynge

                                                                                                                                                  Opgaveflow for installation af hybrid-datasikkerhed

                                                                                                                                                  Før du begynder

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  1

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  Download OVA-filen til din lokale maskine til senere brug.

                                                                                                                                                  2

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  5

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

                                                                                                                                                  7

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

                                                                                                                                                  8

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Fuldfør klyngeopsætningen.

                                                                                                                                                  9

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)

                                                                                                                                                  Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og klik derefter på Tjenester.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

                                                                                                                                                  Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.


                                                                                                                                                   

                                                                                                                                                  Du kan også downloade OVA når som helst fra afsnittet Hjælp på siden Indstillinger . På hybriddatasikkerhedskortet skal du klikke på Rediger indstillinger for at åbne siden. Klik derefter på Download hybrid-datasikkerhedssoftware i afsnittet Hjælp .


                                                                                                                                                   

                                                                                                                                                  Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan resultere i problemer under opgradering af applikationen. Sørg for, at du downloader den seneste version af OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

                                                                                                                                                  OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:

                                                                                                                                                    • Legitimationsoplysninger til database

                                                                                                                                                    • Certifikatopdateringer

                                                                                                                                                    • Ændringer i godkendelsespolitikken

                                                                                                                                                  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

                                                                                                                                                  1

                                                                                                                                                  På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download det seneste stabile billede til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                  • I almindelige miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

                                                                                                                                                  Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

                                                                                                                                                  7

                                                                                                                                                  Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed.

                                                                                                                                                  8

                                                                                                                                                  Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

                                                                                                                                                  9

                                                                                                                                                  På siden ISO-import har du disse valgmuligheder:

                                                                                                                                                  • Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
                                                                                                                                                  • Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

                                                                                                                                                  • Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
                                                                                                                                                  11

                                                                                                                                                  Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

                                                                                                                                                  1. Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.

                                                                                                                                                  2. (kun Microsoft SQL-server) Vælg din godkendelsestype:

                                                                                                                                                    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .

                                                                                                                                                    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .

                                                                                                                                                  3. Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

                                                                                                                                                    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Indtast databasenavnet.

                                                                                                                                                  5. Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Vælg en TLS-databaseforbindelsestilstand:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrækker TLS (standardindstilling)

                                                                                                                                                  HDS-noder kræver ikke TLS for at oprette forbindelse til databaseserver. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

                                                                                                                                                  Kræver TLS

                                                                                                                                                  HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  Kræver TLS og verificer certifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne tilstand gælder ikke for SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Kræv TLS , og bekræft certifikatunderskriver og værtsnavn

                                                                                                                                                  • HDS-noder opretter kun forbindelse, hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, afbryder knudepunktet forbindelsen.

                                                                                                                                                  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal stemme nøjagtigt, ellers afbryder knudepunktet forbindelsen.

                                                                                                                                                  Brug Databasens rodcertifikat kontrol under rullemenuen for at uploade rodcertifikat for denne valgmulighed.

                                                                                                                                                  Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer din Syslogd-server på siden Systemlogfiler:

                                                                                                                                                  1. Indtast URL-adressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

                                                                                                                                                    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.

                                                                                                                                                  3. Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP

                                                                                                                                                    • Nul byte -- \x00

                                                                                                                                                    • Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klik på Fortsæt.

                                                                                                                                                  14

                                                                                                                                                  (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

                                                                                                                                                  Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

                                                                                                                                                  17

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

                                                                                                                                                  Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  18

                                                                                                                                                  For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  Næste trin

                                                                                                                                                  Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

                                                                                                                                                  2

                                                                                                                                                  Vælg Fil > Installer OVF-skabelon.

                                                                                                                                                  3

                                                                                                                                                  I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

                                                                                                                                                  4

                                                                                                                                                  Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste.

                                                                                                                                                  5

                                                                                                                                                  Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

                                                                                                                                                  Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

                                                                                                                                                  6

                                                                                                                                                  Bekræft skabelonoplysningerne, og klik derefter på Næste.

                                                                                                                                                  7

                                                                                                                                                  Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

                                                                                                                                                  8

                                                                                                                                                  Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

                                                                                                                                                  9

                                                                                                                                                  Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

                                                                                                                                                  10

                                                                                                                                                  På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

                                                                                                                                                  • Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

                                                                                                                                                     
                                                                                                                                                    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                    • For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.

                                                                                                                                                    • Den samlede længde af FQDN må ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

                                                                                                                                                     

                                                                                                                                                    Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  • Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
                                                                                                                                                  • Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
                                                                                                                                                  • DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
                                                                                                                                                  • NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.
                                                                                                                                                  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

                                                                                                                                                  Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  11

                                                                                                                                                  Højreklik på noden VM, og vælg derefter Strøm > tænd.

                                                                                                                                                  Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

                                                                                                                                                  Tips til fejlfinding

                                                                                                                                                  Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  1

                                                                                                                                                  I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol .

                                                                                                                                                  VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
                                                                                                                                                  2

                                                                                                                                                  Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne:

                                                                                                                                                  1. Log ind: admin

                                                                                                                                                  2. Adgangskode: cisco

                                                                                                                                                  Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik.

                                                                                                                                                  Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.

                                                                                                                                                  1

                                                                                                                                                  Overfør ISO-filen fra din computer:

                                                                                                                                                  1. Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.

                                                                                                                                                  2. Klik på Gem på listen Hardware under fanen Konfiguration på listen.

                                                                                                                                                  3. Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.

                                                                                                                                                  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

                                                                                                                                                  5. Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

                                                                                                                                                  6. Klik Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.

                                                                                                                                                  4. Kontrollér Tilsluttet og Tilslut ved tænd.

                                                                                                                                                  5. Gem dine ændringer, og genstart den virtuelle maskine.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.

                                                                                                                                                  Før du begynder

                                                                                                                                                  1

                                                                                                                                                  Indtast URL-adressen til opsætning af HDS-node https://[HDS Node IP or FQDN]/setup i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:

                                                                                                                                                  • Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
                                                                                                                                                  • Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:
                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                  Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen.

                                                                                                                                                  Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen.

                                                                                                                                                  Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

                                                                                                                                                  5

                                                                                                                                                  Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar.

                                                                                                                                                  Noden genstarter inden for et par minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status.

                                                                                                                                                  Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

                                                                                                                                                  Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Log på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menuen i venstre side af skærmen skal du vælge Tjenester.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt.

                                                                                                                                                  Siden Registrer hybrid-datasikkerhedsknude vises.
                                                                                                                                                  4

                                                                                                                                                  Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.

                                                                                                                                                  5

                                                                                                                                                  I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til.

                                                                                                                                                  Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                  Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik på Gå til node.

                                                                                                                                                  8

                                                                                                                                                  Klik Fortsæt i advarselsmeddelelsen.

                                                                                                                                                  Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
                                                                                                                                                  9

                                                                                                                                                  Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                  Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Hvis du vil tilføje yderligere noder til din klynge, skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

                                                                                                                                                   

                                                                                                                                                  På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  3

                                                                                                                                                  På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer.

                                                                                                                                                    Siden Hybrid-datasikkerhedsressourcer vises.
                                                                                                                                                  3. Klik på Tilføj ressource.

                                                                                                                                                  4. I det første felt skal du vælge navnet på din eksisterende klynge.

                                                                                                                                                  5. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                    Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen.
                                                                                                                                                  6. Klik på Gå til node.

                                                                                                                                                    Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node.
                                                                                                                                                  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  8. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Næste trin

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)
                                                                                                                                                  Kør en prøveversion, og flyt til produktion

                                                                                                                                                  Prøveversion til produktionsopgaveflow

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkroniser om nødvendigt HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  2

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.

                                                                                                                                                  3

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  4

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  Kontrollér status, og konfigurer e-mailunderretninger for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  6

                                                                                                                                                  Fuldfør prøvefasen med en af følgende handlinger:

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Før du begynder

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Tjenestestatus skal du klikke på Start prøveversion.

                                                                                                                                                  Tjenestestatus ændres til prøvetilstand.
                                                                                                                                                  4

                                                                                                                                                  Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester.

                                                                                                                                                  (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Konfigurer din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  • Aktivér prøveversionen, og tilføj flere prøvebrugere.

                                                                                                                                                  • Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer installationen af hybrid-datasikkerhed, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når klientcachelagte kopier af krypteringsnøglerne er udskiftet.

                                                                                                                                                  2

                                                                                                                                                  Send meddelelser til det nye rum.

                                                                                                                                                  3

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1. Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil kontrollere for en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  En statusindikator i Control Hub viser dig, om alt er godt med installationen af hybrid-datasikkerhed. For mere proaktiv varsling skal du tilmelde dig e-mailunderretninger. Du vil blive underrettet, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger.

                                                                                                                                                  Siden Indstillinger for hybrid-datasikkerhed vises.
                                                                                                                                                  3

                                                                                                                                                  Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.

                                                                                                                                                  4

                                                                                                                                                  Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem .

                                                                                                                                                  Flyt fra prøveversion til produktion

                                                                                                                                                  Når du er overbevist om, at din installation fungerer godt for brugerne af prøveversionen, kan du gå til produktionen. Når du flytter til produktion, vil alle brugere i organisationen bruge dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Du kan ikke gå tilbage til prøvetilstand fra produktion, medmindre du deaktiverer tjenesten som en del af genoprettelse af katastrofer. Hvis du genaktiverer tjenesten, skal du opsætte en ny prøveperiode.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil flytte alle dine brugere til produktion.

                                                                                                                                                  Afslut din prøveperiode uden at flytte til produktion

                                                                                                                                                  Hvis du under din prøveperiode beslutter ikke at fortsætte med din hybrid-datasikkerhedsinstallation, kan du deaktivere hybrid-datasikkerhed, som afslutter prøveperioden og flytter prøvebrugerne tilbage til cloud-datasikkerhedstjenesterne. Brugerne af prøveversionen mister adgang til de data, der blev krypteret under prøveperioden.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Deaktiver i sektionen Deaktiver.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

                                                                                                                                                  Administrer din HDS-installation

                                                                                                                                                  Administrer HDS-installation

                                                                                                                                                  Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Indstil tidsplan for klyngeopgradering

                                                                                                                                                  Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan angive en specifik opgraderingsplan eller bruge standardtidsplanen på 3:00 AM Daily USA: Amerika/Los Angeles Du kan også vælge at udsætte en kommende opgradering, hvis det er nødvendigt.

                                                                                                                                                  Sådan indstilles opgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.

                                                                                                                                                  4

                                                                                                                                                  Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.

                                                                                                                                                  5

                                                                                                                                                  På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen.

                                                                                                                                                  Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

                                                                                                                                                  Rediger nodekonfigurationen

                                                                                                                                                  Nogle gange kan du få brug for at ændre konfigurationen af din Hybrid Data Security-node af en årsag som f.eks.:
                                                                                                                                                  • Ændring af x.509-certifikater på grund af udløb eller andre årsager.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke ændring af CN- domænenavn for et certifikat. Domænet skal matche det oprindelige domæne, der blev brugt til at registrere klyngen.

                                                                                                                                                  • Opdaterer databaseindstillingerne for at skifte til en replika af PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL Server eller den modsatte måde. Hvis du vil skifte databasemiljø, skal du starte en ny installation af Hybrid Data Security.

                                                                                                                                                  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

                                                                                                                                                  Af sikkerhedsmæssige grunde bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i 9 måneder. HDS-opsætningsværktøjet genererer disse adgangskoder, og du udruller dem til hver af dine HDS-knuder som en del af ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en "Besked om udløb af adgangskode" fra Webex-teamet, der beder dig om at nulstille adgangskoden for maskinkontoen. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden"). Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to muligheder:

                                                                                                                                                  • Blød nulstilling – Den gamle og den nye adgangskode virker begge i op til 10 dage. Brug denne periode til at erstatte ISO -filen på knuderne gradvist.

                                                                                                                                                  • Hård nulstilling – De gamle adgangskoder holder op med at virke med det samme.

                                                                                                                                                  Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO -filen på alle noder.

                                                                                                                                                  Brug denne procedure til at generere en ny ISO -konfigurationsfil og anvende den på din klynge.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den pågældende maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder til din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO , når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

                                                                                                                                                  1

                                                                                                                                                  Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

                                                                                                                                                  1. På maskinens kommandolinje skal du indtaste den rigtige kommando til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trin rydder op i tidligere billeder af værktøjet til HDS-opsætning. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2. For at logge på Docker-image registreringsdatabasen skal du indtaste følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Ved adgangskodeprompten skal du indtaste denne hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download det seneste stabile billede til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 indeholder ikke skærmbilleder til nulstilling af adgangskode.

                                                                                                                                                  5. Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                    • I almindelige miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når containeren kører, kan du se "Express-server lytter på port 8080."

                                                                                                                                                  6. Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  7. Når du bliver bedt om det, skal du indtaste dine -kundeloginoplysninger og klikke på Acceptér for at fortsætte.

                                                                                                                                                  8. Importér den aktuelle ISO-konfigurationsfil.

                                                                                                                                                  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

                                                                                                                                                    For at lukke opsætningsværktøjet skal du indtaste CTRL+C.

                                                                                                                                                  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun har én HDS-knude kørende, skal du oprette en ny knude-VM og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner.

                                                                                                                                                  1. Installer HDS-hosten OVA.

                                                                                                                                                  2. Opsæt HDS-VM'en.

                                                                                                                                                  3. Tilslut den opdaterede konfigurationsfil.

                                                                                                                                                  4. Registrer den nye node i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO -filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, før du deaktiverer den næste knude:

                                                                                                                                                  1. Slå den virtuelle maskine fra.

                                                                                                                                                  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1 Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

                                                                                                                                                  4. Markér Forbind med tilsluttet strøm.

                                                                                                                                                  5. Gem dine ændringer, og tænd for den virtuelle maskine.

                                                                                                                                                  4

                                                                                                                                                  Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

                                                                                                                                                  Deaktiver blokeret ekstern DNS-opløsningstilstand

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.

                                                                                                                                                  Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversigt (standardsiden).

                                                                                                                                                  Når den er aktiveret, Blokeret ekstern DNS opløsning er indstillet til Ja .

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

                                                                                                                                                  Næste trin

                                                                                                                                                  Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

                                                                                                                                                  Fjern en node

                                                                                                                                                  Brug denne procedure til at fjerne en hybrid-datasikkerhedsknude fra Webex-skyen. Når du har fjernet noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2. På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.

                                                                                                                                                  3. Vælg din klynge for at vise dens oversigtspanel.

                                                                                                                                                  4. Klik på listen Åbn knudepunkter.

                                                                                                                                                  5. På fanen Knuder skal du vælge den knude, du vil fjerne.

                                                                                                                                                  6. Klik Handlinger > Fjern registreringsnode.

                                                                                                                                                  3

                                                                                                                                                  I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

                                                                                                                                                  Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

                                                                                                                                                  Genoprettelse af katastrofer ved hjælp af standby-datacenter

                                                                                                                                                  Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

                                                                                                                                                  Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

                                                                                                                                                  Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis det primære datacenter bliver aktivt igen, skal du placere standbydatacenteret i passiv tilstand igen ved at følge de trin, der er beskrevet i Opsætning af standbydatacenter til genoprettelse af katastrofer.

                                                                                                                                                  (Valgfri) Fjern ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.

                                                                                                                                                  Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

                                                                                                                                                  1

                                                                                                                                                  Luk en af dine HDS-knudepunkter ned.

                                                                                                                                                  2

                                                                                                                                                  Vælg HDS-noden i vCenter-serverapparatet.

                                                                                                                                                  3

                                                                                                                                                  Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gentag for hver HDS-node efter tur.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Vis varsler og fejlfinding

                                                                                                                                                  En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

                                                                                                                                                  • Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)

                                                                                                                                                  • Meddelelser og rumtitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brugere føjet til et rum (kan ikke hente nøgler)

                                                                                                                                                    • Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)

                                                                                                                                                  • Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

                                                                                                                                                  Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.

                                                                                                                                                  Tabel 1. Almindelige problemer og trinnene til at løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Adgang til lokal database mislykkedes.

                                                                                                                                                  Kontrollér for databasefejl eller lokale netværksproblemer.

                                                                                                                                                  Lokal databaseforbindelse mislykkedes.

                                                                                                                                                  Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.

                                                                                                                                                  Adgang til cloud-tjeneste mislykkedes.

                                                                                                                                                  Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.

                                                                                                                                                  Fornyelse af registrering af cloud-tjeneste.

                                                                                                                                                  Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.

                                                                                                                                                  Tilmelding til cloudtjeneste blev droppet.

                                                                                                                                                  Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.

                                                                                                                                                  Tjeneste endnu ikke aktiveret.

                                                                                                                                                  Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.

                                                                                                                                                  Det konfigurerede domæne matcher ikke servercertifikatet.

                                                                                                                                                  Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

                                                                                                                                                  Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.

                                                                                                                                                  Kunne ikke godkendes til cloudtjenester.

                                                                                                                                                  Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.

                                                                                                                                                  Kunne ikke åbne lokal tastaturfil.

                                                                                                                                                  Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.

                                                                                                                                                  Lokalt servercertifikat er ugyldigt.

                                                                                                                                                  Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.

                                                                                                                                                  Kan ikke postere målinger.

                                                                                                                                                  Kontrollér lokal netværksadgang til eksterne cloud-tjenester.

                                                                                                                                                  /media/configdrive/hds-telefonbogen findes ikke.

                                                                                                                                                  Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.
                                                                                                                                                  1

                                                                                                                                                  Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.

                                                                                                                                                  2

                                                                                                                                                  Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-support.

                                                                                                                                                  Andre noter

                                                                                                                                                  Kendte problemer med hybrid-datasikkerhed

                                                                                                                                                  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

                                                                                                                                                  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

                                                                                                                                                    Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

                                                                                                                                                  Brug åbenSSL til at generere en PKCS12-fil

                                                                                                                                                  Før du begynder

                                                                                                                                                  • OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.

                                                                                                                                                  • Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.

                                                                                                                                                  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.

                                                                                                                                                  • Opret en privat nøgle.

                                                                                                                                                  • Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

                                                                                                                                                  1

                                                                                                                                                  Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis certifikatet som tekst, og bekræft detaljerne.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Opret .p12-filen med det venlige navn kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollér servercertifikatoplysningerne.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne friendlyName: kms-private-key.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Næste trin

                                                                                                                                                  Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

                                                                                                                                                  Trafik mellem HDS-knudepunkterne og skyen

                                                                                                                                                  Indsamlingstrafik for udgående målinger

                                                                                                                                                  Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).

                                                                                                                                                  Indgående trafik

                                                                                                                                                  Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

                                                                                                                                                  • Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten

                                                                                                                                                  • Opgraderinger til nodesoftwaren

                                                                                                                                                  Konfigurer Squid-proxyer til hybrid-datasikkerhed

                                                                                                                                                  Websocket kan ikke oprette forbindelse via squid-proxy

                                                                                                                                                  Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss: trafik med henblik på korrekt drift af tjenesterne.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Tilføj on_unsupported_protocol direktiv til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Forbillede

                                                                                                                                                  Nye og ændrede oplysninger

                                                                                                                                                  Dato

                                                                                                                                                  Ændringer foretaget

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  07. august 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  Den 06. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Opdaterede installationsfiler til download.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

                                                                                                                                                  Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

                                                                                                                                                  20. februar 2020Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.
                                                                                                                                                  4. februar 2020Opdaterede proxyserverkrav.
                                                                                                                                                  16. december 2019Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

                                                                                                                                                  Følgende afsnit blev opdateret i overensstemmelse hermed:


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Tilføjede SQL-serverstandard til databaseserverkrav.

                                                                                                                                                  29. august 2019Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

                                                                                                                                                  Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

                                                                                                                                                  13. juni 2019Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup gruppeobjekt, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering.
                                                                                                                                                  6. marts 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.

                                                                                                                                                  • Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid-datasikkerhed understøtter nu Microsoft SQL-server som en database. SQL-server altid tændt (Altid på failover-klynger og Altid på tilgængelighedsgrupper) understøttes af de JDBC-drivere, der bruges i hybrid-datasikkerhed. Tilføjet indhold relateret til installation med SQL-server.


                                                                                                                                                     

                                                                                                                                                    Understøttelse af Microsoft SQL Server er kun beregnet til nye installationer af Hybriddatasikkerhed. Vi understøtter i øjeblikket ikke migrering af data fra PostgreSQL til Microsoft SQL Server i en eksisterende installation.

                                                                                                                                                  Den 5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Ændret terminologi for at afspejle genbranding af Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.

                                                                                                                                                  • Cisco Spark-appen er nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton-clouden er nu Webex-clouden.

                                                                                                                                                  Den 11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  Den 2. november 2017

                                                                                                                                                  • Klargjort adressebogssynkronisering af HdsTrialGroup.

                                                                                                                                                  • Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Udgivet første gang

                                                                                                                                                  Kom i gang med hybriddatasikkerhed

                                                                                                                                                  Oversigt over hybriddatasikkerhed

                                                                                                                                                  Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er slutpunkt-til-slutpunkt-kryptering af indhold, aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

                                                                                                                                                  Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid Data Security flytter KMS og andre sikkerhedsrelaterede funktioner til dit virksomhedsdatacenter, så ingen undtagen du har nøglerne til dit krypterede indhold.

                                                                                                                                                  Sikkerhedsarkitektur

                                                                                                                                                  Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

                                                                                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)

                                                                                                                                                  For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger, f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

                                                                                                                                                  I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:

                                                                                                                                                  1. Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

                                                                                                                                                  2. Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.

                                                                                                                                                  3. Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.

                                                                                                                                                  4. Den krypterede meddelelse gemmes i hukommelsesdomænet.

                                                                                                                                                  Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.

                                                                                                                                                  Samarbejde med andre organisationer

                                                                                                                                                  Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

                                                                                                                                                  KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Forventninger til installation af hybrid-datasikkerhed

                                                                                                                                                  En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

                                                                                                                                                  For at installere hybrid-datasikkerhed skal du angive:

                                                                                                                                                  Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

                                                                                                                                                  • Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.

                                                                                                                                                  • Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.


                                                                                                                                                   

                                                                                                                                                  Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

                                                                                                                                                  Opsætningsproces på højt niveau

                                                                                                                                                  Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

                                                                                                                                                  • Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

                                                                                                                                                    Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.

                                                                                                                                                  • Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.

                                                                                                                                                  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.

                                                                                                                                                  Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)

                                                                                                                                                  Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.

                                                                                                                                                  Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

                                                                                                                                                  Vi understøtter kun en enkelt klynge pr. organisation.

                                                                                                                                                  Prøvetilstand for hybrid-datasikkerhed

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.

                                                                                                                                                  Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.

                                                                                                                                                  Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.

                                                                                                                                                  Standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuel failover til standbydatacenter

                                                                                                                                                  De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.


                                                                                                                                                   

                                                                                                                                                  De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

                                                                                                                                                  Opsætning af standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)

                                                                                                                                                  • Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

                                                                                                                                                  Næste trin

                                                                                                                                                  Efter konfiguration passiveMode i ISO-filen og gemmer den, kan du oprette en anden kopi af ISO-filen uden passiveMode konfiguration og gem den på en sikker placering. Denne kopi af ISO-filen uden passiveMode konfigureret kan hjælpe med en hurtig failover-proces under genoprettelse af en katastrofe. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.

                                                                                                                                                  Proxyunderstøttelse

                                                                                                                                                  Hybrid-datasikkerhed understøtter eksplicit, gennemsigtig inspektion og ikke-inspektion proxyer. Du kan knytte disse proxyer til din installation, så du kan sikre og overvåge trafik fra virksomheden ud til skyen. Du kan bruge en platformsadministrationsgrænseflade på noderne til certifikatstyring og til at kontrollere den samlede forbindelsesstatus, når du har konfigureret proxyen på noderne.

                                                                                                                                                  Hybrid-datasikkerhedsnoderne understøtter følgende proxyindstillinger:

                                                                                                                                                  • Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikatopdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Det er ikke nødvendigt at ændre HTTP- eller HTTPS-konfigurationen på noderne. Knuderne skal dog have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

                                                                                                                                                  • Eksplicit proxy– Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

                                                                                                                                                      • HTTP – Viser og styrer alle anmodninger, som klienten sender.

                                                                                                                                                      • HTTPS – giver en kanal til serveren. Klienten modtager og validerer serverens certifikat.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – Ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxyprotokollen.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig, hvis du vælger HTTPS som proxyprotokol.

                                                                                                                                                        Kræver, at du indtaster brugernavnet og adgangskoden på hver knude.

                                                                                                                                                  Eksempel på hybrid-datasikkerhedsknuder og proxy

                                                                                                                                                  Dette diagram viser et eksempel på forbindelse mellem hybrid-datasikkerhed, netværk og en proxy. For gennemsigtig inspektion og eksplicit HTTPS-inspektion af proxyindstillinger skal det samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerhedsnoderne.

                                                                                                                                                  Blokeret ekstern DNS-opløsningstilstand (eksplicitte proxykonfigurationer)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. I installationer med eksplicitte proxykonfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning. I denne tilstand kan noderegistrering og andre proxyforbindelsestests fortsætte.

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  Krav til hybrid-datasikkerhed

                                                                                                                                                  Krav til Docker-desktop

                                                                                                                                                  Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement for Docker Desktop. Få flere oplysninger i blogindlægget Docker, "Docker opdaterer og udvider vores produktabonnementer".

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkæden skal opfylde følgende krav:

                                                                                                                                                  Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Underskrevet af en betroet certifikatmyndighed (CA)

                                                                                                                                                  Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation

                                                                                                                                                  • Er ikke et jokerkortcertifikat

                                                                                                                                                  CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

                                                                                                                                                  KN må ikke indeholde et * (jokertegn).

                                                                                                                                                  CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.

                                                                                                                                                  • Ikke-SHA1-signatur

                                                                                                                                                  KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

                                                                                                                                                  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

                                                                                                                                                  • Brug det venlige navn på kms-private-key for at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.

                                                                                                                                                  Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format.

                                                                                                                                                  Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

                                                                                                                                                  KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.

                                                                                                                                                  Krav til virtuelle vært

                                                                                                                                                  De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

                                                                                                                                                  • Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter

                                                                                                                                                  • VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.


                                                                                                                                                     

                                                                                                                                                    Du skal opgradere, hvis du har en tidligere version af ESXI.

                                                                                                                                                  • Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

                                                                                                                                                  Databaseserverkrav


                                                                                                                                                   

                                                                                                                                                  Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

                                                                                                                                                  Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

                                                                                                                                                  Tabel 2. Databaseserverkrav efter databasetype

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installeret og kører.

                                                                                                                                                  • SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.


                                                                                                                                                     

                                                                                                                                                    SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL-server-JDBC-driver 4.6

                                                                                                                                                  Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

                                                                                                                                                  Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

                                                                                                                                                  Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

                                                                                                                                                  • HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.

                                                                                                                                                  • Den Windows-konto, du leverer til HDS-knudepunkter, skal have læse-/skriveadgang til databasen.

                                                                                                                                                  • De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

                                                                                                                                                    HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

                                                                                                                                                  Krav til ekstern forbindelse

                                                                                                                                                  Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

                                                                                                                                                  Applikation

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Retning fra appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasikkerhedsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester

                                                                                                                                                  HDS-opsætningsværktøj

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål.

                                                                                                                                                  URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

                                                                                                                                                  Område

                                                                                                                                                  URL-adresser for fælles identitet-vært

                                                                                                                                                  Nord-, Mellem- og Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  EU

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxyserverkrav

                                                                                                                                                  • Vi understøtter officielt følgende proxyløsninger, der kan integreres med dine hybrid-datasikkerhedsknuder.

                                                                                                                                                    • Gennemsigtig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplicit proxy – squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:) forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

                                                                                                                                                  • Vi understøtter følgende godkendelsestypekombinationer for eksplicitte proxyer:

                                                                                                                                                    • Ingen godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Grundlæggende godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Digest-godkendelse kun med HTTPS

                                                                                                                                                  • Hvis du vil have en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, skal du have en kopi af proxyens rodcertifikat. Installationsinstruktionerne i denne vejledning fortæller dig, hvordan du uploader kopien til hybriddatasikkerhedsnodernes tillidslager.

                                                                                                                                                  • Netværket, der hoster HDS-knuderne, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

                                                                                                                                                  • Proxyer, der inspicerer webtrafik, kan forstyrre webstikforbindelser. Hvis dette problem opstår, skal du omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com løser problemet.

                                                                                                                                                  Udfyld forudsætningerne for hybriddatasikkerhed

                                                                                                                                                  Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
                                                                                                                                                  1

                                                                                                                                                  Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces.

                                                                                                                                                  2

                                                                                                                                                  Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com) og få en certifikatkæde, der indeholder et X.509 certifikat, privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 certifikatkrav.

                                                                                                                                                  3

                                                                                                                                                  Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter.

                                                                                                                                                  4

                                                                                                                                                  Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

                                                                                                                                                  1. Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)

                                                                                                                                                  2. Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:

                                                                                                                                                    • værtsnavnet eller IP-adressen (vært) og porten

                                                                                                                                                    • databasens navn (dbname) for nøglelagring

                                                                                                                                                    • brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

                                                                                                                                                  5

                                                                                                                                                  For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er.

                                                                                                                                                  6

                                                                                                                                                  Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at data ikke kan gendannes, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.


                                                                                                                                                   

                                                                                                                                                  Fordi hybrid-datasikkerhedsknuderne gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operationel installation medføre, at det UOPRETTELIGT TAB af dette indhold.

                                                                                                                                                  Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsknuderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationens ISO-fil og være klar til at genopbygge datacenteret for hybrid-datasikkerhed, hvis der opstår en katastrofal fejl.

                                                                                                                                                  8

                                                                                                                                                  Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

                                                                                                                                                  Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger.

                                                                                                                                                  For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er beskrevet i kravene til ekstern forbindelse.

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

                                                                                                                                                  11

                                                                                                                                                  Hvis din organisation bruger katalogsynkronisering, skal du oprette en gruppe i Active Directory, der hedder HdsTrialGroup, og tilføj pilotbrugere. Prøvegruppen kan have op til 250 brugere. Fil HdsTrialGroup objektet skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. For at synkronisere et gruppeobjekt skal du vælge det i Directory Connector's Konfiguration > menuen Objektvalg. (Se udrulningsvejledningen til Cisco Directory Connector for detaljerede vejledninger.)


                                                                                                                                                   

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Når du vælger pilotbrugere, skal du være opmærksom på, at hvis du beslutter dig for permanent at deaktivere installationen af hybrid-datasikkerhed, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugere. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagte kopier af indholdet.

                                                                                                                                                  Opsæt en hybrid-datasikkerhedsklynge

                                                                                                                                                  Opgaveflow for installation af hybrid-datasikkerhed

                                                                                                                                                  Før du begynder

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  1

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  Download OVA-filen til din lokale maskine til senere brug.

                                                                                                                                                  2

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  5

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

                                                                                                                                                  7

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

                                                                                                                                                  8

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Fuldfør klyngeopsætningen.

                                                                                                                                                  9

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)

                                                                                                                                                  Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og klik derefter på Tjenester.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

                                                                                                                                                  Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.


                                                                                                                                                   

                                                                                                                                                  Du kan også downloade OVA når som helst fra afsnittet Hjælp på siden Indstillinger . På hybriddatasikkerhedskortet skal du klikke på Rediger indstillinger for at åbne siden. Klik derefter på Download hybrid-datasikkerhedssoftware i afsnittet Hjælp .


                                                                                                                                                   

                                                                                                                                                  Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan resultere i problemer under opgradering af applikationen. Sørg for, at du downloader den seneste version af OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

                                                                                                                                                  OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. Kør Docker på den maskine for at få adgang til den. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel indeholder nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:

                                                                                                                                                    • Legitimationsoplysninger til database

                                                                                                                                                    • Certifikatopdateringer

                                                                                                                                                    • Ændringer i godkendelsespolitikken

                                                                                                                                                  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

                                                                                                                                                  1

                                                                                                                                                  På din maskins kommandolinje skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRamp-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trin renser tidligere HDS-opsætningsværktøjsbilleder. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  Indtast følgende for at logge ind på Docker-billedregistret:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Indtast dette hash i meddelelsen om adgangskode:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download det seneste stabile billede for dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRamp-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                  • I almindelige miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I Fed-RAMP-miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når beholderen kører, ser du "Ekspresserver, der lytter til port 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080, og indtast kundens administratorbrugernavn for Control Hub i prompten.

                                                                                                                                                  Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

                                                                                                                                                  7

                                                                                                                                                  Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed.

                                                                                                                                                  8

                                                                                                                                                  Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

                                                                                                                                                  9

                                                                                                                                                  På siden ISO-import har du disse valgmuligheder:

                                                                                                                                                  • Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
                                                                                                                                                  • Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

                                                                                                                                                  • Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
                                                                                                                                                  11

                                                                                                                                                  Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

                                                                                                                                                  1. Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.

                                                                                                                                                  2. (kun Microsoft SQL-server) Vælg din godkendelsestype:

                                                                                                                                                    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .

                                                                                                                                                    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .

                                                                                                                                                  3. Indtast databaseserveradressen i formularen <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

                                                                                                                                                    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Indtast databasenavnet.

                                                                                                                                                  5. Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Vælg en TLS-databaseforbindelsestilstand:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrækker TLS(standardvalgmulighed)

                                                                                                                                                  HDS-noder kræver ikke, at TLS opretter forbindelse til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

                                                                                                                                                  Kræv TLS

                                                                                                                                                  HDS-knudepunkter opretter kun forbindelse, hvis databaseserveren kan forhandle TLS.

                                                                                                                                                  Kræv TLS, og bekræft certifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne tilstand gælder ikke for SQL-serverdatabaser.

                                                                                                                                                  • HDS-knudepunkter opretter kun forbindelse, hvis databaseserveren kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, mister noden forbindelsen.

                                                                                                                                                  Brug kontrolfunktionen Database rodcertifikat under rullemenuen til at overføre rodcertifikatet til denne valgmulighed.

                                                                                                                                                  Kræv TLS, og bekræft certifikatunderskriver og værtsnavn

                                                                                                                                                  • HDS-knudepunkter opretter kun forbindelse, hvis databaseserveren kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke stemmer overens, mister noden forbindelsen.

                                                                                                                                                  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal matche nøjagtigt, eller knuden dropper forbindelsen.

                                                                                                                                                  Brug kontrolfunktionen Database rodcertifikat under rullemenuen til at overføre rodcertifikatet til denne valgmulighed.

                                                                                                                                                  Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet bekræfter også certifikatunderskriveren og værtsnavnet, hvis det er relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer din Syslogd-server på siden Systemlogfiler:

                                                                                                                                                  1. Indtast URL-adressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

                                                                                                                                                    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse, f.eks. tcp://10.92.43.23:514.

                                                                                                                                                  3. Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP

                                                                                                                                                    • Nul byte -- \x00

                                                                                                                                                    • Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klik på Fortsæt.

                                                                                                                                                  14

                                                                                                                                                  (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

                                                                                                                                                  Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klik på Download ISO-fil. Gem filen på en placering, der er let at finde.

                                                                                                                                                  17

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

                                                                                                                                                  Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  18

                                                                                                                                                  Hvis du vil lukke opsætningsværktøjet, skal du skrive CTRL+C.

                                                                                                                                                  Næste trin

                                                                                                                                                  Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

                                                                                                                                                  2

                                                                                                                                                  Vælg Fil > Installer OVF-skabelon.

                                                                                                                                                  3

                                                                                                                                                  I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke Næste.

                                                                                                                                                  4

                                                                                                                                                  Den Vælg et navn og mappe side, indtast en Navn på den virtuelle maskine for noden (for eksempel "HDS_Node_1") skal du vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste.

                                                                                                                                                  5

                                                                                                                                                  Den Vælg en computerressource side, vælg destinationscomputerressourcen, og klik derefter på Næste.

                                                                                                                                                  Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

                                                                                                                                                  6

                                                                                                                                                  Bekræft skabelonoplysningerne, og klik derefter på Næste.

                                                                                                                                                  7

                                                                                                                                                  Hvis du bliver bedt om at vælge ressourcekonfigurationen på Konfiguration side, klik 4 CPU og klik derefter på Næste.

                                                                                                                                                  8

                                                                                                                                                  Den Vælg hukommelse side, klik Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

                                                                                                                                                  9

                                                                                                                                                  Den Vælg netværk På siden skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

                                                                                                                                                  10

                                                                                                                                                  På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

                                                                                                                                                  • Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

                                                                                                                                                     
                                                                                                                                                    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                    • For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Kapitalisering understøttes ikke på nuværende tidspunkt.

                                                                                                                                                    • Den samlede længde af FQDN må ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse– Angiv IP-adressen for nodens interne grænseflade.

                                                                                                                                                     

                                                                                                                                                    Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  • Maske – indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
                                                                                                                                                  • Gateway – indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
                                                                                                                                                  • DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
                                                                                                                                                  • NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.
                                                                                                                                                  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

                                                                                                                                                  Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  11

                                                                                                                                                  Højreklik på noden VM, og vælg derefter Strøm > tænd.

                                                                                                                                                  Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

                                                                                                                                                  Tips til fejlfinding

                                                                                                                                                  Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  1

                                                                                                                                                  I VM-ware v-shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol .

                                                                                                                                                  VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
                                                                                                                                                  2

                                                                                                                                                  Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne:

                                                                                                                                                  1. Log ind: admin

                                                                                                                                                  2. Adgangskode: cisco

                                                                                                                                                  Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik.

                                                                                                                                                  Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Da ISO-filen har hovednøglen, bør den kun udsættes på et "behov for at vide"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.

                                                                                                                                                  1

                                                                                                                                                  Overfør ISO-filen fra din computer:

                                                                                                                                                  1. Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.

                                                                                                                                                  2. Klik på Gem på listen Hardware under fanen Konfiguration på listen.

                                                                                                                                                  3. Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.

                                                                                                                                                  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

                                                                                                                                                  5. Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

                                                                                                                                                  6. Klik Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.

                                                                                                                                                  4. Kontrollér Tilsluttet og Tilslut ved tænd.

                                                                                                                                                  5. Gem dine ændringer, og genstart den virtuelle maskine.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  Konfigurer HDS-noden til proxyintegration

                                                                                                                                                  Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, du vil integrere med hybrid-datasikkerhed. Hvis du vælger en gennemsigtig inspektionsproxy eller en eksplicit HTTPS-proxy, kan du bruge nodens grænseflade til at overføre og installere rodcertifikatet. Du kan også kontrollere proxyforbindelsen fra grænsefladen og foretage fejlfinding af eventuelle problemer.

                                                                                                                                                  Før du begynder

                                                                                                                                                  1

                                                                                                                                                  Indtast URL-adressen til opsætning af HDS-node https://[HDS Node IP or FQDN]/setup i en webbrowser skal du indtaste de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Trust Store & Proxy, og vælg derefter en valgmulighed:

                                                                                                                                                  • Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikatopdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-datasikkerhed, men HDS-noderne skal have et rodcertifikat, så de har tillid til proxyen. Inspektionsproxer bruges typisk af it til at håndhæve politikker om, hvilke websteder der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
                                                                                                                                                  • Eksplicit proxy – med eksplicit proxy fortæller du klienten (HDS-knuder), hvilken proxyserver du skal bruge, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:
                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad din proxyserver understøtter.

                                                                                                                                                    4. Godkendelsestype – vælg blandt følgende godkendelsestyper:

                                                                                                                                                      • Ingen – Ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger Base64-kodning.

                                                                                                                                                        Tilgængelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash-funktion på brugernavnet og adgangskoden, før den sendes over netværket.

                                                                                                                                                        Kun tilgængelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavnet og adgangskoden.

                                                                                                                                                  Følg de næste trin for en gennemsigtig inspektionsproxy, en HTTP-eksplicit proxy med grundlæggende godkendelse eller en HTTPS-eksplicit proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik på Overfør et rodcertifikat eller et slutenhedscertifikat, og naviger derefter for at vælge rodcertifikatet for proxyen.

                                                                                                                                                  Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte noden for at installere certifikatet. Klik på chevron-pilen efter certifikatudstederens navn for at få flere oplysninger, eller klik på Slet , hvis du har lavet en fejl og vil uploade filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse for at teste netværksforbindelsen mellem noden og proxyen.

                                                                                                                                                  Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan rette problemet.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren. Denne tilstand forventes i mange eksplicitte proxykonfigurationer. Du kan fortsætte med opsætningen, og noden fungerer i tilstanden Blokeret ekstern DNS-opløsning. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

                                                                                                                                                  5

                                                                                                                                                  Når forbindelsestesten er passeret, skal du slå til/fra/til/fra for kun at indstille eksplicit proxy til https for at dirigere alle anmodninger om port 443/444 https fra denne node gennem den eksplicitte proxy. Denne indstilling tager 15 sekunder at træde i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klik på Installer alle certifikater i tillidsbutikken (vises for en eksplicit HTTPS-proxy eller en gennemsigtig inspektionsproxy) eller Genstart (vises for en eksplicit HTTP-proxy), læs prompten, og klik derefter på Installer , hvis du er klar.

                                                                                                                                                  Noden genstarter inden for et par minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden genstarter, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelseskontrollerne for at sikre, at de alle er i grøn status.

                                                                                                                                                  Proxyforbindelseskontrol tester kun et underdomæne på webex.com. Hvis der er forbindelsesproblemer, er et almindeligt problem, at nogle af de cloud-domæner, der er angivet i installationsvejledningen, blokeres på proxyen.

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

                                                                                                                                                  Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Log på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menuen i venstre side af skærmen skal du vælge Tjenester.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt.

                                                                                                                                                  Siden Registrer hybrid-datasikkerhedsknude vises.
                                                                                                                                                  4

                                                                                                                                                  Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.

                                                                                                                                                  5

                                                                                                                                                  I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til.

                                                                                                                                                  Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                  Denne IP-adresse eller FQDN skal matche IP-adressen eller værtsnavnet og det domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik på Gå til node.

                                                                                                                                                  8

                                                                                                                                                  Klik Fortsæt i advarselsmeddelelsen.

                                                                                                                                                  Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
                                                                                                                                                  9

                                                                                                                                                  Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                  Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Hvis du vil tilføje yderligere noder til din klynge, skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

                                                                                                                                                   

                                                                                                                                                  På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  3

                                                                                                                                                  På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer.

                                                                                                                                                    Siden Hybrid-datasikkerhedsressourcer vises.
                                                                                                                                                  3. Klik på Tilføj ressource.

                                                                                                                                                  4. I det første felt skal du vælge navnet på din eksisterende klynge.

                                                                                                                                                  5. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                    Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen.
                                                                                                                                                  6. Klik på Gå til node.

                                                                                                                                                    Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node.
                                                                                                                                                  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  8. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Næste trin

                                                                                                                                                  Kør en prøveversion, og flyt til produktion (næste kapitel)
                                                                                                                                                  Kør en prøveversion, og flyt til produktion

                                                                                                                                                  Prøveversion til produktionsopgaveflow

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkroniser om nødvendigt HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  2

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.

                                                                                                                                                  3

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  4

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  Kontrollér status, og konfigurer e-mailunderretninger for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  6

                                                                                                                                                  Fuldfør prøvefasen med en af følgende handlinger:

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Før du begynder

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge HdsTrialGroup gruppeobjekt til synkronisering til skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Tjenestestatus skal du klikke på Start prøveversion.

                                                                                                                                                  Tjenestestatus ændres til prøvetilstand.
                                                                                                                                                  4

                                                                                                                                                  Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester.

                                                                                                                                                  (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Konfigurer din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  • Aktivér prøveversionen, og tilføj flere prøvebrugere.

                                                                                                                                                  • Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer installationen af hybrid-datasikkerhed, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når klientcachelagte kopier af krypteringsnøglerne er udskiftet.

                                                                                                                                                  2

                                                                                                                                                  Send meddelelser til det nye rum.

                                                                                                                                                  3

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1. Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. For at søge efter en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil kontrollere for en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finde en post som f.eks.:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  En statusindikator i Control Hub viser dig, om alt er godt med installationen af hybrid-datasikkerhed. For mere proaktiv varsling skal du tilmelde dig e-mailunderretninger. Du vil blive underrettet, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger.

                                                                                                                                                  Siden Indstillinger for hybrid-datasikkerhed vises.
                                                                                                                                                  3

                                                                                                                                                  Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.

                                                                                                                                                  4

                                                                                                                                                  Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem.

                                                                                                                                                  Flyt fra prøveversion til produktion

                                                                                                                                                  Når du er overbevist om, at din installation fungerer godt for brugerne af prøveversionen, kan du gå til produktionen. Når du flytter til produktion, vil alle brugere i organisationen bruge dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Du kan ikke gå tilbage til prøvetilstand fra produktion, medmindre du deaktiverer tjenesten som en del af genoprettelse af katastrofer. Hvis du genaktiverer tjenesten, skal du opsætte en ny prøveperiode.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Flyt til produktion i sektionen Status for tjeneste i Flyt til produktion.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil flytte alle dine brugere til produktion.

                                                                                                                                                  Afslut din prøveperiode uden at flytte til produktion

                                                                                                                                                  Hvis du under din prøveperiode beslutter ikke at fortsætte med din hybrid-datasikkerhedsinstallation, kan du deaktivere hybrid-datasikkerhed, som afslutter prøveperioden og flytter prøvebrugerne tilbage til cloud-datasikkerhedstjenesterne. Brugerne af prøveversionen mister adgang til de data, der blev krypteret under prøveperioden.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Deaktiver i sektionen Deaktiver.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

                                                                                                                                                  Administrer din HDS-installation

                                                                                                                                                  Administrer HDS-installation

                                                                                                                                                  Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Indstil tidsplan for klyngeopgradering

                                                                                                                                                  Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan angive en specifik opgraderingsplan eller bruge standardtidsplanen på 3:00 AM Daily USA: Amerika/Los Angeles Du kan også vælge at udsætte en kommende opgradering, hvis det er nødvendigt.

                                                                                                                                                  Sådan indstilles opgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.

                                                                                                                                                  4

                                                                                                                                                  Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.

                                                                                                                                                  5

                                                                                                                                                  På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen.

                                                                                                                                                  Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

                                                                                                                                                  Rediger nodekonfigurationen

                                                                                                                                                  Lejlighedsvis kan det være nødvendigt at ændre konfigurationen af din hybrid-datasikkerhedsnode af en årsag såsom:
                                                                                                                                                  • Ændring af x.509 certifikater på grund af udløb eller andre årsager.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke ændring af et certifikats CN-domænenavn. Domænet skal stemme overens med det oprindelige domæne, der bruges til at registrere klyngen.

                                                                                                                                                  • Opdatering af databaseindstillinger for at ændre til en kopi af PostgreSQL- eller Microsoft SQL-serverdatabasen.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke migrering af data fra PostgreSQL til Microsoft SQL-server eller omvendt. Hvis du vil skifte databasemiljøet, skal du starte en ny installation af hybrid-datasikkerhed.

                                                                                                                                                  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

                                                                                                                                                  Til sikkerhedsformål bruger hybrid datasikkerhed også tjenestekontoadgangskoder, der har en ni måneders levetid. Når værktøjet HDS-opsætning genererer disse adgangskoder, skal du installere dem til hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden til din maskinkonto. (E-mailen indeholder teksten "Brug maskinkontoens API til at opdatere adgangskoden.") Hvis dine adgangskoder ikke er udløbet endnu, giver værktøjet dig to valgmuligheder:

                                                                                                                                                  • Softwaretilpasning – de gamle og nye adgangskoder fungerer begge i op til 10 dage. Brug denne periode til gradvist at udskifte ISO-filen på noderne.

                                                                                                                                                  • Hård nulstilling – de gamle adgangskoder holder op med at fungere med det samme.

                                                                                                                                                  Hvis dine adgangskoder udløber uden en nulstilling, påvirker den din HDS-tjeneste, hvilket kræver en øjeblikkelig hård nulstilling og udskiftning af ISO-filen på alle knuder.

                                                                                                                                                  Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. Kør Docker på den maskine for at få adgang til den. Opsætningsprocessen kræver legitimationsoplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel indeholder nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

                                                                                                                                                  1

                                                                                                                                                  Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

                                                                                                                                                  1. På din maskins kommandolinje skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRamp-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trin renser tidligere HDS-opsætningsværktøjsbilleder. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2. Indtast følgende for at logge ind på Docker-billedregistret:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Indtast dette hash i meddelelsen om adgangskode:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download det seneste stabile billede for dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRamp-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet, der er oprettet før den 22. februar 2018, har ikke skærmbillederne til nulstilling af adgangskode.

                                                                                                                                                  5. Når trækket er fuldført, skal du indtaste den relevante kommando for dit miljø:

                                                                                                                                                    • I almindelige miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I Fed-RAMP-miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når beholderen kører, ser du "Ekspresserver, der lytter til port 8080".

                                                                                                                                                  6. Brug en browser til at oprette forbindelse til den lokale vært, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  7. Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger til Control Hub-kundelogin og derefter klikke på Accepter for at fortsætte.

                                                                                                                                                  8. Importér den aktuelle ISO-konfigurationsfil.

                                                                                                                                                  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

                                                                                                                                                    Hvis du vil lukke opsætningsværktøjet, skal du skrive CTRL+C.

                                                                                                                                                  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun har én HDS-node i gang, opret en ny hybrid-datasikkerhedsnode VM, og registrer den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner.

                                                                                                                                                  1. Installer HDS-hosten OVA.

                                                                                                                                                  2. Opsæt HDS-VM'en.

                                                                                                                                                  3. Tilslut den opdaterede konfigurationsfil.

                                                                                                                                                  4. Registrer den nye node i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-knuder, der kører den ældre konfigurationsfil, skal du montere ISO-filen. Udfør følgende fremgangsmåde på hver node efter tur, og opdater hver node, før den næste node deaktiveres:

                                                                                                                                                  1. Slå den virtuelle maskine fra.

                                                                                                                                                  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  3. Klik på CD/DVD Drive 1, vælg valgmuligheden for at montere fra en ISO-fil, og gå til den placering, hvor du downloadede den nye ISO-konfigurationsfil.

                                                                                                                                                  4. Markér Forbind med tilsluttet strøm.

                                                                                                                                                  5. Gem dine ændringer, og tænd for den virtuelle maskine.

                                                                                                                                                  4

                                                                                                                                                  Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

                                                                                                                                                  Deaktiver blokeret ekstern DNS-opløsningstilstand

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxykonfiguration, tester processen DNS-udseendet og forbindelsen til Cisco Webex-clouden. Hvis nodens DNS-server ikke kan løse offentlige DNS-navne, går noden automatisk i tilstanden Blokeret ekstern DNS-opløsning.

                                                                                                                                                  Hvis dine noder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du deaktivere denne tilstand ved at genåbne proxyforbindelsestesten på hver node.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine noder kan kommunikere med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversigt (standardsiden).

                                                                                                                                                  Når den er aktiveret, indstilles blokeret ekstern DNS-opløsning til Ja.

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Trust Store & Proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontrollér proxyforbindelse.

                                                                                                                                                  Hvis du ser en meddelelse, der siger, at ekstern DNS-opløsning ikke lykkedes, kunne noden ikke nå DNS-serveren og vil forblive i denne tilstand. Ellers, når du genstarter noden og går tilbage til siden Oversigt , skal blokeret ekstern DNS-opløsning indstilles til nej.

                                                                                                                                                  Næste trin

                                                                                                                                                  Gentag proxyforbindelsestesten på hver knude i din hybrid-datasikkerhedsklynge.

                                                                                                                                                  Fjern en node

                                                                                                                                                  Brug denne procedure til at fjerne en hybrid-datasikkerhedsknude fra Webex-skyen. Når du har fjernet noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2. På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.

                                                                                                                                                  3. Vælg din klynge for at vise dens oversigtspanel.

                                                                                                                                                  4. Klik på listen Åbn knudepunkter.

                                                                                                                                                  5. På fanen Knuder skal du vælge den knude, du vil fjerne.

                                                                                                                                                  6. Klik Handlinger > Fjern registreringsnode.

                                                                                                                                                  3

                                                                                                                                                  I v-sfære-klienten skal du slette VM. (Højreklik på VM i venstre navigationsrude, og klik på Slet.)

                                                                                                                                                  Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

                                                                                                                                                  Genoprettelse af katastrofer ved hjælp af standby-datacenter

                                                                                                                                                  Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

                                                                                                                                                  Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

                                                                                                                                                  Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne passiveMode konfiguration for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  I VM-ware v Shere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis det primære datacenter bliver aktivt igen, skal du placere standbydatacenteret i passiv tilstand igen ved at følge de trin, der er beskrevet i Opsætning af standbydatacenter til genoprettelse af katastrofer.

                                                                                                                                                  (Valgfri) Fjern ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.

                                                                                                                                                  Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

                                                                                                                                                  1

                                                                                                                                                  Luk en af dine HDS-knudepunkter ned.

                                                                                                                                                  2

                                                                                                                                                  Vælg HDS-noden i vCenter-serverapparatet.

                                                                                                                                                  3

                                                                                                                                                  Vælg Rediger indstillinger > CD/DVD-drev , og fjern markering af datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gentag for hver HDS-node efter tur.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Vis varsler og fejlfinding

                                                                                                                                                  En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

                                                                                                                                                  • Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)

                                                                                                                                                  • Meddelelser og rumtitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brugere føjet til et rum (kan ikke hente nøgler)

                                                                                                                                                    • Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)

                                                                                                                                                  • Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

                                                                                                                                                  Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.

                                                                                                                                                  Tabel 1. Almindelige problemer og trinnene til at løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Adgang til lokal database mislykkedes.

                                                                                                                                                  Kontrollér for databasefejl eller lokale netværksproblemer.

                                                                                                                                                  Lokal databaseforbindelse mislykkedes.

                                                                                                                                                  Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.

                                                                                                                                                  Adgang til cloud-tjeneste mislykkedes.

                                                                                                                                                  Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.

                                                                                                                                                  Fornyelse af registrering af cloud-tjeneste.

                                                                                                                                                  Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.

                                                                                                                                                  Tilmelding til cloudtjeneste blev droppet.

                                                                                                                                                  Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.

                                                                                                                                                  Tjeneste endnu ikke aktiveret.

                                                                                                                                                  Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.

                                                                                                                                                  Det konfigurerede domæne matcher ikke servercertifikatet.

                                                                                                                                                  Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

                                                                                                                                                  Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.

                                                                                                                                                  Kunne ikke godkendes til cloudtjenester.

                                                                                                                                                  Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.

                                                                                                                                                  Kunne ikke åbne lokal tastaturfil.

                                                                                                                                                  Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.

                                                                                                                                                  Lokalt servercertifikat er ugyldigt.

                                                                                                                                                  Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.

                                                                                                                                                  Kan ikke postere målinger.

                                                                                                                                                  Kontrollér lokal netværksadgang til eksterne cloud-tjenester.

                                                                                                                                                  /media/configdrive/hds-telefonbogen findes ikke.

                                                                                                                                                  Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.
                                                                                                                                                  1

                                                                                                                                                  Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.

                                                                                                                                                  2

                                                                                                                                                  Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-support.

                                                                                                                                                  Andre noter

                                                                                                                                                  Kendte problemer med hybrid-datasikkerhed

                                                                                                                                                  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

                                                                                                                                                  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

                                                                                                                                                    Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

                                                                                                                                                  Brug åbenSSL til at generere en PKCS12-fil

                                                                                                                                                  Før du begynder

                                                                                                                                                  • OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.

                                                                                                                                                  • Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.

                                                                                                                                                  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.

                                                                                                                                                  • Opret en privat nøgle.

                                                                                                                                                  • Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

                                                                                                                                                  1

                                                                                                                                                  Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis certifikatet som tekst, og bekræft detaljerne.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Opret .p12-filen med det venlige navn kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollér servercertifikatoplysningerne.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjerne friendlyName: kms-private-key.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Næste trin

                                                                                                                                                  Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge hdsnode.p12 fil og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

                                                                                                                                                  Trafik mellem HDS-knudepunkterne og skyen

                                                                                                                                                  Indsamlingstrafik for udgående målinger

                                                                                                                                                  Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).

                                                                                                                                                  Indgående trafik

                                                                                                                                                  Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

                                                                                                                                                  • Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten

                                                                                                                                                  • Opgraderinger til nodesoftwaren

                                                                                                                                                  Konfigurer Squid-proxyer til hybrid-datasikkerhed

                                                                                                                                                  Websocket kan ikke oprette forbindelse via squid-proxy

                                                                                                                                                  Squid proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket ( wss:) forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af Squid til at ignorere wss: trafik med henblik på korrekt drift af tjenesterne.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Tilføj on_unsupported_protocol direktiv til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi testede hybrid-datasikkerhed med følgende regler tilføjet til squid.conf. Disse regler kan ændres, efterhånden som vi udvikler funktioner og opdaterer Webex-skyen.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Forbillede

                                                                                                                                                  Nye og ændrede oplysninger

                                                                                                                                                  Dato

                                                                                                                                                  Ændringer foretaget

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  07. august 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  Den 06. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker-desktop.

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Bemærk, at du kan genbruge den private nøglefil og CSR til at anmode om et andet certifikat. Se Brug åben SSL til at generere en PKCS12-fil.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Ændrede VM-kravet for lokalt harddiskplads til 30 GB. Se Krav til virtuel vært for at få flere oplysninger.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfigurations-ISO for HDS-værter for at få flere oplysninger.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nu køre uden en monteret ISO-fil. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Opdaterede installationsfiler til download.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med kommandoer til Fed RAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter og rediger nodekonfigurationen med ændringer i loginprocessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Opdateret test din hybrid-datasikkerhedsinstallation for ændringer i logmeddelelser.

                                                                                                                                                  Opdaterede krav til virtuelle værter for at fjerne det maksimale antal værter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, du kan angive.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL-serverdatabaser, brugergrænsefladeændringer og andre præciseringer.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Opdaterede krav til virtuelle værter for at vise nyt krav til ESX i 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med nye Americas CI-værter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Opdaterede eksterne forbindelseskrav med oplysninger om regionale CI-værter.

                                                                                                                                                  20. februar 2020Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om den nye valgfri skærm Avancerede indstillinger i HDS-opsætningsværktøjet.
                                                                                                                                                  4. februar 2020Opdaterede proxyserverkrav.
                                                                                                                                                  16. december 2019Klargjorde kravet om, at blokeret ekstern DNS-opløsningstilstand skal fungere i proxyserverkrav.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Tilføjet oplysninger om blokeret ekstern DNS-opløsningstilstand i følgende afsnit:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nu konfigurere netværksindstillinger for en node, mens du installerer OVA i stedet for bagefter.

                                                                                                                                                  Følgende afsnit blev opdateret i overensstemmelse hermed:


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Tilføjede SQL-serverstandard til databaseserverkrav.

                                                                                                                                                  29. august 2019Tilføjet Konfigurer squid-proxyer til hybriddatasikkerhed med vejledning i konfiguration af squid-proxyer til at ignorere websocket-trafik for at få korrekt drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybrid-datasikkerhedsnodekommunikation til Webex-clouden.

                                                                                                                                                  Hvis du vil få adgang til proxysupportindholdet for en eksisterende installation, kan du se artiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh.

                                                                                                                                                  13. juni 2019Opdateret prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere Hds prøvegruppeobjektet, før du starter en prøveversion, hvis din organisation bruger adressebogssynkronisering.
                                                                                                                                                  6. marts 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Rettede mængden af lokal harddiskplads pr. server, som du skal lægge til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedsknuderne, fra 50-GB til 20-GB, for at afspejle størrelsen på disken, som OVA opretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med Postgre SQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med vejledninger.

                                                                                                                                                  • Fjernede destinations-URL-adresser fra tabellen "Internet Connectivity Requirements for hybrid Data Security Node VM'er". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams-hybrid-tjenester" over netværkskrav til Webex Teams-tjenester.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid-datasikkerhed understøtter nu Microsoft SQL-server som en database. SQL-server altid tændt (Altid på failover-klynger og Altid på tilgængelighedsgrupper) understøttes af de JDBC-drivere, der bruges i hybrid-datasikkerhed. Tilføjet indhold relateret til installation med SQL-server.


                                                                                                                                                     

                                                                                                                                                    Understøttelse af Microsoft SQL Server er kun beregnet til nye installationer af Hybriddatasikkerhed. Vi understøtter i øjeblikket ikke migrering af data fra PostgreSQL til Microsoft SQL Server i en eksisterende installation.

                                                                                                                                                  Den 5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Ændret terminologi for at afspejle genbranding af Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.

                                                                                                                                                  • Cisco Spark-appen er nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton-clouden er nu Webex-clouden.

                                                                                                                                                  Den 11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I tabellen X.509-certifikatkrav angives, at certifikatet ikke kan være et jokerkortcertifikat, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  Den 2. november 2017

                                                                                                                                                  • Klargjort adressebogssynkronisering af HdsTrialGroup.

                                                                                                                                                  • Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering til VM-noderne.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Udgivet første gang

                                                                                                                                                  Kom i gang med hybriddatasikkerhed

                                                                                                                                                  Oversigt over hybriddatasikkerhed

                                                                                                                                                  Fra dag et har datasikkerhed været det primære fokus i udformningen af Webex-appen. Hjørnestenen i denne sikkerhed er slutpunkt-til-slutpunkt-kryptering af indhold, aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

                                                                                                                                                  Som standard får alle Webex-appkunder slutpunkt-til-slutpunkt-kryptering med dynamiske nøgler, der er gemt i cloud-KMS i Ciscos sikkerhedsområde. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.

                                                                                                                                                  Sikkerhedsrådets arkitektur

                                                                                                                                                  Webex-cloudarkitekturen adskiller forskellige typer af tjenester i separate domæner eller tilliddomæner, som vist nedenfor.

                                                                                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)

                                                                                                                                                  For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-domæner. Identitetstjenesten, der er det eneste sted, hvor brugere kan korreleres direkte med deres personlige oplysninger som f.eks. e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er igen adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

                                                                                                                                                  I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og den er godkendt med identitetstjenesten. Når brugeren sammensætter en meddelelse, der skal sendes til et rum, sker følgende trin:

                                                                                                                                                  1. Klienten opretter en sikker forbindelse til nøgleadministrationstjenesten (KMS) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

                                                                                                                                                  2. Meddelelsen er krypteret, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe i fremtidige søgninger efter indholdet.

                                                                                                                                                  3. Den krypterede meddelelse sendes til overholdelsestjenesten for kontrol af overholdelse.

                                                                                                                                                  4. Den krypterede meddelelse gemmes i hukommelsesdomænet.

                                                                                                                                                  Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsdomænefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitet og indholdslagring), forbliver i Ciscos domæne.

                                                                                                                                                  Samarbejde med andre organisationer

                                                                                                                                                  Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi den blev oprettet af en af dine brugere), sender din KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, dirigerer din KMS anmodningen ud til Webex-skyen via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

                                                                                                                                                  KMS-tjenesten, der kører på Org A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for at få oplysninger om generering af et x.509-certifikat, der skal bruges sammen med din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Forventninger til installation af hybrid-datasikkerhed

                                                                                                                                                  En hybrid-datasikkerhedsinstallation kræver et betydeligt kundeengagement og en bevidsthed om de risici, der er forbundet med at eje krypteringsnøgler.

                                                                                                                                                  For at installere hybrid-datasikkerhed skal du angive:

                                                                                                                                                  Fuldstændigt tab af enten den konfiguration ISO, som du opretter til hybrid-datasikkerhed, eller den database, du angiver, vil resultere i tab af nøglerne. Tastetab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du opbygge en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

                                                                                                                                                  • Administrer sikkerhedskopiering og gendannelse af databasen og ISO-konfigurationen.

                                                                                                                                                  • Vær forberedt på at udføre hurtig genopretning af katastrofer, hvis der opstår en katastrofe, f.eks. fejl i databasedisken eller en datacenterkatastrofe.


                                                                                                                                                   

                                                                                                                                                  Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

                                                                                                                                                  Opsætningsproces på højt niveau

                                                                                                                                                  Dette dokument dækker opsætning og administration af en hybrid-datasikkerhedsinstallation:

                                                                                                                                                  • Konfigurer hybrid-datasikkerhed – dette omfatter forberedelse af den påkrævede infrastruktur og installation af hybrid-datasikkerhedssoftware, test din installation med et undersæt brugere i prøvetilstand, og når din test er fuldført, flytning til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

                                                                                                                                                    Opsætnings-, prøvnings- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.

                                                                                                                                                  • Vedligehold din hybrid-datasikkerhedsinstallation – Webex-clouden leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde førstehåndsunderstøttelse til denne installation og engagere Cisco-support efter behov. Du kan bruge skærmbeskeder og konfigurere e-mailbaserede beskeder i Control Hub.

                                                                                                                                                  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du har problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og tillægget Kendte problemer hjælpe dig med at identificere og løse problemet.

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  I dit virksomheds datacenter installerer du hybrid-datasikkerhed som en enkelt klynge af knudepunkter på separate virtuelle værter. Noderne kommunikerer med Webex-clouden via sikre websockets og sikker HTTP.

                                                                                                                                                  Under installationsprocessen giver vi dig OVA-filen til at konfigurere det virtuelle apparat på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil for klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din leverede Syslogd-server og PostgreSQL- eller Microsoft SQL-server-database. (Du konfigurerer Syslogd- og databaseforbindelsesoplysningerne i HDS-opsætningsværktøjet).

                                                                                                                                                  Hybrid-datasikkerhedsmodel

                                                                                                                                                  Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre, og du kan have op til fem. At have flere knuder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex-clouden opgraderer kun én knude ad gangen.)

                                                                                                                                                  Alle noder i en klynge får adgang til den samme nøgledatabutik og logaktivitet til den samme syslog-server. Knudepunkterne selv er statsløse og håndterer nøgleanmodninger i round-robin mode, som instrueret af skyen.

                                                                                                                                                  Knuder bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel node ud af drift, kan du afregistrere den og senere registrere den igen, hvis det er nødvendigt.

                                                                                                                                                  Vi understøtter kun en enkelt klynge pr. organisation.

                                                                                                                                                  Prøvetilstand for hybrid-datasikkerhed

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsinstallation, skal du først prøve den med et sæt pilotbrugere. I løbet af prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsområdet.

                                                                                                                                                  Hvis du beslutter dig for ikke at fortsætte installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugere og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.

                                                                                                                                                  Hvis du er tilfreds med, at din installation fungerer godt for prøvebrugerne, og du er klar til at udvide hybrid-datasikkerhed til alle dine brugere, flytter du installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke bevæge frem og tilbage mellem produktionstilstanden og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. for at udføre genoprettelse af katastrofer, skal du, når du genaktiverer, starte en ny prøveversion og konfigurere sættet af pilotbrugere for den nye prøveperiode, før du går tilbage til produktionstilstand. Om brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopier af nøgledatalagringen og ISO-konfigurationsfilen for hybrid-datasikkerhedsknuderne i din klynge.

                                                                                                                                                  Standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Under installationen opsætter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standbydatacenteret.

                                                                                                                                                  Før failover har Data Center A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL-server-database, mens B har en kopi af ISO-filen med yderligere konfigurationer, VM'er, der er registreret i organisationen, og en standby-database. Efter failover har Data Center B aktive HDS-noder og den primære database, mens A har ikke-registrerede VM'er og en kopi af ISO-filen, og databasen er i standbytilstand.
                                                                                                                                                  Manuel failover til standbydatacenter

                                                                                                                                                  De aktive databaser og standbydatacentre er i synkronisering med hinanden, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standbydatacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver knuderne i standbydatacenteret altid opdaterede med den seneste version af HDS-software.


                                                                                                                                                   

                                                                                                                                                  De aktive hybrid-datasikkerhedsnoder skal altid være i det samme datacenter som den aktive databaseserver.

                                                                                                                                                  Opsætning af standby-datacenter til genoprettelse af katastrofer

                                                                                                                                                  Følg trinene nedenfor for at konfigurere ISO-filen for standbydatacenteret:

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Standby-datacenteret skal afspejle produktionsmiljøet for VM'er og en sikkerhedskopieret Postgre-SQL- eller Microsoft SQL Server-database. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er. (Se Standby Data Center for genoprettelse af katastrofer for at få en oversigt over denne failover-model.)

                                                                                                                                                  • Sørg for, at databasesynkronisering er aktiveret mellem databasen for aktive og passive klyngeknuder.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvor følgende konfigurationsopdateringer skal foretages.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og tilsluttes cloud, men den håndterer ikke nogen trafik.

                                                                                                                                                   passivtilstand: ''Sandt'' 

                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  Højreklik på VM-ware v Shere-klientens venstre navigationsrude, og klik på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér sysloggene for at bekræfte, at noderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

                                                                                                                                                  Næste trin

                                                                                                                                                  Når du har konfigureret passiv tilstand i ISO-filen og gemt den, kan du oprette en anden kopi af ISO-filen uden konfigurationen af passiv tilstand og gemme den på en sikker placering. Denne kopi af ISO-filen uden konfigureret passiv tilstand kan hjælpe med en hurtig failover-proces under gendannelse af katastrofer. Se Genoprettelse af katastrofer ved hjælp af standby-datacenter for den detaljerede failover-procedure.

                                                                                                                                                  Proxy-support

                                                                                                                                                  Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.

                                                                                                                                                  Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:

                                                                                                                                                  • Ingen proxy – standarden, hvis du ikke bruger konfigurationen af HDS-nodeopsætning Trust Store og Proxy til at integrere en proxy. Ingen certifikat opdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – noderne er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er-inspektion. Ingen certifikat opdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig tunneling eller inspektion af proxy – knuderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

                                                                                                                                                  • Eksplicit proxy – Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesplan der skal bruges. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

                                                                                                                                                    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

                                                                                                                                                      • HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.

                                                                                                                                                      • HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.

                                                                                                                                                    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

                                                                                                                                                      • Ingen – Ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

                                                                                                                                                        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

                                                                                                                                                        Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.

                                                                                                                                                        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

                                                                                                                                                  Eksempel på hybrid-data sikkerheds knuder og proxy

                                                                                                                                                  Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.

                                                                                                                                                  Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)

                                                                                                                                                  Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  Krav til hybrid-datasikkerhed

                                                                                                                                                  Krav til Docker-desktop

                                                                                                                                                  Før du installerer dine HDS-knuder, skal du bruge Docker Desktop for at køre et opsætningsprogram. Docker opdaterede for nylig deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".

                                                                                                                                                  X.509 certifikatkrav

                                                                                                                                                  Certifikatkæden skal opfylde følgende krav:

                                                                                                                                                  Tabel 1. X.509 certifikatkrav til hybrid-datasikkerhedsinstallation

                                                                                                                                                  Krav

                                                                                                                                                  Oplysninger

                                                                                                                                                  • Underskrevet af en betroet certifikatmyndighed (CA)

                                                                                                                                                  Som standard stoler vi på CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har et CN-domænenavn, der identificerer din hybrid-datasikkerhedsinstallation

                                                                                                                                                  • Er ikke et jokerkortcertifikat

                                                                                                                                                  CN behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

                                                                                                                                                  KN må ikke indeholde et * (jokertegn).

                                                                                                                                                  CN bruges til at bekræfte hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle hybrid-datasikkerhedsknuderne i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  Når du har registreret en knude med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsinstallationerne.

                                                                                                                                                  • Ikke-SHA1-signatur

                                                                                                                                                  KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

                                                                                                                                                  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

                                                                                                                                                  • Brug det venlige navn på kms-private-nøgle til at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal overføres.

                                                                                                                                                  Du kan bruge en konverter som f.eks. Open SSL til at ændre dit certifikats format.

                                                                                                                                                  Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

                                                                                                                                                  KMS-softwaren håndhæver ikke nøglebrug eller udvidede nøglebrugsbegrænsninger. Nogle certifikatmyndigheder kræver, at udvidede begrænsninger for nøglebrug anvendes på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge serverbekræftelsen eller andre indstillinger.

                                                                                                                                                  Krav til virtuelle værter

                                                                                                                                                  De virtuelle værter, som du vil konfigurere som hybrid-datasikkerhedsknuder i din klynge, har følgende krav:

                                                                                                                                                  • Mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter

                                                                                                                                                  • VM-ware ESXI 6.5 (ELLER NYERE) INSTALLERET OG KØRER.


                                                                                                                                                     

                                                                                                                                                    Du skal opgradere, hvis du har en tidligere version af ESXI.

                                                                                                                                                  • Minimum 4 v CPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

                                                                                                                                                  Databaseserverkrav


                                                                                                                                                   

                                                                                                                                                  Opret en ny database for nøglehukommelse. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

                                                                                                                                                  Der er to valgmuligheder for databaseserver. Kravene for hver enkelt er som følger:

                                                                                                                                                  Tabel 2. Databaseserverkrav efter databasetype

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installeret og kører.

                                                                                                                                                  • SQL-server 2016, 2017 eller 2019 (virksomhed eller standard) installeret.


                                                                                                                                                     

                                                                                                                                                    SQL-server 2016 kræver servicepakke 2 og kumulativ opdatering 2 eller senere.

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  Minimum 8 v CPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2-TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

                                                                                                                                                  PostmesterSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL-server-JDBC-driver 4.6

                                                                                                                                                  Denne driverversion understøtter SQL Server Always On (Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

                                                                                                                                                  Yderligere krav til Windows-godkendelse mod Microsoft SQL-server

                                                                                                                                                  Hvis du ønsker, at HDS-knuder skal bruge Windows-godkendelse til at få adgang til din nøglestore-database på Microsoft SQL-server, skal du bruge følgende konfiguration i dit miljø:

                                                                                                                                                  • HDS-knudepunkterne, Active Directory-infrastrukturen og MS SQL-serveren skal alle synkroniseres med NTP.

                                                                                                                                                  • Den Windows-konto, du leverer til HDS-noder, skal have læse-/skriveadgang til databasen.

                                                                                                                                                  • De DNS-servere, du leverer til HDS-knuder, skal være i stand til at løse dit Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrere forekomsten af HDS-databasen på din Microsoft SQL-server som et Service Principal Name (SPN) på din Active Directory. Se Tilmeld et tjenestehovednavn for Kerberos-forbindelser.

                                                                                                                                                    HDS-opsætningsværktøjet, HDS-starter og lokale KMS skal alle bruge Windows-godkendelse til at få adgang til nøglebutikken-databasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når de anmoder om adgang med Kerberos-godkendelse.

                                                                                                                                                  Krav til ekstern forbindelse

                                                                                                                                                  Konfigurer din firewall til at tillade følgende forbindelse til HDS-applikationerne:

                                                                                                                                                  Applikation

                                                                                                                                                  Protocol

                                                                                                                                                  Port

                                                                                                                                                  Retning fra appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasikkerhedsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • Andre URL-adresser, der er angivet for hybriddatasikkerhed i tabellen Yderligere URL-adresser for Webex-hybrid-tjenester over netværkskrav til Webex-tjenester

                                                                                                                                                  HDS-opsætningsværktøj

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle fælles identitetsværter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid-datasikkerhedsnoderne fungerer med netværksadgangsoverførsel (NAT) eller bag en firewall, så længe NAT eller firewall tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind i hybrid-datasikkerhedsnoderne, bør ingen porte være synlige fra internettet. I dit datacenter har klienter brug for adgang til hybrid-datasikkerhedsnoderne på TCP-porte 443 og 22 til administrative formål.

                                                                                                                                                  URL-adresser for Common Identity (CI)-værter er regionsspecifikke. Disse er de aktuelle CI-værter:

                                                                                                                                                  Område

                                                                                                                                                  URL-adresser for fælles identitet-vært

                                                                                                                                                  Nord-, Mellem- og Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  EU

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxy server krav

                                                                                                                                                  • Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.

                                                                                                                                                    • Gennemsigtig proxy – Cisco web Security-Appliance (WSA).

                                                                                                                                                    • Eksplicit proxy-squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:)-forbindelser. Du kan arbejde omkring dette problem under Konfigurer squid-proxyer til hybriddatasikkerhed.

                                                                                                                                                  • Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:

                                                                                                                                                    • Ingen godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Grundlæggende godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Samlet godkendelse kun med HTTPS

                                                                                                                                                  • For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.

                                                                                                                                                  • Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

                                                                                                                                                  • Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil tilsidesættelse af trafik til wbx2.com og ciscospark.com løse problemet.

                                                                                                                                                  Udfyld forudsætningerne for hybriddatasikkerhed

                                                                                                                                                  Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
                                                                                                                                                  1

                                                                                                                                                  Sørg for, at din Webex-organisation er aktiveret for Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces.

                                                                                                                                                  2

                                                                                                                                                  Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com), og få en certifikatkæde, der indeholder et X.509-certifikat, privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 certifikatkrav.

                                                                                                                                                  3

                                                                                                                                                  Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedsknuder i din klynge. Du skal bruge mindst to separate værter (3 anbefalede) placeret i det samme sikre datacenter, som opfylder kravene i krav til virtuelle værter.

                                                                                                                                                  4

                                                                                                                                                  Forbered databaseserveren, der fungerer som nøgledatalagring for klyngen i henhold til databaseserverkravene. Databaseserveren skal placeres i det sikre datacenter med de virtuelle værter.

                                                                                                                                                  1. Opret en database for nøglehukommelse. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.)

                                                                                                                                                  2. Indsaml de oplysninger, som noderne vil bruge til at kommunikere med databaseserveren:

                                                                                                                                                    • værtsnavnet eller IP-adressen (vært) og porten

                                                                                                                                                    • databasens navn (dbname) for nøglelagring

                                                                                                                                                    • brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen

                                                                                                                                                  5

                                                                                                                                                  For hurtig genoprettelse af katastrofer skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Det sikkerhedskopierede miljø afspejler produktionsmiljøet for VM'er og en sikkerhedskopidatabase server. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopimiljøet have 3 VM'er.

                                                                                                                                                  6

                                                                                                                                                  Opsæt en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedsnoder, databaseserveren og syslog-værten. For at forhindre, at data ikke kan gendannes, skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til hybrid-datasikkerhedsnoderne.


                                                                                                                                                   

                                                                                                                                                  Da hybrid-datasikkerhedsknuderne gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operationel installation medføre, at det UOPRETTELIGT TAB af dette indhold.

                                                                                                                                                  Webex-appklienter cacher deres nøgler, så en fejl kan muligvis ikke mærkes med det samme, men vil vise sig med tiden. Mens midlertidige afbrydelser er umuligt at forhindre, kan de genoprettes. Dog vil fuldstændigt tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller ISO-konfigurationsfilen resultere i ikke-genoprettelige kundedata. Operatørerne af hybrid-datasikkerhedsnoderne forventes at opretholde hyppige sikkerhedskopier af databasen og konfigurationsfilen og være klar til at genopbygge hybrid-datasikkerhedscentret, hvis der opstår en katastrofal fejl.

                                                                                                                                                  8

                                                                                                                                                  Sørg for, at din firewallkonfiguration tillader forbindelse til dine hybrid-datasikkerhedsknuder som beskrevet i Eksterne forbindelseskrav.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

                                                                                                                                                  Du bruger Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opbygger de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedsnoderne. Din organisation skal muligvis have en Docker Desktop-licens. Se Krav til Docker Desktop for at få flere oplysninger.

                                                                                                                                                  For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have den forbindelse, der er angivet i kravene til ekstern forbindelse.

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder proxyserverkravene.

                                                                                                                                                  11

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering, skal du oprette en gruppe i Active Directory, der kaldesHds Trial Group, og tilføje pilotbrugere. Forsøgsgruppen kan have op til 250 brugere. Objektet Hds-prøvegruppe skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. For at synkronisere et gruppeobjekt skal du vælge det i menuen Directory Connector Konfiguration > Objektvalg . (Se udrulningsvejledningen til Cisco Directory Connector for detaljerede instruktioner.)


                                                                                                                                                   

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Når du vælger pilotbrugere, skal du være opmærksom på, at hvis du beslutter dig for permanent at deaktivere installationen af hybrid-datasikkerhed, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugere. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagte kopier af indholdet.

                                                                                                                                                  Opsæt en hybrid-datasikkerhedsklynge

                                                                                                                                                  Opgaveflow for installation af hybrid-datasikkerhed

                                                                                                                                                  Før du begynder

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  1

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  Download OVA-filen til din lokale maskine til senere brug.

                                                                                                                                                  2

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedsnoderne.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Log ind på VM-konsollen, og indstil legitimationsoplysningerne for login. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  5

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Konfigurer VM fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer HDS-knudepunkt for proxy integration

                                                                                                                                                  Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og tilføje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

                                                                                                                                                  7

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Registrer VM med Cisco Webex-clouden som en hybrid-datasikkerhedsnode.

                                                                                                                                                  8

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Fuldfør klyngeopsætningen.

                                                                                                                                                  9

                                                                                                                                                  Kør en prøveversion og flyt til produktion (næste kapitel)

                                                                                                                                                  Indtil du starter en prøveperiode, genererer dine noder en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Download installationsfiler

                                                                                                                                                  I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du konfigurerer som hybrid-datasikkerhedsnoder). Du bruger denne fil senere i installationsprocessen.
                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og klik derefter på Tjenester.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet, og derefter klikke på Opsæt.

                                                                                                                                                  Hvis kortet er deaktiveret, eller du ikke kan se det, skal du kontakte dit kontoteam eller din partnerorganisation. Giv dem dit kontonummer, og bed om at aktivere din organisation for hybriddatasikkerhed. For at finde kontonummeret skal du klikke på tandhjulet øverst til højre ved siden af din organisations navn.


                                                                                                                                                   

                                                                                                                                                  Du kan også downloade OVA når som helst fra afsnittet Hjælp på siden Indstillinger . På hybriddatasikkerhedskortet skal du klikke på Rediger indstillinger for at åbne siden. Klik derefter på Download hybrid-datasikkerhedssoftware i afsnittet Hjælp .


                                                                                                                                                   

                                                                                                                                                  Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan resultere i problemer under opgradering af applikationen. Sørg for, at du downloader den seneste version af OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Vælg Nej for at angive, at du ikke har konfigureret noden endnu, og klik derefter på Næste.

                                                                                                                                                  OVA-filen begynder automatisk at downloade. Gem filen på en placering på din maskine.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åbn installationsvejledning for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

                                                                                                                                                  Opret en konfigurations-ISO for HDS-værter

                                                                                                                                                  Processen til opsætning af hybrid-datasikkerhed opretter en ISO-fil. Du bruger derefter ISO til at konfigurere din hybrid-datasikkerhedsvært.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver brugeroplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i trin 5. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurationsfilen, som du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL-serverdatabasen. Du skal have den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks.:

                                                                                                                                                    • Legitimationsoplysninger til database

                                                                                                                                                    • Certifikatopdateringer

                                                                                                                                                    • Ændringer i godkendelsespolitikken

                                                                                                                                                  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din Postgre-SQL- eller SQL-serverinstallation til TLS.

                                                                                                                                                  1

                                                                                                                                                  Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-opsætning:stabil

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-opsætning-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

                                                                                                                                                  docker-login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  I adgangskodeanmodningen skal du indtaste denne hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6RO kvKUI o
                                                                                                                                                  4

                                                                                                                                                  Download det seneste stabilt billede til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker træk ciscocitg/hds-opsætning:stabil

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker træk ciscocitg/hds-opsætning-fedramp:stabil
                                                                                                                                                  5

                                                                                                                                                  Når træk er fuldført, indtast den relevante kommando for dit miljø:

                                                                                                                                                  • I almindelige miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-opsætning:stabil
                                                                                                                                                  • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT__HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTPS-proxy:

                                                                                                                                                    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT__HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    Docker run -p 8080:8080 --rm -it -e GLOBAL AGENT__HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når beholderen kører, ser du "Express-serveren lytter på port 8080."

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  Brug en webbrowser til at gå til den lokale vært, http://127.0.0.1:8080og indtaste kundens administratorbrugernavn for Control Hub i prompten.

                                                                                                                                                  Værktøjet bruger denne første indtastning af brugernavnet til at indstille det rigtige miljø for den pågældende konto. Værktøjet viser derefter standardmeddelelsen til login.

                                                                                                                                                  7

                                                                                                                                                  Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger for at logge ind på Control Hub-kundeadministratoren og derefter klikke på Log ind for at tillade adgang til de nødvendige tjenester til hybrid-datasikkerhed.

                                                                                                                                                  8

                                                                                                                                                  Klik på Kom i gang på siden med oversigt over opsætningsværktøj på Opsætning.

                                                                                                                                                  9

                                                                                                                                                  På siden ISO-import har du disse valgmuligheder:

                                                                                                                                                  • Nej – hvis du opretter din første HDS-node, har du ikke en ISO-fil at overføre.
                                                                                                                                                  • Ja – hvis du allerede har oprettet HDS-knuder, vælger du din ISO-fil i søgningen og overfører den.
                                                                                                                                                  10

                                                                                                                                                  Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkravene.

                                                                                                                                                  • Hvis du aldrig har uploadet et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er i orden, skal du klikke på Fortsæt.
                                                                                                                                                  • Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
                                                                                                                                                  11

                                                                                                                                                  Indtast databaseadressen og -kontoen for HDS for at få adgang til din nøgledatabutik:

                                                                                                                                                  1. Vælg din databasetype (Postgre SQL eller Microsoft SQL Server).

                                                                                                                                                    Hvis du vælger Microsoft SQL-server, får du et felt til godkendelsestype.

                                                                                                                                                  2. (kun Microsoft SQL-server ) Vælg din godkendelsestype:

                                                                                                                                                    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL-serverkontonavn i feltet Brugernavn .

                                                                                                                                                    • Windows-godkendelse: Du skal have en Windows-konto i formatet username@DOMÆNE i feltet Brugernavn .

                                                                                                                                                  3. Indtast databaseserveradressen i formatet : eller :.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at løse værtsnavnet.

                                                                                                                                                    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Indtast databasenavnet.

                                                                                                                                                  5. Indtast brugernavn og adgangskode for en bruger med alle privilegier i nøglehukommelsesdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Vælg en TLS-databaseforbindelsestilstand:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrækker TLS (standardvalgmulighed)

                                                                                                                                                  HDS-noder kræver ikke TLS for at tilslutte til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

                                                                                                                                                  Kræv TLS

                                                                                                                                                  HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

                                                                                                                                                  Kræv TLS, og bekræft certifikatcertifikatstegner


                                                                                                                                                   

                                                                                                                                                  Denne tilstand gælder ikke for SQL-serverdatabaser.

                                                                                                                                                  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

                                                                                                                                                  Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

                                                                                                                                                  Kræv TLS, og bekræft certifikatvært og værtsnavn

                                                                                                                                                  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

                                                                                                                                                  • Når der er oprettet en TLS-forbindelse, sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

                                                                                                                                                  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og port. Navnene skal passe præcist, ellers vil knudepunktet falde i forbindelsen.

                                                                                                                                                  Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

                                                                                                                                                  Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjsmaskinen ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer din Syslogd-server på siden Systemlogfiler:

                                                                                                                                                  1. Indtast URL-adressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke er DNS-opløselig fra noderne for din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angiver logføring til Syslogd vært 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

                                                                                                                                                    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse såsom tcp://10.92.43.23:514.

                                                                                                                                                  3. Vælg den relevante indstilling for din ISO-fil i rullemenuen Vælg afslutning af syslog-post: Vælg eller Newline bruges til Graylog og Rsyslog TCP

                                                                                                                                                    • Nul byte -- \x00

                                                                                                                                                    • Newline -- \n—Vælg dette valg for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klik på Fortsæt.

                                                                                                                                                  14

                                                                                                                                                  (Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du gerne vil ændre:

                                                                                                                                                  app_datasource_connection_pool_maxStørrelse: 10
                                                                                                                                                  15

                                                                                                                                                  Klik Fortsæt på skærmen Nulstil adgangskode til tjenestekonti.

                                                                                                                                                  Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder nærmer sig udløb, eller du vil nulstille dem til at ugyldige tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klik på Download ISO-fil. Gem filen på en placering, der er nem at finde.

                                                                                                                                                  17

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system.

                                                                                                                                                  Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  18

                                                                                                                                                  For at lukke opsætningsværktøjet skal du taste CTRL+C.

                                                                                                                                                  Næste trin

                                                                                                                                                  Sikkerhedskopier af ISO-konfigurationsfilen. Du skal bruge den for at oprette flere knudepunkter til gendannelse eller for at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din Postgre SQL- eller Microsoft SQL Server-database.


                                                                                                                                                   

                                                                                                                                                  Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

                                                                                                                                                  Installer HDS-værtens OVA

                                                                                                                                                  Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware v-sfære-klienten på din computer til at logge ind på den virtuelle ESX i-vært.

                                                                                                                                                  2

                                                                                                                                                  Vælg Fil > Installer OVF-skabelon.

                                                                                                                                                  3

                                                                                                                                                  I guiden skal du angive placeringen af den OVA-fil, som du downloadede tidligere, og derefter klikke på Næste.

                                                                                                                                                  4

                                                                                                                                                  På siden Vælg et navn og mappe skal du indtaste et virtuelt maskinnavn for noden (f.eks. "HDS_Node_1"), vælge en placering, hvor installationen af den virtuelle maskinknude kan bo, og derefter klikke på Næste.

                                                                                                                                                  5

                                                                                                                                                  På siden Vælg en computerressource skal du vælge destinationscomputerressourcen og derefter klikke på Næste.

                                                                                                                                                  Der kører en valideringskontrol. Når den er færdig, vises skabelonoplysningerne.

                                                                                                                                                  6

                                                                                                                                                  Bekræft skabelonoplysningerne, og klik derefter på Næste.

                                                                                                                                                  7

                                                                                                                                                  Hvis du bliver bedt om at vælge ressourcekonfigurationen på siden Konfiguration , skal du klikke på 4 CPU og derefter klikke på Næste.

                                                                                                                                                  8

                                                                                                                                                  På siden Vælg hukommelse skal du klikke Næste for at acceptere standarddiskformatet og VM-lagerpolitik.

                                                                                                                                                  9

                                                                                                                                                  På siden Vælg netværk skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til VM.

                                                                                                                                                  10

                                                                                                                                                  På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

                                                                                                                                                  • Værtsnavn – Indtast FQDN (værtsnavn og domæne) eller et enkelt ord værtsnavn for noden.

                                                                                                                                                     
                                                                                                                                                    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                    • For at sikre en vellykket tilmelding til skyen skal du kun bruge små bogstaver i FQDN eller værtsnavnet, som du indstiller for noden. Store bogstaver understøttes ikke på dette tidspunkt.

                                                                                                                                                    • Den samlede længde af FQDN må ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse – Angiv IP-adressen for nodens interne grænseflade.

                                                                                                                                                     

                                                                                                                                                    Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  • Maske – Indtast undernetmaskeadressen i punktdecimal notation. For eksempel: 255.255.255.0.
                                                                                                                                                  • Gateway – Indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
                                                                                                                                                  • DNS-servere– Angiv en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
                                                                                                                                                  • NTP-servere – indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. NTP-standardservere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.
                                                                                                                                                  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan nås fra klienter på dit netværk til administrative formål.

                                                                                                                                                  Hvis det ønskes, kan du springe konfigurationen af netværksindstillinger over og følge trinnene i Opsætning af hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESX i 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  11

                                                                                                                                                  Højreklik på noden VM, og vælg derefter Strøm > Tænd.

                                                                                                                                                  Softwaren til hybrid-datasikkerhed er installeret som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

                                                                                                                                                  Fejlfindingstip

                                                                                                                                                  Du kan opleve en forsinkelse på et par minutter, før knudebeholderne dukker op. En brofirewallmeddelelse vises på konsollen under den første start, hvor du ikke kan logge ind.

                                                                                                                                                  Konfigurer hybrid-datasikkerhed VM

                                                                                                                                                  Brug denne procedure til at logge ind på Hybrid Data Security Node VM-konsollen for første gang og indstille legitimationsoplysningerne for login. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

                                                                                                                                                  1

                                                                                                                                                  I VM-ware v Shere-klienten skal du vælge din hybrid-datasikkerhedsnode VM og vælge fanen Konsol .

                                                                                                                                                  VM starter, og der vises en loginbesked. Hvis loginprompten ikke vises, skal du trykke på Enter.
                                                                                                                                                  2

                                                                                                                                                  Brug følgende standard login og adgangskode til at logge ind og ændre legitimationsoplysningerne:

                                                                                                                                                  1. Log ind: Administrator

                                                                                                                                                  2. Adgangskode: Cisco

                                                                                                                                                  Da du logger ind på dit VM for første gang, skal du ændre administratoradgangskoden.

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, spring resten af denne procedure over. Ellers skal du i hovedmenuen vælge valgmuligheden Rediger konfiguration .

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og DNS-navn. DHCP understøttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfri) Skift værtsnavn, domæne eller NTP-server(er), hvis det er nødvendigt for at matche din netværkspolitik.

                                                                                                                                                  Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

                                                                                                                                                  6

                                                                                                                                                  Gem netværkskonfigurationen, og genstart VM, så ændringerne træder i kraft.

                                                                                                                                                  Overfør og monter HDS-konfigurations-ISO

                                                                                                                                                  Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Da ISO-filen har hovednøglen, bør den kun udsættes på et "need to know"-grundlag for adgang for hybrid-datasikkerhed-VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til databutikken.

                                                                                                                                                  1

                                                                                                                                                  Overfør ISO-filen fra din computer:

                                                                                                                                                  1. Klik på ESX i-serveren iVM-ware v Sphere-klientens venstre navigationsrude.

                                                                                                                                                  2. Klik på Gem på listen Hardware under fanen Konfiguration på listen.

                                                                                                                                                  3. Højreklik på databutikken for dine VM'er på listen Databutikker, og klik på Gennemse databutik.

                                                                                                                                                  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

                                                                                                                                                  5. Gå til den placering, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

                                                                                                                                                  6. Klik Ja for at acceptere overførsels-/download-handlingsadvarslen, og luk dialogboksen Datastore.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsindstillinger.

                                                                                                                                                  3. Klik på CD/DVD-drev 1, vælg indstillingen for at montere fra en databutik ISO-fil, og gå til den placering, hvor du uploadede ISO-konfigurationsfilen.

                                                                                                                                                  4. Kontrollér Tilsluttet og Tilslut ved tænd.

                                                                                                                                                  5. Gem dine ændringer, og genstart den virtuelle maskine.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis din it-politik kræver det, kan du eventuelt fjerne monteringen af ISO-filen, når alle dine knuder har hentet konfigurationsændringerne. Se (Valgfri) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  Konfigurer HDS-knudepunkt for proxy integration

                                                                                                                                                  Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.

                                                                                                                                                  Før du begynder

                                                                                                                                                  1

                                                                                                                                                  Indtast URL-adresse til opsætning af HDS-knude https://[HDS knude IP eller FQDN]/Setup i en webbrowser, Indtast administratorens legitimationsoplysninger, som du opsætter for knudepunktet, og klik derefter på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Trust store & proxy, og vælg derefter en valgmulighed:

                                                                                                                                                  • Ingen proxy – standardindstillingen, før du integrerer en proxy. Ingen certifikat opdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig ikke-inspektionsproxy – knuder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve ændringer for at arbejde med en proxy, der ikke er inspektion. Ingen certifikat opdatering er påkrævet.
                                                                                                                                                  • Gennemsigtig inspektionsproxy – knuder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-data sikkerhed, men HDS-knuder skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
                                                                                                                                                  • Eksplicit proxy – Med eksplicit proxy fortæller du klienten (HDS-noder), hvilken proxyserver der skal bruges, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:
                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at nå proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til nærtrafik.

                                                                                                                                                    3. Proxyprotokol – Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad dine proxyserver understøtter.

                                                                                                                                                    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

                                                                                                                                                      • Ingen – Ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig for HTTP-eller HTTPS-proxyer.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

                                                                                                                                                        Tilgængelig for HTTP-eller HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før der sendes følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

                                                                                                                                                        Kun tilgængelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

                                                                                                                                                  Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen.

                                                                                                                                                  Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen.

                                                                                                                                                  Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet.

                                                                                                                                                  Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. Hvis du mener, at dette er en fejl, skal du fuldføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

                                                                                                                                                  5

                                                                                                                                                  Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar.

                                                                                                                                                  Knuden genstarter inden for et par minutter.

                                                                                                                                                  7

                                                                                                                                                  Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status.

                                                                                                                                                  Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen.

                                                                                                                                                  Tilmeld den første node i klyngen

                                                                                                                                                  Denne opgave tager den generiske node, du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-skyen og gør den til en hybrid-datasikkerhedsnode.

                                                                                                                                                  Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knuder, der er installeret for at give redundans.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Log på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menuen i venstre side af skærmen skal du vælge Tjenester.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt.

                                                                                                                                                  Siden Registrer hybrid-datasikkerhedsknude vises.
                                                                                                                                                  4

                                                                                                                                                  Vælg Ja for at angive, at du har konfigureret noden og er klar til at registrere den, og klik derefter på Næste.

                                                                                                                                                  5

                                                                                                                                                  I det første felt skal du angive et navn på den klynge, som du vil tildele din hybrid-datasikkerhedsnode til.

                                                                                                                                                  Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

                                                                                                                                                  6

                                                                                                                                                  I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                  Denne IP-adresse eller FQDN skal stemme overens med den IP-adresse eller værtsnavn og domæne, du brugte i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik på Gå til node.

                                                                                                                                                  8

                                                                                                                                                  Klik Fortsæt i advarselsmeddelelsen.

                                                                                                                                                  Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din Webex-organisation for at få adgang til din node.
                                                                                                                                                  9

                                                                                                                                                  Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                  Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den knude, du tilmeldte dig. Noden downloader automatisk den seneste software fra skyen.

                                                                                                                                                  Opret og tilmeld flere knudepunkter

                                                                                                                                                  Hvis du vil tilføje yderligere noder til din klynge, skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

                                                                                                                                                   

                                                                                                                                                  På nuværende tidspunkt er de sikkerhedskopierede VM'er, som du oprettede i Fuldfør forudsætningerne for hybrid-datasikkerhed , standbyværter, der kun bruges i tilfælde af katastrofegenoprettelse. De er først registreret med systemet. Få flere oplysninger i Genoprettelse af katastrofer ved hjælp af standby-datacenter.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Når du starter tilmelding af en knude, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

                                                                                                                                                  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opret en ny virtuel maskine fra OVA, gentag trinnene i Installer HDS-værtens OVA.

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den indledende konfiguration på den nye VM, gentag trinnene i Konfigurer hybrid-datasikkerhed-VM.

                                                                                                                                                  3

                                                                                                                                                  På den nye VM skal du gentage trinnene i Upload og montere HDS-konfigurations-ISO.

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy til din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. I https://admin.webex.com, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2. I afsnittet Hybrid-tjenester skal du finde hybriddatasikkerhedskortet og klikke på Ressourcer.

                                                                                                                                                    Siden Hybrid-datasikkerhedsressourcer vises.
                                                                                                                                                  3. Klik på Tilføj ressource.

                                                                                                                                                  4. I det første felt skal du vælge navnet på din eksisterende klynge.

                                                                                                                                                  5. I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) på din node og klikke på Næste.

                                                                                                                                                    Der vises en meddelelse, der angiver, at du kan registrere din node til Webex-skyen.
                                                                                                                                                  6. Klik på Gå til node.

                                                                                                                                                    Efter et par øjeblikke omdirigeres du til nodeforbindelsestestene for Webex-tjenesteydelser. Hvis alle tests er gennemført, vises siden Tillad adgang til hybrid-datasikkerhedsknude. Der bekræfter du, at du vil give tilladelser til din organisation for at få adgang til din node.
                                                                                                                                                  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedsnode , og klik derefter på Fortsæt.

                                                                                                                                                    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
                                                                                                                                                  8. Klik på linket, eller luk fanen for at gå tilbage til siden Control Hub-hybrid-datasikkerhed.

                                                                                                                                                  Din node er registreret. Bemærk, at dine noder, indtil du starter en prøveperiode, genererer en alarm, der angiver, at din tjeneste endnu ikke er aktiveret.

                                                                                                                                                  Næste trin

                                                                                                                                                  Kør en prøveversion og flyt til produktion (næste kapitel)
                                                                                                                                                  Kør en prøveversion, og flyt til produktion

                                                                                                                                                  Prøveversion til produktionsopgaveflow

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, føje brugere til den og begynde at bruge den til test og verificere din installation som forberedelse til flytning til produktion.

                                                                                                                                                  1

                                                                                                                                                  Synkroniser, hvis det er relevant, synkroniser Hds Trial Group-gruppeobjektet.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge gruppelejet Hds-prøvegruppe til synkronisering med skyen, før du kan starte en prøveversion. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  2

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Start en prøveversion. Indtil du udfører denne opgave, genererer dine noder en alarm, der angiver, at tjenesten endnu ikke er aktiveret.

                                                                                                                                                  3

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Kontrollér, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  4

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  Kontrollér status, og konfigurer e-mailunderretninger for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  6

                                                                                                                                                  Fuldfør prøvefasen med en af følgende handlinger:

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Før du begynder

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering for brugere, skal du vælge gruppelejet Hds-prøvegruppe til synkronisering med skyen, før du kan starte en prøveversion for din organisation. Se installationsvejledningen til Cisco Directory Connector for vejledning.

                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Tjenestestatus skal du klikke på Start prøveversion.

                                                                                                                                                  Tjenestestatus ændres til prøvetilstand.
                                                                                                                                                  4

                                                                                                                                                  Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at pilotere ved hjælp af dine hybrid-datasikkerhedsknuder til kryptering og indeksering af tjenester.

                                                                                                                                                  (Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, Hds-prøvegruppe.)

                                                                                                                                                  Test din hybrid-datasikkerhedsinstallation

                                                                                                                                                  Brug denne procedure til at teste hybriddatasikkerhedskrydningsscenarier.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Konfigurer din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  • Aktivér prøveversionen, og tilføj flere prøvebrugere.

                                                                                                                                                  • Sørg for, at du har adgang til syslog for at bekræfte, at nøgleanmodninger overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1

                                                                                                                                                  Tasterne for et givet rum angives af rummets skaber. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum og inviter mindst én pilotbruger og én ikke-pilotbruger.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer installationen af hybrid-datasikkerhed, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når klientcachelagte kopier af krypteringsnøglerne er udskiftet.

                                                                                                                                                  2

                                                                                                                                                  Send meddelelser til det nye rum.

                                                                                                                                                  3

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne overføres til din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  1. Hvis du vil kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du skal finde en post som f.eks. følgende (identifikatorer forkortet for læsbarhed):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-tråd-1] - [KMS:REQUEST] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Hej, knægt. kms://hds2.org5.portun.us/statickeys/3[~]0 (Kryptering Kms_Message Handler.java:312) WEBEX_TRACKINGID=HDSest_d Intest_d[~]0, KMS.DATA.METHOD=CREATE, KMS.MERC.ID=8[~]A, KMS.MERC.SYNC=FALSE, KMS.DATA.URI=HDS2.ORG5.PORTUN.US, KMS.DATA.TYPE=EPHEMERAL_KEY_COLLECTION, kms.data.request Id=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil kontrollere for en bruger, der anmoder om en eksisterende nøgle fra KMS, skal du filtrere på kms.data.method=hentning og kms.data.type=KEY:

                                                                                                                                                    Du bør finde en post såsom:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-tråd-31] - [KMS:REQUEST] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Hej, knægt. kms://hds2.org5.portun.us/ecdhe/5[~]1 (KrypteringKmsMessage Handler.java:312) WEBEX_SPORINGID=HdsIntTest_f[~]0, kms.data.metode=hentning, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=NØGLE, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.brugerId=1[~]b
                                                                                                                                                  3. Hvis du vil kontrollere for en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finde en post såsom:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-tråd-33] - [KMS:REQUEST] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Hej, knægt. kms://hds2.org5.portun.us/ecdhe/5[~]1 (KrypteringKmsMessage Handler.java:312) WEBEX_SPORINGID=HdsIntTest_4[~]0, kms.data.metode=opret, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uri Host=null, kms.data.type=NØGLE_samling, kms.data.requestId=6[~]4, kms.data.uri=/nøgler, kms.data.brugerId=1[~]b
                                                                                                                                                  4. Hvis du vil kontrollere for en bruger, der anmoder om oprettelse af et nyt KMS Resource Object (KRO), når der oprettes et rum eller en anden beskyttet ressource, skal du filtrere efter kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finde en post såsom:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-tråd-1] - [KMS:REQUEST] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Hej, knægt. kms://hds2.org5.portun.us/ecdhe/5[~]1 (Encryption Kms_Message Handler.java:312) WEBEX_TRACKINGID=Hdsest_d Int Test_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uri=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåg Hybrid Data Security Health

                                                                                                                                                  En statusindikator i Control Hub viser dig, om alt er godt med installationen af hybrid-datasikkerhed. For mere proaktiv varsling skal du tilmelde dig e-mailunderretninger. Du vil blive underrettet, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub, vælg Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger.

                                                                                                                                                  Siden Indstillinger for hybrid-datasikkerhed vises.
                                                                                                                                                  3

                                                                                                                                                  Skriv en eller flere e-mailadresser adskilt af kommaer i afsnittet E-mailunderretninger, og tryk på Enter.

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveperiode

                                                                                                                                                  Når du har aktiveret en prøveversion og tilføjet det indledende sæt af prøvebrugere, kan du tilføje eller fjerne deltagere til prøveversionen når som helst, mens prøveversionen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.

                                                                                                                                                  Hvis din organisation bruger adressebogssynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, Hds-prøvegruppe; du kan se gruppemedlemmerne i Control Hub, men kan ikke tilføje eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Prøvetilstand i området Tjenestestatus skal du klikke på Tilføj brugere, eller klikke på visning og rediger for at fjerne brugere fra prøveversionen.

                                                                                                                                                  4

                                                                                                                                                  Indtast e-mailadressen for en eller flere brugere, der skal tilføjes, eller klik på X af et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem.

                                                                                                                                                  Flyt fra prøveversion til produktion

                                                                                                                                                  Når du er overbevist om, at din installation fungerer godt for brugerne af prøveversionen, kan du gå til produktionen. Når du flytter til produktion, vil alle brugere i organisationen bruge dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedstjenester. Du kan ikke gå tilbage til prøvetilstand fra produktion, medmindre du deaktiverer tjenesten som en del af genoprettelse af katastrofer. Genaktivering af tjenesten kræver, at du opsætter en ny prøveversion.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Flyt til produktion i afsnittet Status for tjeneste i Flyt til produktion.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil flytte alle dine brugere til produktion.

                                                                                                                                                  Afslut din prøveperiode uden at flytte til produktion

                                                                                                                                                  Hvis du under din prøveperiode beslutter ikke at fortsætte med din hybrid-datasikkerhedsinstallation, kan du deaktivere hybrid-datasikkerhed, som afslutter prøveperioden og flytter prøvebrugerne tilbage til cloud-datasikkerhedstjenesterne. Brugerne af prøveversionen mister adgang til de data, der blev krypteret under prøveperioden.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Deaktiver i sektionen Deaktiver.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil deaktivere tjenesten, og afslutte prøveversionen.

                                                                                                                                                  Administrer din HDS-installation

                                                                                                                                                  Administrer HDS-installation

                                                                                                                                                  Brug de opgaver, der er beskrevet her, til at administrere din hybrid-datasikkerhedsinstallation.

                                                                                                                                                  Indstil tidsplan for klyngeopgradering

                                                                                                                                                  Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan angive en specifik opgraderingsplan eller bruge standardtidsplanen på 3:00 AM Daily USA: Amerika/Los Angeles. Du kan også vælge at udsætte en kommende opgradering, hvis det er nødvendigt.

                                                                                                                                                  Sådan indstilles opgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  På siden Oversigt, under Hybrid-tjenester, vælg Hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  På siden Hybrid-datasikkerhedsressourcer skal du vælge klyngen.

                                                                                                                                                  4

                                                                                                                                                  Vælg klyngenavnet i panelet Oversigt til højre under Klyngeindstillinger.

                                                                                                                                                  5

                                                                                                                                                  På siden Indstillinger under Opgradering skal du vælge tid- og tidszonen for opgraderingsplanen.

                                                                                                                                                  Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

                                                                                                                                                  Rediger nodekonfigurationen

                                                                                                                                                  Det kan være nødvendigt at ændre konfigurationen af din Hybrid-datasikkerhedsknude af en årsag, såsom:
                                                                                                                                                  • Ændring af x.509-certifikater pga. udløb eller andre årsager.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke ændring af CN-domænenavnet for et certifikat. Domænet skal passe med det oprindelige domæne, der bruges til at registrere klyngen.

                                                                                                                                                  • Opdatering af databaseindstillinger for at ændre til en replik af PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi understøtter ikke overflytning af data fra PostgreSQL til Microsoft SQL Server, eller hvordan det kan lade sig gøre. For at skifte databasemiljøet skal du starte en ny udrulning af Hybrid-datasikkerhed.

                                                                                                                                                  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

                                                                                                                                                  Derudover bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i ni måneder. Når HDS-opsætningsværktøjet genererer disse adgangskoder, implementeres de for hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden for din maskinkonto. (E-mailen indeholder teksten "Brug maskinkonto-API'en til at opdatere adgangskoden.") Hvis dine adgangskoder endnu ikke er udløbet, giver værktøjet dig to valgmuligheder:

                                                                                                                                                  • Softwaretilpasning – Både gamle og nye adgangskoder fungerer i op til 10 dage. Brug denne periode til at erstatte ISO-filen på knudepunkterne gradvist.

                                                                                                                                                  • Hård nulstilling – de gamle adgangskoder stopper med at fungere med det samme.

                                                                                                                                                  Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, der kræver øjeblikkelig hard reset og udskiftning af ISO-filen på alle knudepunkter.

                                                                                                                                                  Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver brugeroplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du henter Docker-beholderen i 1.e. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder masternøglen, der krypterer PostgreSQL eller Microsoft SQL Server-databasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

                                                                                                                                                  1

                                                                                                                                                  Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

                                                                                                                                                  1. Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-opsætning:stabil

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-opsætning-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2. For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

                                                                                                                                                    docker-login -u hdscustomersro
                                                                                                                                                  3. I adgangskodeanmodningen skal du indtaste denne hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6RO kvKUI o
                                                                                                                                                  4. Download det seneste stabilt billede til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker træk ciscocitg/hds-opsætning:stabil

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker træk ciscocitg/hds-opsætning-fedramp:stabil

                                                                                                                                                     

                                                                                                                                                    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 har ikke skærmbilleder til nulstilling af adgangskode.

                                                                                                                                                  5. Når træk er fuldført, indtast den relevante kommando for dit miljø:

                                                                                                                                                    • I almindelige miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-opsætning:stabil
                                                                                                                                                    • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT__HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I almindelige miljøer med en HTTPSproxy:

                                                                                                                                                      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT__HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      Docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      Docker run -p 8080:8080 --rm -it -e GLOBAL AGENT__HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når beholderen kører, ser du "Express-serveren lytter på port 8080."

                                                                                                                                                  6. Brug en browser til at tilslutte til localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Opsætningsværktøjet understøtter ikke tilslutning til lokalværten via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til lokalværten.

                                                                                                                                                  7. Når du bliver bedt om det, skal du indtaste dine legitimationsoplysninger til Control Hub-kundelogin og derefter klikke på Accepter for at fortsætte.

                                                                                                                                                  8. Importér den aktuelle ISO-konfigurationsfil.

                                                                                                                                                  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

                                                                                                                                                    For at lukke opsætningsværktøjet skal du taste CTRL+C.

                                                                                                                                                  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun har én HDS-node i gang, opret en ny hybrid-datasikkerhedsnode VM, og registrer den ved hjælp af den nye ISO-konfigurationsfil. Se Opret og Tilmeld flere knudepunkter for at få mere detaljerede instruktioner.

                                                                                                                                                  1. Installer HDS-hosten OVA.

                                                                                                                                                  2. Opsæt HDS-VM'en.

                                                                                                                                                  3. Tilslut den opdaterede konfigurationsfil.

                                                                                                                                                  4. Tilmeld den nye knude i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-noder, der kører den ældre konfigurationsfil, skal du tilslutte ISO-filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, inden du slår den næste knude fra:

                                                                                                                                                  1. Slå den virtuelle maskine fra.

                                                                                                                                                  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  3. Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

                                                                                                                                                  4. Markér Forbind med tilsluttet strøm.

                                                                                                                                                  5. Gem dine ændringer, og tænd for den virtuelle maskine.

                                                                                                                                                  4

                                                                                                                                                  Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

                                                                                                                                                  Slå blokeret ekstern DNS-opløsnings tilstand fra

                                                                                                                                                  Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. Hvis knudens DNS-server ikke kan løse offentlige DNS-navne, går knuden automatisk i blokeret ekstern DNS-opløsnings tilstand.

                                                                                                                                                  Hvis dine knuder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du slå denne tilstand fra ved at køre proxy forbindelsestesten igen på hver knude.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine knuder kan kommunikere med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbrowser skal du åbne grænsefladen for hybrid-datasikkerhedsnoden (f.eks. indtaste IP-adresse/opsætning https://192.0.2.0/setup), de administratorlegitimationsoplysninger, du konfigurerer for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversigt (standardsiden).

                                                                                                                                                  Når den er aktiveret, er blokeret ekstern DNS-opløsning indstillet til Ja.

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Trust store & proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontroller proxy forbindelse.

                                                                                                                                                  Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke blev gennemført, var knuden ikke i stand til at nå DNS-serveren og vil forblive i denne tilstand. Ellers skal blokerede ekstern DNS-opløsning indstilles til Nej, når du genstarter knuden og går tilbage til oversigtssiden.

                                                                                                                                                  Næste trin

                                                                                                                                                  Gentag proxy forbindelsestesten på hver knude i din hybrid-datasikkerheds gruppe.

                                                                                                                                                  Fjern en node

                                                                                                                                                  Brug denne procedure til at fjerne en hybrid-datasikkerhedsknude fra Webex-skyen. Når du har fjernet noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
                                                                                                                                                  1

                                                                                                                                                  Brug VM-ware vShere-klienten på din computer til at logge ind på den virtuelle ESX i-vært og slukke for den virtuelle maskine.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2. På hybriddatasikkerhedskortet skal du klikke på Vis alle for at få vist siden Hybriddatasikkerhedsressourcer.

                                                                                                                                                  3. Vælg din klynge for at vise dens oversigtspanel.

                                                                                                                                                  4. Klik på listen Åbn knudepunkter.

                                                                                                                                                  5. På fanen Knuder skal du vælge den knude, du vil fjerne.

                                                                                                                                                  6. Klik på Handlinger > Fjern registreringsnode.

                                                                                                                                                  3

                                                                                                                                                  I vShere-klienten skal du slette VM. (Højreklik på VM i navigationsruden til venstre, og klik på Slet.)

                                                                                                                                                  Hvis du ikke sletter VM, skal du huske at fjerne ISO-konfigurationsfilen. Uden ISO-filen kan du ikke bruge VM til at få adgang til dine sikkerhedsdata.

                                                                                                                                                  Genoprettelse af katastrofer ved hjælp af standby-datacenter

                                                                                                                                                  Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye nøgleoprettelsesanmodninger til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den er oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

                                                                                                                                                  Fordi klyngen udfører den kritiske funktion med at give disse nøgler, er det vigtigt, at klyngen forbliver i drift, og at der opretholdes passende sikkerhedskopier. Tab af hybrid-datasikkerhedsdatabasen eller af den konfiguration ISO, der bruges til skemaet, vil medføre UOPRETTELIGT TAB af kundens indhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

                                                                                                                                                  Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at failover til standbydatacenteret.

                                                                                                                                                  1

                                                                                                                                                  Start værktøjet til HDS-opsætning, og følg trinnene i Opret en konfiguration-ISO for HDS-værter.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigureret Syslogd-serveren, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne konfigurationen af passiv tilstand for at gøre noden aktiv. Noden kan håndtere trafik, når denne er konfigureret.

                                                                                                                                                   passivtilstand: ''Falsk'' 

                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Foretag en sikkerhedskopi af ISO-filen på dit lokale system. Hold sikkerhedskopikopien sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgang til kun de hybriddatasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  Højreklik på VM-ware v Shere-klientens venstre navigationsrude, og klik på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg Datastore ISO-fil.


                                                                                                                                                   

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knuderne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver knude i standbydatacenteret.


                                                                                                                                                   

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at knuderne i standbydatacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i sysloggene.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis det primære datacenter bliver aktivt igen, skal du placere standbydatacenteret i passiv tilstand igen ved at følge de trin, der er beskrevet i Opsætning af standbydatacenter til genoprettelse af katastrofer.

                                                                                                                                                  (Valgfri) Fjern ISO efter HDS-konfiguration

                                                                                                                                                  Standardkonfigurationen af HDS kører med ISO-monteret. Men nogle kunder foretrækker ikke at forlade ISO-filer kontinuerligt monteret. Du kan fjerne monteringen af ISO-filen, når alle HDS-knuder har hentet den nye konfiguration.

                                                                                                                                                  Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har hentet konfigurationsændringerne, kan du fjerne ISO'en igen med denne procedure.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller senere.

                                                                                                                                                  1

                                                                                                                                                  Luk en af dine HDS-knudepunkter ned.

                                                                                                                                                  2

                                                                                                                                                  Vælg HDS-noden i vCenter-serverapparatet.

                                                                                                                                                  3

                                                                                                                                                  Vælg Rediger indstillinger > CD/DVD-drev, og fjern markeringen af Datastore ISO-fil.

                                                                                                                                                  4

                                                                                                                                                  Tænd for HDS-noden, og sørg for, at der ikke er alarmer i mindst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gentag for hver HDS-node efter tur.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Vis varsler og fejlfinding

                                                                                                                                                  En hybrid-datasikkerhedsinstallation betragtes som utilgængelig, hvis alle knuder i klyngen ikke kan nås, eller klyngen fungerer så langsomt, at der anmodes om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

                                                                                                                                                  • Nye rum kan ikke oprettes (kan ikke oprette nye nøgler)

                                                                                                                                                  • Meddelelser og rumtitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brugere føjet til et rum (kan ikke hente nøgler)

                                                                                                                                                    • Eksisterende brugere i et rum ved hjælp af en ny klient (kan ikke hente nøgler)

                                                                                                                                                  • Eksisterende brugere i et rum vil fortsætte med at køre, så længe deres klienter har en cache af krypteringsnøglerne

                                                                                                                                                  Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og omgående adresserer eventuelle advarsler for at undgå afbrydelse af tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varslerne dækker mange almindelige scenarier.

                                                                                                                                                  Tabel 1. Almindelige problemer og trinnene til at løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Fejl ved lokal databaseadgang.

                                                                                                                                                  Kontrollér for databasefejl eller lokale netværksproblemer.

                                                                                                                                                  Lokal databaseforbindelse mislykkedes.

                                                                                                                                                  Kontrollér, at databaseserveren er tilgængelig, og at de rigtige legitimationsoplysninger for tjenestekonto blev brugt i nodekonfigurationen.

                                                                                                                                                  Adgang til cloud-tjeneste mislykkedes.

                                                                                                                                                  Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i kravene til ekstern forbindelse.

                                                                                                                                                  Fornyelse af registrering af cloud-tjeneste.

                                                                                                                                                  Tilmelding til cloudtjenester blev droppet. Fornyelse af registreringen er i gang.

                                                                                                                                                  Registrering af cloudtjeneste blev droppet.

                                                                                                                                                  Tilmelding til cloudtjenester blev afsluttet. Tjenesten lukker.

                                                                                                                                                  Tjeneste endnu ikke aktiveret.

                                                                                                                                                  Aktivér en prøveversion, eller afslut flytning af prøveperioden til produktion.

                                                                                                                                                  Det konfigurerede domæne matcher ikke servercertifikatet.

                                                                                                                                                  Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

                                                                                                                                                  Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den første opsætning.

                                                                                                                                                  Kunne ikke godkendes til cloudtjenester.

                                                                                                                                                  Kontrollér, om tjenestekontolegitimationsoplysningerne er korrekte og mulige udløb.

                                                                                                                                                  Kunne ikke åbne lokal tastaturfil.

                                                                                                                                                  Kontrollér integritet og nøjagtighed af adgangskoden på den lokale nøglestore-fil.

                                                                                                                                                  Lokalt servercertifikat er ugyldigt.

                                                                                                                                                  Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en betroet certifikatmyndighed.

                                                                                                                                                  Kan ikke postere målinger.

                                                                                                                                                  Kontrollér lokal netværksadgang til eksterne cloud-tjenester.

                                                                                                                                                  /media/configdrive/hds-telefonbogen findes ikke.

                                                                                                                                                  Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at montere på genstart, og at den monteres korrekt.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybriddatasikkerhed.
                                                                                                                                                  1

                                                                                                                                                  Gennemgå Control Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der.

                                                                                                                                                  2

                                                                                                                                                  Gennemse syslog-serverens output for aktivitet fra installationen af hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-support.

                                                                                                                                                  Andre noter

                                                                                                                                                  Kendte problemer med hybrid-datasikkerhed

                                                                                                                                                  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglebutikken-databasen, kan dine Webex-appbrugere ikke længere bruge rum under deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder både prøveversioner og produktionsinstallationer. Vi har i øjeblikket ikke en løsning eller en løsning på dette problem og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

                                                                                                                                                  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, vedligeholder denne forbindelse i en periode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedstest, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil den udløber. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

                                                                                                                                                    Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere uden prøveversion med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen genforhandles (via timeout eller ved at logge ud og ind igen).

                                                                                                                                                  Brug åbenSSL til at generere en PKCS12-fil

                                                                                                                                                  Før du begynder

                                                                                                                                                  • OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre det på, og vi støtter ikke den ene vej frem for den anden.

                                                                                                                                                  • Hvis du vælger at bruge Open SSL, giver vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509 certifikatkravene i X.509 certifikatkrav. Forstå disse krav, før du fortsætter.

                                                                                                                                                  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.

                                                                                                                                                  • Opret en privat nøgle.

                                                                                                                                                  • Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

                                                                                                                                                  1

                                                                                                                                                  Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis certifikatet som tekst, og bekræft detaljerne.

                                                                                                                                                  openssl x509 -tekst -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Brug et tekstredigeringsprogram til at oprette en certifikatpakke-fil kaldet hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rodnøglecertifikater i formatet herunder:

                                                                                                                                                  ----- START CERTIFIKAT----- ### Servercertifikat ### -----END CERTIFIKAT--------------  START CERTIFIKAT----- ### Rodnøglecertifikat . #### Rodnøglecertifikat. ##### -----END CERTIFIKAT---- 

                                                                                                                                                  4

                                                                                                                                                  Opret .p12-filen med det venlige navn kms-private-nøgle.

                                                                                                                                                  openssl pkcs12 -eksport -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollér servercertifikatoplysningerne.

                                                                                                                                                  1. openssl pkcs12 -i hdsnode.p12

                                                                                                                                                  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den er angivet i output. Kontrollér derefter, at den private nøgle og det første certifikat omfatter linjevenligt navn : kms-privat-nøgle.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Indtast importadgangskode: MAC-verificerede OK-pose-attributter venligtnavn: KMS-privat-nøgle lokalNøgle-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøgleattributter:  Indtast PEM-adgangssætning: Bekræftelse – indtast PEM-adgangssætning: ----- START-KRYPTERET PRIVAT NØGLE-----  ----- END-KRYPTERET PRIVAT NØGLE----- Bag attributters venligtNavn: KMS-privat-nøgle lokalNøgle-ID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt Authority X3 -----START CERTIFICATE----  ----- END CERTIFICATE---- Bag attributter venligtnavn: CN=Lad os kryptere autoritet X3,O=Lad os kryptere,C=US subject=/C=US/O=Lad os kryptere autoritet X3 udsteder=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----START CERTIFIKAT----  ----END CERTIFICATE----

                                                                                                                                                  Næste trin

                                                                                                                                                  Gå tilbage til Udfyld forudsætningerne for hybriddatasikkerhed. Du vil bruge filen hdsnode.p12 og den adgangskode, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.


                                                                                                                                                   

                                                                                                                                                  Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

                                                                                                                                                  Trafik mellem HDS-knudepunkterne og skyen

                                                                                                                                                  Indsamlingstrafik for udgående målinger

                                                                                                                                                  Hybrid-datasikkerhedsnoderne sender visse målinger til Webex-clouden. Disse omfatter systemmålinger for heap maks., anvendt heap, CPU-belastning og antal tråde, måling af synkroniske og asynkroniske tråde, måling af varsler, der involverer en tærskel af krypteringsforbindelser, ventetid eller længde af en anmodningskø, måling af databutikken og målinger af krypteringsforbindelse. Noderne sender krypteret nøglemateriale via en kanal uden for båndet (adskilt fra anmodningen).

                                                                                                                                                  Indgående trafik

                                                                                                                                                  Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

                                                                                                                                                  • Krypteringsanmodninger fra klienter, der distribueres af krypteringstjenesten

                                                                                                                                                  • Opgraderinger til nodesoftwaren

                                                                                                                                                  Konfigurer Squid-proxyer for hybrid-data sikkerhed

                                                                                                                                                  WebSocket kan ikke oprette forbindelse via Squid-Proxy

                                                                                                                                                  Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:)-forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af squid til at ignorere WSS: trafik til korrekt funktion af tjenesterne.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Tilføj on_unsupported_protocol direktivet til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel alle

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi har testet hybrid-data sikkerhed med følgende regler tilføjet til squid. conf. Disse regler er underlagt ændringer, når vi udviklerfunktioner og opdaterer Webex Cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection-spaltning ssl_bump wss MercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl trin3 at_step Sslssl_bump Bump3 peek trin1 ssl_bump alle startrin2 ssl_bump bump trin3

                                                                                                                                                  Foransigt

                                                                                                                                                  Nye og ændrede oplysninger

                                                                                                                                                  Dato

                                                                                                                                                  Ændringer foretaget

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  7. august 2023

                                                                                                                                                  23. maj 2023

                                                                                                                                                  06. december 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop skal køre et opsætningsprogram, før du kan installere HDS-knuder. Se Krav til Docker Desktop.

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Bemærkede, at du kan genbruge den private nøglefil og CSR for at anmode om et andet certifikat. Se Brug OpenSSL til at generere en PKCS12-fil for yderligere oplysninger.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Ændrede VM-kravet for lokal harddiskplads til 30 GB. Se Krav til virtuel vært for yderligere oplysninger.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-opsætningsværktøjet kan nu køre bag en proxy. Se Opret en konfiguration-ISO for HDS-værter for at få flere oplysninger.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nu køre uden en monteret ISO-fil. Se (Valgfrit) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Tilføjet oplysninger om HDS-opsætningsværktøjet og proxyer for at oprette en konfigurations-ISO for HDS-værter.

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Opdateret Download installationsfiler.

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter , og Skift nodekonfigurationen med kommandoer til FedRAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter , og Skift nodekonfigurationen med ændringer i logonprocessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Opdateret Test din hybrid-datasikkerhedsudrulning for ændringer i logmeddelelser.

                                                                                                                                                  Opdaterede krav til virtuel vært for at fjerne det maksimale antal værter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Opdateret Fjern en node for ændringer i Control Hub-brugergrænsefladen.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for ændringer i de avancerede indstillinger, som du kan indstille.

                                                                                                                                                  29. maj 2020

                                                                                                                                                  Opdateret Opret en konfigurations-ISO for HDS-værter for at vise, at du også kan bruge TLS med SQL Server-databaser, ændringer i brugergrænsefladen og andre præciseringer.

                                                                                                                                                  5. maj 2020

                                                                                                                                                  Opdaterede krav til virtuel vært for at vise nye krav til ESXi 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Opdaterede krav til ekstern forbindelse med nye Americas CI-værter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Opdaterede krav til ekstern forbindelse med oplysninger om regionale CI-værter.

                                                                                                                                                  20. februar 2020Opdateret Opret en konfigurations-ISO for HDS-værter med oplysninger om nye valgfri skærm for avancerede indstillinger i HDS-opsætningsværktøjet.
                                                                                                                                                  4. februar 2020Opdaterede krav til proxyserver.
                                                                                                                                                  16. december 2019Præciserede kravet om, at tilstanden Blokeret ekstern DNS-opløsning skal fungere i Krav til proxyserver.
                                                                                                                                                  19. november 2019

                                                                                                                                                  Tilføjede oplysninger om tilstanden Blokeret ekstern DNS-opløsning i følgende afsnit:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nu konfigurere netværksindstillinger for en node, mens OVA'en installeres i stedet for bagefter.

                                                                                                                                                  Følgende afsnit blev opdateret i overensstemmelse hermed:

                                                                                                                                                  Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Tilføjede SQL Server Standard til Databaseserverkrav.

                                                                                                                                                  29. august 2019Tilføjet Konfigurer Squid-proxyer til hybrid-datasikkerhed -tillæg med vejledning til konfiguration af Squid-proxyer til at ignorere websocket-trafik for korrekt drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Tilføjede og opdaterede afsnit for at dække proxyunderstøttelse af hybriddatasikkerhedsknudekommunikation til Webex Cloud.

                                                                                                                                                  Hvis du kun vil have adgang til proxysupportindholdet for en eksisterende udrulning, kan du se hjælpeartiklen Proxysupport til hybrid-datasikkerhed og Webex Video Mesh .

                                                                                                                                                  13. juni 2019Opdateret Prøveversion til produktionsopgaveflow med en påmindelse om at synkronisere HdsTrialGroup -gruppeobjektet, før du starter en prøveversion, hvis din organisation bruger mappesynkronisering.
                                                                                                                                                  6. marts 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Rettede mængden af lokal harddiskplads pr. server, som du bør sætte til side, når du forbereder de virtuelle værter, der bliver hybrid-datasikkerhedstjeneste, fra 50 GB til 20 GB, for at afspejle den diskstørrelse, som OVA opretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid-datasikkerhedsknuder understøtter nu krypterede forbindelser med PostgreSQL-databaseservere og krypterede logføringsforbindelser til en TLS-kompatibel syslog-server. Opdateret Opret en konfigurations-ISO for HDS-værter med instruktioner.

                                                                                                                                                  • Fjernede destinations-URL-adresser fra tabellen "Krav til internetforbindelse for hybrid-datasikkerhedstjeneste". Tabellen henviser nu til listen, der vedligeholdes i tabellen "Yderligere URL-adresser til Webex Teams Hybrid-tjenester" med Netværkskrav til Webex Teams-tjenester.

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid-datasikkerhed understøtter nu Microsoft SQL Server som en database. SQL Server Always On (Altid på failover-klynger og Altid på tilgængelighedsgrupper) understøttes af de JDBC-drivere, der bruges i hybrid-datasikkerhed. Tilføjet indhold relateret til installation med SQL Server.

                                                                                                                                                    Understøttelse af Microsoft SQL Server er kun beregnet til nye installationer af Hybriddatasikkerhed. Vi understøtter i øjeblikket ikke migrering af data fra PostgreSQL til Microsoft SQL Server i en eksisterende installation.

                                                                                                                                                  5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. maj 2018

                                                                                                                                                  Ændret terminologi for at afspejle rebranding af Cisco Webex Teams:

                                                                                                                                                  • Cisco Spark Hybrid-datasikkerhed er nu hybrid-datasikkerhed.

                                                                                                                                                  • Cisco Spark-appen er nu Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud er nu Webex Cloud.

                                                                                                                                                  11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I tabellen X.509 Certifikatkrav skal du angive, at certifikatet ikke kan være et jokertegn, og at KMS bruger CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  2. november 2017

                                                                                                                                                  • Klargjort mappesynkronisering af HdsTrialGroup.

                                                                                                                                                  • Rettede vejledninger til overførsel af ISO-konfigurationsfilen til montering på VM-noderne.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Første offentliggjort

                                                                                                                                                  Kom godt i gang med hybrid-datasikkerhed

                                                                                                                                                  Oversigt over hybrid-datasikkerhed

                                                                                                                                                  Fra første dag har datasikkerhed været det primære fokus i designet af Webex-appen. Hjørnestenen i denne sikkerhed er kryptering af slutpunkt-til-slutpunkt-indhold, der er aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

                                                                                                                                                  Som standard får alle Webex-appkunder kryptering fra slutpunkt-til-slutpunkt med dynamiske nøgler, der er gemt i Cloud KMS i Ciscos sikkerhedsdomæne. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.

                                                                                                                                                  Arkitektur for sikkerhedsdomæne

                                                                                                                                                  Webex Cloud-arkitekturen opdeler forskellige typer tjenester i separate domæner eller tillidsdomæner, som vist nedenfor.

                                                                                                                                                  Områder for adskillelse (uden hybrid-datasikkerhed)

                                                                                                                                                  For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-områder. Identitetstjenesten, som er det eneste sted, hvor brugere kan være direkte korreleret med deres personlige oplysninger såsom e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsdomænet i datacenter B. Begge er adskilt fra det domæne, hvor krypteret indhold i sidste ende gemmes, i datacenter C.

                                                                                                                                                  I dette diagram kører klienten Webex-appen på en brugers bærbare computer og er godkendt med identitetstjenesten. Når brugeren opretter en meddelelse, der skal sendes til et rum, udføres følgende trin:

                                                                                                                                                  1. Klienten opretter en sikker forbindelse til KMS (key management service) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

                                                                                                                                                  2. Meddelelsen krypteres, før den forlader klienten. Klienten sender det til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe fremtidige søgninger efter indholdet.

                                                                                                                                                  3. Den krypterede meddelelse sendes til overholdelsestjenesten for overensstemmelseskontrol.

                                                                                                                                                  4. Den krypterede meddelelse gemmes i lagerdomænet.

                                                                                                                                                  Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsressourcefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitets- og indholdslagring), forbliver i Ciscos domæner.

                                                                                                                                                  Samarbejde med andre organisationer

                                                                                                                                                  Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi det blev oprettet af en af dine brugere), sender dit KMS nøglen til klienten over en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, sender din KMS anmodningen ud til Webex Cloud via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

                                                                                                                                                  Den KMS-tjeneste, der kører på organisation A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for oplysninger om generering af et x.509-certifikat til brug med din hybrid-datasikkerhedsudrulning.

                                                                                                                                                  Forventninger til implementering af hybrid-datasikkerhed

                                                                                                                                                  Opsætningsproces på højt niveau

                                                                                                                                                  Dette dokument omhandler opsætningen og administrationen af en hybrid-datasikkerhedsudrulning:

                                                                                                                                                  • Opsæt hybrid-datasikkerhed – dette omfatter forberedelse af den nødvendige infrastruktur og installation af hybrid-datasikkerhedssoftware, test af din installation med et undersæt af brugere i prøveversionstilstand, og når din test er fuldført, gå over til produktion. Dette konverterer hele organisationen til at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

                                                                                                                                                    Opsætnings-, prøve- og produktionsfaserne er beskrevet i detaljer i de næste tre kapitler.

                                                                                                                                                  • Vedligehold din hybrid-datasikkerhedsudrulning – Webex Cloud leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde support på niveau et for denne udrulning og bruge Cisco-support efter behov. Du kan bruge underretninger på skærmen og opsætte e-mailbaserede varsler i Control Hub.

                                                                                                                                                  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du oplever problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og bilaget Kendte problemer hjælpe dig med at finde og løse problemet.

                                                                                                                                                  Udrulningsmodel for hybrid-datasikkerhed

                                                                                                                                                  I dit virksomhedsdatacenter installerer du hybrid-datasikkerhed som en enkelt klynge af noder på separate virtuelle værter. Noderne kommunikerer med Webex Cloud via sikre websockets og sikker HTTP.

                                                                                                                                                  Under installationsprocessen giver vi dig OVA-filen til at konfigurere den virtuelle enhed på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugertilpasset ISO-fil til klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din angivne Syslogd-server- og PostgreSQL- eller Microsoft SQL-serverdatabase. (Du kan konfigurere oplysninger om Syslogd og databaseforbindelse i HDS-opsætningsværktøjet).

                                                                                                                                                  Udrulningsmodel for hybrid-datasikkerhed

                                                                                                                                                  Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre pr. klynge. At have flere knudepunkter sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex Cloud opgraderer kun én knude ad gangen).

                                                                                                                                                  Alle knuder i en klynge har adgang til det samme nøgledatalager og logaktivitet til den samme syslog-server. Noderne er i sig selv statsløse og håndterer vigtige anmodninger på round-robin-måde, som dirigeret af skyen.

                                                                                                                                                  Knudepunkter bliver aktive, når du tilmelder dem i Control Hub. Hvis du vil tage en individuel knude ud af drift, kan du framelde den og senere registrere den igen, hvis det er nødvendigt.

                                                                                                                                                  Vi understøtter kun en enkelt klynge pr. organisation.

                                                                                                                                                  Prøvetilstand for hybrid-datasikkerhed

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsudrulning, skal du først prøve den med et sæt pilotbrugere. I prøveperioden bruger disse brugere dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedsressourcetjenester. Dine andre brugere fortsætter med at bruge cloud-sikkerhedsdomænet.

                                                                                                                                                  Hvis du beslutter ikke at fortsætte med installationen under prøveperioden og deaktivere tjenesten, mister pilotbrugerne og alle brugere, de har interageret med ved at oprette nye rum i prøveperioden, adgang til meddelelserne og indholdet. De vil se "Denne meddelelse kan ikke dekrypteres" i Webex-appen.

                                                                                                                                                  Hvis du er sikker på, at din installation fungerer godt for brugerne af prøveversionen, og du er klar til at udvide hybrid-datasikkerheden til alle dine brugere, skal du flytte installationen til produktion. Pilotbrugere har fortsat adgang til de nøgler, der var i brug under prøveversionen. Du kan dog ikke flytte frem og tilbage mellem produktionstilstand og den oprindelige prøveversion. Hvis du skal deaktivere tjenesten, f.eks. udføre katastrofegenoprettelse, skal du starte en ny prøveversion, når du genaktiverer den, og opsætte sættet af pilotbrugere til den nye prøveversion, før du går tilbage til produktionstilstand. Hvorvidt brugere bevarer adgang til data på dette tidspunkt, afhænger af, om du har opretholdt sikkerhedskopieringer af nøgledatalageret og ISO-konfigurationsfilen til hybrid-datasikkerhedstjeneste i din klynge.

                                                                                                                                                  Standby-datacenter til gendannelse efter nedbrud

                                                                                                                                                  Under installationen konfigurerer du et sikkert standbydatacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standby-datacenteret.

                                                                                                                                                  Før failover har datacenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-database, mens B har en kopi af ISO-filen med yderligere konfigurationer, VM'er, der er registreret i organisationen, og en standbydatabase. Efter failover har datacenter B aktive HDS-noder og den primære database, mens A har ikke-registrerede VM'er og en kopi af ISO-filen, og databasen er i standbytilstand.
                                                                                                                                                  Manuel failover til standby-datacenter

                                                                                                                                                  Databaserne for de aktive datacentre og standby-datacentre er synkroniseret, hvilket minimerer den tid, det tager at udføre failover. ISO-filen for standby-datacenteret opdateres med yderligere konfigurationer, der sikrer, at noderne er registreret i organisationen, men ikke håndterer trafik. Derfor forbliver noderne i standby-datacenteret altid opdaterede med den seneste version af HDS-softwaren.

                                                                                                                                                  De aktive hybrid-datasikkerhedstjeneste skal altid være i det samme datacenter som den aktive databaseserver.

                                                                                                                                                  Konfigurer standbydatacenter til gendannelse efter nedbrud

                                                                                                                                                  Følg trinene herunder for at konfigurere ISO-filen for standby-datacenteret:

                                                                                                                                                  1

                                                                                                                                                  Start HDS-opsætningsværktøjet, og følg trinene nævnt i Opret en konfigurations-ISO for HDS-værter.

                                                                                                                                                  ISO-filen skal være en kopi af den oprindelige ISO-fil fra det primære datacenter, hvortil følgende konfigurationsopdateringer skal foretages.

                                                                                                                                                  2

                                                                                                                                                  Når Syslogd-serveren er konfigureret, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor for at placere noden i passiv tilstand. I denne tilstand registreres noden i organisationen og er forbundet til skyen, men håndterer ikke trafik.

                                                                                                                                                   passivTilstand: "sand" 

                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Lav en sikkerhedskopi af ISO-filen på dit lokale system. Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  Højreklik på VMware vSphere-klientens venstre navigationsrude, og klik på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg ISO-fil i datalagring.

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knudepunkterne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver node i standby-datacenteret.

                                                                                                                                                  Kontrollér syslogs for at bekræfte, at knuderne er i passiv tilstand. Du skal kunne se meddelelsen "KMS konfigureret i passiv tilstand" i syslogs.

                                                                                                                                                  Når du har konfigureret passiveMode i ISO-filen og gemt den, kan du oprette en anden kopi af ISO-filen uden passiveMode -konfigurationen og gemme den på en sikker placering. Denne kopi af ISO-filen uden passiveMode konfigureret kan hjælpe i en hurtig failover-proces under katastrofegenoprettelse. Se Katastrofegendannelse ved hjælp af Standby Data Center for detaljerede failover-procedurer.

                                                                                                                                                  Proxy-support

                                                                                                                                                  Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.

                                                                                                                                                  Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:

                                                                                                                                                  • Ingen proxy – standard, hvis du ikke bruger HDS-nodens konfiguration af tillidslager og proxykonfiguration til at integrere en proxy. Ingen certifikat opdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig ikke-kontrollerende proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve ændringer for at fungere med en ikke-kontrollerende proxy. Ingen certifikat opdatering er påkrævet.

                                                                                                                                                  • Gennemsigtig tunneling eller inspektion af proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

                                                                                                                                                  • Eksplicit proxy – Med eksplicit proxy fortæller du HDS-knuderne, hvilken proxyserver og godkendelsesplan de skal bruge. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

                                                                                                                                                    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

                                                                                                                                                    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

                                                                                                                                                    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

                                                                                                                                                      • HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.

                                                                                                                                                      • HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.

                                                                                                                                                    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

                                                                                                                                                      • Ingen – ingen yderligere godkendelse er påkrævet.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

                                                                                                                                                      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

                                                                                                                                                        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

                                                                                                                                                        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

                                                                                                                                                      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

                                                                                                                                                        Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.

                                                                                                                                                        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

                                                                                                                                                  Eksempel på hybrid-data sikkerheds knuder og proxy

                                                                                                                                                  Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.

                                                                                                                                                  Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)

                                                                                                                                                  Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  Krav til hybrid-datasikkerhed

                                                                                                                                                  Krav til Docker Desktop

                                                                                                                                                  Før du installerer dine HDS-knuder, skal du bruge Docker Desktop til at køre et opsætningsprogram. Docker har for nylig opdateret sin licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".

                                                                                                                                                  X.509 Certifikatkrav

                                                                                                                                                  Certifikatkæden skal opfylde følgende krav:

                                                                                                                                                  Tabel 1. X.509 Certifikatkrav til hybrid-datasikkerhedsudrulning

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Underskrevet af et pålideligt nøglecenter (CA)

                                                                                                                                                  Som standard stoler vi på nøglecentererne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Har et CN-domænenavn (Common Name), der identificerer din hybrid-datasikkerhedsudrulning

                                                                                                                                                  • Er ikke et jokertegn

                                                                                                                                                  CN behøver ikke at kunne kontaktes eller være en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

                                                                                                                                                  CN må ikke indeholde et * (jokertegn).

                                                                                                                                                  CN bruges til at bekræfte hybrid-datasikkerhedsknuderne for Webex-appklienter. Alle hybrid-datasikkerhedstjeneste noder i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

                                                                                                                                                  Når du har registreret en node med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet. Vælg et domæne, der kan gælde for både prøveversionen og produktionsudrulningerne.

                                                                                                                                                  • Ikke-SHA1-signatur

                                                                                                                                                  KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

                                                                                                                                                  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

                                                                                                                                                  • Brug det venlige navn på kms-private-key til at tagge certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal uploades.

                                                                                                                                                  Du kan bruge en konverter såsom OpenSSL til at ændre certifikatets format.

                                                                                                                                                  Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

                                                                                                                                                  KMS-softwaren håndhæver ikke nøglebrug eller udvidede begrænsninger for nøglebrug. Nogle certifikatmyndigheder kræver, at der anvendes udvidede begrænsninger for nøglebrug for hvert certifikat, f.eks. servergodkendelse. Det er i orden at bruge servergodkendelse eller andre indstillinger.

                                                                                                                                                  Krav til virtuel vært

                                                                                                                                                  De virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste noder i din klynge, har følgende krav:

                                                                                                                                                  • Mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter

                                                                                                                                                  • VMware ESXi 6.5 (eller nyere) installeret og kører.

                                                                                                                                                    Du skal opgradere, hvis du har en tidligere version af ESXi.

                                                                                                                                                  • Mindst 4 vCPU'er, 8 GB primær hukommelse, 30 GB lokal harddiskplads pr. server

                                                                                                                                                  Krav til databaseserver

                                                                                                                                                  Opret en ny database til nøglelager. Brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.

                                                                                                                                                  Der er to valgmuligheder for databaseserver. Kravene til hver enkelt er som følger:

                                                                                                                                                  Tabel 2. Databaseserverkrav efter databasetype

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installeret og kører.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installeret.

                                                                                                                                                    SQL Server 2016 kræver Service Pack 2 og kumulativ opdatering 2 eller nyere.

                                                                                                                                                  Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

                                                                                                                                                  HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  JDBC-driver 4.6 til SQL Server

                                                                                                                                                  Denne driverversion understøtter SQL Server altid slået til ( Altid på failover-klyngeforekomster og Altid på tilgængelighedsgrupper).

                                                                                                                                                  Yderligere krav til Windows-godkendelse i forhold til Microsoft SQL Server

                                                                                                                                                  Hvis du ønsker, at HDS-noder skal bruge Windows-godkendelse til at få adgang til din keystore-database på Microsoft SQL Server, skal du bruge følgende konfiguration i dit miljø:

                                                                                                                                                  • HDS-knuderne, Active Directory-infrastrukturen og MS SQL Server skal alle synkroniseres med NTP.

                                                                                                                                                  • Den Windows-konto, du angiver til HDS-noder, skal have læse-/skriveadgang til databasen.

                                                                                                                                                  • De DNS-servere, du angiver til HDS-noder, skal kunne løse dit Key Distribution Center (KDC).

                                                                                                                                                  • Du kan registrere HDS-databaseforekomsten på din Microsoft SQL Server som et Service Principal Name (SPN) i din Active Directory. Se Registrer et tjenestehovednavn for Kerberos-forbindelser.

                                                                                                                                                    HDS-opsætningsværktøjet, HDS-startfunktionen og lokal KMS skal alle bruge Windows-godkendelse til at få adgang til nøglelagerdatabasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når der anmodes om adgang med Kerberos-godkendelse.

                                                                                                                                                  Krav til ekstern forbindelse

                                                                                                                                                  Konfigurer din firewall til at tillade følgende forbindelser for HDS-programmerne:

                                                                                                                                                  Applikation

                                                                                                                                                  Protokol

                                                                                                                                                  Port

                                                                                                                                                  Retning fra appen

                                                                                                                                                  Destination

                                                                                                                                                  Hybrid-datasikkerhedstjeneste

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-værter

                                                                                                                                                  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser til Webex Hybrid-tjenester med Netværkskrav til Webex-tjenester

                                                                                                                                                  HDS-opsætningsværktøj

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Udgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-værter

                                                                                                                                                  • hub.docker.com

                                                                                                                                                  Hybrid-datasikkerhedstjeneste fungerer med NAT (network access translation) eller bag en firewall, så længe NAT eller firewall tillader de påkrævede udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går indgående til hybrid-datasikkerhedstjeneste, må ingen porte være synlige fra internettet. I dit datacenter skal klienter have adgang til hybrid-datasikkerhedsknuderne på TCP-portene 443 og 22 af administrative årsager.

                                                                                                                                                  URL-adresser til Common Identity (CI)-værter er områdespecifikke. Disse er de aktuelle CI-værter:

                                                                                                                                                  Område

                                                                                                                                                  URL-adresser til fælles identitet

                                                                                                                                                  Nord-, Mellem- og Sydamerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  EU

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxy server krav

                                                                                                                                                  • Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.

                                                                                                                                                    • Gennemsigtig proxy – Cisco web Security-Appliance (WSA).

                                                                                                                                                    • Eksplicit proxy-squid.

                                                                                                                                                      Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket-forbindelser (wss:). Hvis du vil undgå dette problem, kan du se Konfigurer Squid-proxyer til hybrid-datasikkerhed.

                                                                                                                                                  • Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:

                                                                                                                                                    • Ingen godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Grundlæggende godkendelse med HTTP eller HTTPS

                                                                                                                                                    • Samlet godkendelse kun med HTTPS

                                                                                                                                                  • For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.

                                                                                                                                                  • Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

                                                                                                                                                  • Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil tilsidesættelse af trafik til wbx2.com og ciscospark.com løse problemet.

                                                                                                                                                  Udfyld forudsætningerne for hybrid-datasikkerhed

                                                                                                                                                  Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
                                                                                                                                                  1

                                                                                                                                                  Sørg for, at din Webex-organisation er aktiveret til Pro Pack til Cisco Webex Control Hub, og få legitimationsoplysningerne for en konto med fulde organisationsadministratorrettigheder. Kontakt din Cisco-partner eller -kontoadministrator for at få hjælp til denne proces.

                                                                                                                                                  2

                                                                                                                                                  Vælg et domænenavn til din HDS-udrulning (for eksempel hds.company.com), og få en certifikatkæde, der indeholder et X.509-certifikat, en privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 Certifikatkrav.

                                                                                                                                                  3

                                                                                                                                                  Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste i din klynge. Du skal bruge mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter, som opfylder kravene i Krav til virtuel vært.

                                                                                                                                                  4

                                                                                                                                                  Forbered den databaseserver, der vil fungere som nøgledatalageret for klyngen i henhold til kravene til databaseserver. Databaseserveren skal være placeret i det sikre datacenter med de virtuelle værter.

                                                                                                                                                  1. Opret en database til nøglelager. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.)

                                                                                                                                                  2. Indsaml de oplysninger, som noderne skal bruge til at kommunikere med databaseserveren:

                                                                                                                                                    • værtsnavnet eller IP-adressen (vært) og porten

                                                                                                                                                    • navnet på databasen (dbname) til nøglelagring

                                                                                                                                                    • brugernavnet og adgangskoden for en bruger med alle privilegier på nøglelagerdatabasen

                                                                                                                                                  5

                                                                                                                                                  For hurtig katastrofegenoprettelse skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Sikkerhedskopieringsmiljøet afspejler produktionsmiljøet for VM'er og en sikkerhedskopieret databaseserver. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Hent dens netværksadresse og syslog-port (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedstjeneste, databaseserveren og syslog-værten. For at forhindre, at der ikke kan genoprettes tab af data, skal du som minimum sikkerhedskopiere databasen og konfigurationsfilen, der er genereret til hybrid-datasikkerhedstjeneste.

                                                                                                                                                  Da hybrid-datasikkerhedstjeneste gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operativ installation medføre UOPRETTELIG TAB af dette indhold.

                                                                                                                                                  Webex-appklienter cachelagrer deres nøgler, så et udfald vil muligvis ikke blive bemærket med det samme, men vil blive tydeligt med tiden. Selv om midlertidige afbrydelser ikke kan forhindres, kan de genoprettes. Men komplet tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller konfigurationsfilen vil resultere i, at kundedata ikke kan genoprettes. Operatørerne af hybrid-datasikkerhedstjeneste forventes at opretholde hyppige sikkerhedskopieringer af databasen og ISO-konfigurationsfilen og være forberedt på at genopbygge hybrid-datasikkerhedstjeneste-datacenteret, hvis der opstår en katastrofal fejl.

                                                                                                                                                  8

                                                                                                                                                  Sørg for, at din firewall-konfiguration tillader tilslutning til dine hybrid-datasikkerhedsknuder som beskrevet i Krav til ekstern tilslutning.

                                                                                                                                                  9

                                                                                                                                                  Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

                                                                                                                                                  Du kan bruge Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opretter de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedstjeneste. Din organisation har muligvis brug for en Docker Desktop-licens. Se Krav til Docker-desktop for yderligere oplysninger.

                                                                                                                                                  For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have forbindelsen beskrevet i Krav til ekstern forbindelse.

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder kravene til proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Hvis din organisation bruger mappesynkronisering, skal du oprette en gruppe i Active Directory ved navn HdsTrialGroup og tilføje pilotbrugere. Prøvegruppen kan have op til 250 brugere. HdsTrialGroup -objektet skal synkroniseres med skyen, før du kan starte en prøveversion for din organisation. Hvis du vil synkronisere et gruppeobjekt, skal du vælge det i menuen Konfiguration > Valg af objekt i Directory Connector. (Se Installationsvejledning til Cisco Directory Connector for detaljerede vejledninger.)

                                                                                                                                                  Taster for et givet rum indstilles af opretteren af rummet. Når du vælger pilotbrugere, skal du huske, at hvis du beslutter dig for permanent at deaktivere hybrid-datasikkerhedsudrulning, mister alle brugere adgang til indhold i de rum, der blev oprettet af pilotbrugerne. Tabet bliver synligt, så snart brugernes apps opdaterer deres cachelagrede kopier af indholdet.

                                                                                                                                                  Opsæt en hybrid-datasikkerhedsklynge

                                                                                                                                                  Hybrid Data Security Deployment Task Flow

                                                                                                                                                  Før du begynder

                                                                                                                                                  Forbered dit miljø

                                                                                                                                                  1

                                                                                                                                                  Perform initial set up and download installation files

                                                                                                                                                  Download the OVA file to your local machine for later use.

                                                                                                                                                  2

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes.

                                                                                                                                                  3

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Create a virtual machine from the OVA file and perform initial configuration, such as network settings.

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  4

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  5

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Configure the VM from the ISO configuration file that you created with the HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer HDS-knudepunkt for proxy integration

                                                                                                                                                  If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed.

                                                                                                                                                  7

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  Register the VM with the Cisco Webex cloud as a Hybrid Data Security node.

                                                                                                                                                  8

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  Complete the cluster setup.

                                                                                                                                                  9

                                                                                                                                                  Run a Trial and Move to Production (next chapter)

                                                                                                                                                  Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  Download Installation Files

                                                                                                                                                  In this task, you download an OVA file to your machine (not to the servers you set up as Hybrid Data Security nodes). You use this file later in the installation process.
                                                                                                                                                  1

                                                                                                                                                  Sign in to https://admin.webex.com, and then click Services.

                                                                                                                                                  2

                                                                                                                                                  In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up.

                                                                                                                                                  If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.

                                                                                                                                                  You can also download the OVA at any time from the Help section on the Settings page. On the Hybrid Data Security card, click Edit settings to open the page. Then, click Download Hybrid Data Security software in the Help section.

                                                                                                                                                  Older versions of the software package (OVA) will not be compatible with the latest Hybrid Data Security upgrades. This can result in issues while upgrading the application. Make sure you download the latest version of the OVA file.

                                                                                                                                                  3

                                                                                                                                                  Select No to indicate that you haven’t set up the node yet, and then click Next.

                                                                                                                                                  The OVA file automatically begins to download. Save the file to a location on your machine.
                                                                                                                                                  4

                                                                                                                                                  Optionally, click Open Deployment Guide to check if there’s a later version of this guide available.

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver brugeroplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.

                                                                                                                                                    If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:

                                                                                                                                                    • Database credentials

                                                                                                                                                    • Certificate updates

                                                                                                                                                    • Changes to authorization policy

                                                                                                                                                  • If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.

                                                                                                                                                  1

                                                                                                                                                  Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  I adgangskodeanmodningen skal du indtaste denne hash:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download det seneste stabilt billede til dit miljø:

                                                                                                                                                  I almindelige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når træk er fuldført, indtast den relevante kommando for dit miljø:

                                                                                                                                                  • I almindelige miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In regular environments with an HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når beholderen kører, ser du "Express-serveren lytter på port 8080."

                                                                                                                                                  6

                                                                                                                                                  The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost.

                                                                                                                                                  Use a web browser to go to the localhost, http://127.0.0.1:8080, and enter customer admin username for Control Hub at the prompt.

                                                                                                                                                  The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt.

                                                                                                                                                  7

                                                                                                                                                  When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  On the Setup Tool overview page, click Get Started.

                                                                                                                                                  9

                                                                                                                                                  On the ISO Import page, you have these options:

                                                                                                                                                  • No—If you’re creating your first HDS node, you don't have an ISO file to upload.
                                                                                                                                                  • Yes—If you already created HDS nodes, then you select your ISO file in the browse and upload it.
                                                                                                                                                  10

                                                                                                                                                  Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.

                                                                                                                                                  • If you never uploaded a certificate before, upload the X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  • If your certificate is OK, click Continue.
                                                                                                                                                  • If your certificate has expired or you want to replace it, select No for Continue using HDS certificate chain and private key from previous ISO?. Upload a new X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  11

                                                                                                                                                  Enter the database address and account for HDS to access your key datastore:

                                                                                                                                                  1. Select your Database Type (PostgreSQL or Microsoft SQL Server).

                                                                                                                                                    If you choose Microsoft SQL Server, you get an Authentication Type field.

                                                                                                                                                  2. (Microsoft SQL Server only) Select your Authentication Type:

                                                                                                                                                    • Basic Authentication: You need a local SQL Server account name in the Username field.

                                                                                                                                                    • Windows Authentication: You need a Windows account in the format username@DOMAIN in the Username field.

                                                                                                                                                  3. Enter the database server address in the form <hostname>:<port> or <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 or 198.51.100.17:1433

                                                                                                                                                    You can use an IP address for basic authentication, if the nodes can't use DNS to resolve the hostname.

                                                                                                                                                    If you are using Windows authentication, you must enter a Fully Qualified Domain Name in the format dbhost.example.org:1433

                                                                                                                                                  4. Enter the Database Name.

                                                                                                                                                  5. Enter the Username and Password of a user with all privileges on the key storage database.

                                                                                                                                                  12

                                                                                                                                                  Select a TLS Database Connection Mode:

                                                                                                                                                  Mode

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Prefer TLS (default option)

                                                                                                                                                  HDS-noder kræver ikke TLS for at tilslutte til databaseserveren. If you enable TLS on the database server, the nodes attempt an encrypted connection.

                                                                                                                                                  Kræv TLS

                                                                                                                                                  HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

                                                                                                                                                  Kræv TLS, og bekræft certifikatcertifikatstegner

                                                                                                                                                  This mode isn’t applicable for SQL Server databases.

                                                                                                                                                  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

                                                                                                                                                  Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

                                                                                                                                                  Kræv TLS, og bekræft certifikatvært og værtsnavn

                                                                                                                                                  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

                                                                                                                                                  • The nodes also verify that the hostname in the server certificate matches the hostname in the Database host and port field. Navnene skal passe præcist, ellers vil knudepunktet falde i forbindelsen.

                                                                                                                                                  Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

                                                                                                                                                  When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.)

                                                                                                                                                  13

                                                                                                                                                  On the System Logs page, configure your Syslogd server:

                                                                                                                                                  1. Enter the syslog server URL.

                                                                                                                                                    If the server isn’t DNS-resolvable from the nodes for your HDS cluster, use an IP address in the URL.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 indicates logging to Syslogd host 10.92.43.23 on UDP port 514.
                                                                                                                                                  2. If you set up your server to use TLS encryption, check Is your syslog server configured for SSL encryption?.

                                                                                                                                                    If you check this check box, make sure you enter a TCP URL such as tcp://10.92.43.23:514.

                                                                                                                                                  3. From the Choose syslog record termination drop-down, choose the appropriate setting for your ISO file: Choose or Newline is used for Graylog and Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Select this choice for Graylog and Rsyslog TCP.

                                                                                                                                                  4. Klik på Fortsæt.

                                                                                                                                                  14

                                                                                                                                                  (Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change:

                                                                                                                                                  app_datasource_connection_pool_maxStørrelse: 10
                                                                                                                                                  15

                                                                                                                                                  Click Continue on the Reset Service Accounts Password screen.

                                                                                                                                                  Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files.

                                                                                                                                                  16

                                                                                                                                                  Click Download ISO File. Save the file in a location that's easy to find.

                                                                                                                                                  17

                                                                                                                                                  Make a backup copy of the ISO file on your local system.

                                                                                                                                                  Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

                                                                                                                                                  18

                                                                                                                                                  For at lukke opsætningsværktøjet skal du taste CTRL+C.

                                                                                                                                                  Næste trin

                                                                                                                                                  Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.

                                                                                                                                                  We never have a copy of this key and can't help if you lose it.

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Use this procedure to create a virtual machine from the OVA file.
                                                                                                                                                  1

                                                                                                                                                  Use the VMware vSphere client on your computer to log into the ESXi virtual host.

                                                                                                                                                  2

                                                                                                                                                  Select File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next.

                                                                                                                                                  4

                                                                                                                                                  On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  On the Select a compute resource page, choose the destination compute resource, and then click Next.

                                                                                                                                                  A validation check runs. After it finishes, the template details appear.

                                                                                                                                                  6

                                                                                                                                                  Verify the template details and then click Next.

                                                                                                                                                  7

                                                                                                                                                  If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next.

                                                                                                                                                  8

                                                                                                                                                  On the Select storage page, click Next to accept the default disk format and VM storage policy.

                                                                                                                                                  9

                                                                                                                                                  On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM.

                                                                                                                                                  10

                                                                                                                                                  On the Customize template page, configure the following network settings:

                                                                                                                                                  • Hostname—Enter the FQDN (hostname and domain) or a single word hostname for the node.
                                                                                                                                                    • You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                    • To ensure a successful registration to the cloud, use only lowercase characters in the FQDN or hostname that you set for the node. Store bogstaver understøttes ikke på dette tidspunkt.

                                                                                                                                                    • The total length of the FQDN must not exceed 64 characters.

                                                                                                                                                  • IP Address— Enter the IP address for the internal interface of the node.

                                                                                                                                                    Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  • Mask—Enter the subnet mask address in dot-decimal notation. For example, 255.255.255.0.
                                                                                                                                                  • Gateway—Enter the gateway IP address. A gateway is a network node that serves as an access point to another network.
                                                                                                                                                  • DNS Servers—Enter a comma-separated list of DNS servers, which handle translating domain names to numeric IP addresses. (Up to 4 DNS entries are allowed.)
                                                                                                                                                  • NTP Servers—Enter your organization's NTP server or another external NTP server that can be used in your organization. The default NTP servers may not work for all enterprises. You can also use a comma-separated list to enter multiple NTP servers.
                                                                                                                                                  • Deploy all the nodes on the same subnet or VLAN, so that all nodes in a cluster are reachable from clients in your network for administrative purposes.

                                                                                                                                                  If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  11

                                                                                                                                                  Right-click the node VM, and then choose Power > Power On.

                                                                                                                                                  The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node.

                                                                                                                                                  Fejlfindingstip

                                                                                                                                                  You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in.

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  1

                                                                                                                                                  In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab.

                                                                                                                                                  The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
                                                                                                                                                  2

                                                                                                                                                  Use the following default login and password to sign in and change the credentials:

                                                                                                                                                  1. Login: Administrator

                                                                                                                                                  2. Adgangskode: Cisco

                                                                                                                                                  Since you are signing in to your VM for the first time, you are required to change the administrator password.

                                                                                                                                                  3

                                                                                                                                                  If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option.

                                                                                                                                                  4

                                                                                                                                                  Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  5

                                                                                                                                                  (Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy.

                                                                                                                                                  You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                  6

                                                                                                                                                  Save the network configuration and reboot the VM so that the changes take effect.

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Use this procedure to configure the virtual machine from the ISO file that you created with the HDS Setup Tool.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.

                                                                                                                                                  1

                                                                                                                                                  Upload the ISO file from your computer:

                                                                                                                                                  1. In the VMware vSphere client's left navigation pane, click on the ESXi server.

                                                                                                                                                  2. On the Configuration tab's Hardware list, click Storage.

                                                                                                                                                  3. In the Datastores list, right-click on the datastore for your VMs and click Browse Datastore.

                                                                                                                                                  4. Click on the Upload Files icon, and then click Upload File.

                                                                                                                                                  5. Browse to the location where you downloaded the ISO file on your computer and click Open.

                                                                                                                                                  6. Click Yes to accept the upload/download operation warning, and close the datastore dialog.

                                                                                                                                                  2

                                                                                                                                                  Mount the ISO file:

                                                                                                                                                  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  2. Click OK to accept the restricted edit options warning.

                                                                                                                                                  3. Click CD/DVD Drive 1, select the option to mount from a datastore ISO file, and browse to the location where you uploaded the configuration ISO file.

                                                                                                                                                  4. Check Connected and Connect at power on.

                                                                                                                                                  5. Save your changes and reboot the virtual machine.

                                                                                                                                                  Næste trin

                                                                                                                                                  If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.

                                                                                                                                                  Konfigurer HDS-knudepunkt for proxy integration

                                                                                                                                                  Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.

                                                                                                                                                  Før du begynder

                                                                                                                                                  1

                                                                                                                                                  Indtast URL-adresse til opsætning af HDS-knude https://[HDS knude IP eller FQDN]/Setup i en webbrowser, Indtast administratorens legitimationsoplysninger, som du opsætter for knudepunktet, og klik derefter på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Trust store & proxy, og vælg derefter en valgmulighed:

                                                                                                                                                  • No Proxy—The default option before you integrate a proxy. Ingen certifikat opdatering er påkrævet.
                                                                                                                                                  • Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Ingen certifikat opdatering er påkrævet.
                                                                                                                                                  • Transparent Inspecting Proxy—Nodes are not configured to use a specific proxy server address. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-data sikkerhed, men HDS-knuder skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
                                                                                                                                                  • Explicit Proxy—With explicit proxy, you tell the client (HDS nodes) which proxy server to use, and this option supports several authentication types. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:
                                                                                                                                                    1. Proxy IP/FQDN—Address that can be used to reach the proxy machine.

                                                                                                                                                    2. Proxy Port—A port number that the proxy uses to listen for proxied traffic.

                                                                                                                                                    3. Proxy Protocol—Choose http (views and controls all requests that are received from the client) or https (provides a channel to the server and the client receives and validates the server's certificate). Vælg en valgmulighed baseret på, hvad dine proxyserver understøtter.

                                                                                                                                                    4. Authentication Type—Choose from among the following authentication types:

                                                                                                                                                      • None—No further authentication is required.

                                                                                                                                                        Tilgængelig for HTTP-eller HTTPS-proxyer.

                                                                                                                                                      • Basic—Used for an HTTP User Agent to provide a user name and password when making a request. Bruger base64 kodning.

                                                                                                                                                        Tilgængelig for HTTP-eller HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

                                                                                                                                                      • Digest—Used to confirm the account before sending sensitive information. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

                                                                                                                                                        Kun tilgængelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

                                                                                                                                                  Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen.

                                                                                                                                                  Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen.

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen.

                                                                                                                                                  Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet.

                                                                                                                                                  Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode.

                                                                                                                                                  5

                                                                                                                                                  Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft.

                                                                                                                                                  6

                                                                                                                                                  Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar.

                                                                                                                                                  Knuden genstarter inden for et par minutter.

                                                                                                                                                  7

                                                                                                                                                  Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status.

                                                                                                                                                  Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen.

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  This task takes the generic node that you created in the Set up the Hybrid Data Security VM, registers the node with the Webex cloud, and turns it into a Hybrid Data Security node.

                                                                                                                                                  When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Log på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  From the menu on the left side of the screen, select Services.

                                                                                                                                                  3

                                                                                                                                                  In the Hybrid Services section, find Hybrid Data Security and click Set up.

                                                                                                                                                  The Register Hybrid Data Security Node page appears.
                                                                                                                                                  4

                                                                                                                                                  Select Yes to indicate that you have set up the node and are ready to register it, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node.

                                                                                                                                                  We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas"

                                                                                                                                                  6

                                                                                                                                                  In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                  This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM.

                                                                                                                                                  A message appears indicating you can register your node to the Webex.
                                                                                                                                                  7

                                                                                                                                                  Click Go to Node.

                                                                                                                                                  8

                                                                                                                                                  Click Continue in the warning message.

                                                                                                                                                  After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
                                                                                                                                                  9

                                                                                                                                                  Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                  Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  10

                                                                                                                                                  Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  To add additional nodes to your cluster, you simply create additional VMs and mount the same configuration ISO file, then register the node. We recommend that you have at least 3 nodes.

                                                                                                                                                  At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node.

                                                                                                                                                  5

                                                                                                                                                  Register the node.

                                                                                                                                                  1. In https://admin.webex.com, select Services from the menu on the left side of the screen.

                                                                                                                                                  2. In the Hybrid Services section, find the Hybrid Data Security card and click Resources.

                                                                                                                                                    The Hybrid Data Security Resources page appears.
                                                                                                                                                  3. Click Add Resource.

                                                                                                                                                  4. In the first field, select the name of your existing cluster.

                                                                                                                                                  5. In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                    A message appears indicating you can register your node to the Webex cloud.
                                                                                                                                                  6. Click Go to Node.

                                                                                                                                                    After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your organization to access your node.
                                                                                                                                                  7. Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                    Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  8. Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  Næste trin

                                                                                                                                                  Run a Trial and Move to Production (next chapter)

                                                                                                                                                  Kør en prøveversion, og flyt til produktion

                                                                                                                                                  Proces til produktionsopgaveproces

                                                                                                                                                  Når du har konfigureret en hybrid-datasikkerhedsklynge, kan du starte en pilot, tilføje brugere til den og begynde at bruge den til at teste og bekræfte din installation som forberedelse til at gå over til produktion.

                                                                                                                                                  1

                                                                                                                                                  Hvis relevant, skal du synkronisere HdsTrialGroup -gruppeobjektet.

                                                                                                                                                  Hvis din organisation bruger katalogsynkronisering for brugere, skal du vælge HdsTrialGroup -gruppeobjektet til synkronisering med skyen, før du kan starte en prøveversion. For vejledninger, se Installationsvejledning til Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Start en prøveversion. Indtil du udfører denne opgave, genererer dine knudepunkter en alarm, der angiver, at tjenesten endnu ikke er aktiveret.

                                                                                                                                                  3

                                                                                                                                                  Test din udrulning af hybrid-datasikkerhed

                                                                                                                                                  Kontrollér, at vigtige anmodninger overføres til din hybrid-datasikkerhedsudrulning.

                                                                                                                                                  4

                                                                                                                                                  Overvåg sundheden for hybrid-datasikkerhed

                                                                                                                                                  Kontrollér status, og konfigurer e-mailunderretninger for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveversion

                                                                                                                                                  6

                                                                                                                                                  Fuldfør prøvefasen med en af følgende handlinger:

                                                                                                                                                  Aktivér prøveversion

                                                                                                                                                  Før du begynder

                                                                                                                                                  Hvis din organisation bruger katalogsynkronisering for brugere, skal du vælge gruppeobjektet HdsTrialGroup til synkronisering med skyen, før du kan starte en prøveversion for din organisation. For vejledninger, se Installationsvejledning til Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Log ind på https://admin.webex.com, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  Klik på Start prøveversion i afsnittet Tjenestestatus.

                                                                                                                                                  Tjenestestatussen ændres til tilstanden prøveversion.
                                                                                                                                                  4

                                                                                                                                                  Klik på Tilføj brugere , og indtast e-mailadressen på en eller flere brugere for at starte med at bruge dine hybrid-datasikkerhedstjeneste til kryptering og indekseringstjenester.

                                                                                                                                                  (Hvis din organisation bruger mappesynkronisering, skal du bruge Active Directory til at administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test din udrulning af hybrid-datasikkerhed

                                                                                                                                                  Brug denne procedure til at teste scenarier for kryptering af hybrid-datasikkerhed.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • Opsæt din hybrid-datasikkerhedsudrulning.

                                                                                                                                                  • Aktivér prøveversionen, og tilføj flere brugere af prøveversionen.

                                                                                                                                                  • Sørg for, at du har adgang til syslog'en for at bekræfte, at vigtige anmodninger overføres til din hybrid-datasikkerhedsudrulning.

                                                                                                                                                  1

                                                                                                                                                  Taster for et givet rum indstilles af opretteren af rummet. Log ind på Webex-appen som en af pilotbrugerne, og opret derefter et rum, og inviter mindst én pilotbruger og én ikke-pilotbruger.

                                                                                                                                                  Hvis du deaktiverer hybrid-datasikkerhedsudrulningen, er indhold i rum, som pilotbrugere opretter, ikke længere tilgængeligt, når de klientcachelagrede kopier af krypteringsnøglerne erstattes.

                                                                                                                                                  2

                                                                                                                                                  Send meddelelser til det nye rum.

                                                                                                                                                  3

                                                                                                                                                  Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne sendes til din hybrid-datasikkerhedsudrulning.

                                                                                                                                                  1. For at kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du skal finde en post som f.eks. følgende (identifikatorer forkortes for læsbarhed):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) OPLYSNINGER KMS [pool-14-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheBarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. For at kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere på kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finde en post såsom:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) OPLYSNINGER KMS [pool-14-tråd-31] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. For at kontrollere, om der er en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finde en post såsom:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) OPLYSNINGER KMS [pool-14-tråd-33] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. For at søge efter en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere efter kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finde en post såsom:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) OPLYSNINGER KMS [pool-15-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåg sundheden for hybrid-datasikkerhed

                                                                                                                                                  En statusindikator i Control Hub viser dig, om alt er godt med hybrid-datasikkerhedsudrulningen. Hvis du vil have mere proaktive varsler, skal du tilmelde dig e-mailunderretninger. Du får besked, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
                                                                                                                                                  1

                                                                                                                                                  I Control Hub skal du vælge Tjenester fra menuen i venstre side af skærmen.

                                                                                                                                                  2

                                                                                                                                                  I afsnittet Hybrid-tjenester skal du finde hybrid-datasikkerhed og klikke på Indstillinger.

                                                                                                                                                  Siden Indstillinger for hybrid-datasikkerhed vises.
                                                                                                                                                  3

                                                                                                                                                  I afsnittet E-mailmeddelelser skal du skrive en eller flere e-mailadresser adskilt af kommaer, og trykke på Enter.

                                                                                                                                                  Tilføj eller fjern brugere fra din prøveversion

                                                                                                                                                  Når du har aktiveret en prøveversion og tilføjet det første sæt prøvebrugere, kan du tilføje eller fjerne medlemmer af prøveversionen når som helst, mens prøveversionen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruger fra prøveversionen, vil brugerens klient anmode om nøgler og nøgleoprettelse fra cloud-KMS i stedet for din KMS. Hvis klienten har brug for en nøgle, der er gemt på din KMS, henter cloud-KMS den på brugerens vegne.

                                                                                                                                                  Hvis din organisation bruger mappesynkronisering, skal du bruge Active Directory (i stedet for denne procedure) til at administrere prøvegruppen, HdsTrialGroup. Du kan se gruppemedlemmerne i Control Hub, men du kan ikke tilføje eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Prøveversionstilstand i området Tjenestestatus skal du klikke på Tilføj brugere eller klikke på Vis og rediger for at fjerne brugere fra prøveversionen.

                                                                                                                                                  4

                                                                                                                                                  Indtast e-mailadressen på en eller flere brugere, der skal tilføjes, eller klik på X ved et bruger-id for at fjerne brugeren fra prøveversionen. Klik derefter på Gem.

                                                                                                                                                  Flyt fra prøveversion til produktion

                                                                                                                                                  Når du er sikker på, at din installation fungerer godt for brugerne af prøveversionen, kan du gå til produktion. Når du flytter til produktion, bruger alle brugere i organisationen dit lokale hybrid-datasikkerhedsdomæne til krypteringsnøgler og andre sikkerhedsressourcetjenester. Du kan ikke flytte tilbage til prøvetilstand fra produktion, medmindre du deaktiverer tjenesten som en del af katastrofegenoprettelse. Genaktivering af tjenesten kræver, at du opsætter en ny prøveversion.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Tjenestestatus skal du klikke på Flyt til produktion.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil flytte alle dine brugere til produktion.

                                                                                                                                                  Afslut prøveversionen uden at gå til produktion

                                                                                                                                                  Hvis du under din prøveversion beslutter dig for ikke at fortsætte din udrulning af hybrid-datasikkerhed, kan du deaktivere hybrid-datasikkerhed, hvilket afslutter prøveversionen og flytter prøvebrugerne tilbage til cloud-datasikkerhedstjenesterne. Brugerne af prøveversionen mister adgang til de data, der blev krypteret under prøveversionen.
                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2

                                                                                                                                                  Under hybrid-datasikkerhed skal du klikke på Indstillinger.

                                                                                                                                                  3

                                                                                                                                                  I afsnittet Deaktiver skal du klikke på Deaktiver.

                                                                                                                                                  4

                                                                                                                                                  Bekræft, at du vil deaktivere tjenesten, og afslut prøveversionen.

                                                                                                                                                  Administrer din HDS-udrulning

                                                                                                                                                  Administrer HDS-udrulning

                                                                                                                                                  Brug de opgaver, der er beskrevet her, til at administrere din udrulning af hybrid-datasikkerhed.

                                                                                                                                                  Indstil tidsplan for klyngeopgradering

                                                                                                                                                  Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan indstille en specifik opgraderingsplan eller bruge standardplanen 3:00 AM Daily i USA: Amerika/Los Angeles. Du kan også vælge at udskyde en kommende opgradering, hvis det er nødvendigt.

                                                                                                                                                  Sådan opsættes opgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Log ind på Control Hub.

                                                                                                                                                  2

                                                                                                                                                  På siden Oversigt under Hybrid-tjenester skal du vælge Hybrid-datasikkerhed.

                                                                                                                                                  3

                                                                                                                                                  Vælg klyngen på siden Hybrid-datasikkerhedsressourcer.

                                                                                                                                                  4

                                                                                                                                                  I oversigtspanelet til højre under Klyngeindstillinger skal du vælge klyngenavnet.

                                                                                                                                                  5

                                                                                                                                                  Vælg tidspunkt og tidszone for opgraderingsplanen på siden Indstillinger under Opgradering.

                                                                                                                                                  Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -klokkeslæt. Du kan udskyde opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt.

                                                                                                                                                  Skift nodekonfigurationen

                                                                                                                                                  Det kan være nødvendigt at ændre konfigurationen af din Hybrid-datasikkerhedsknude af en årsag, såsom:
                                                                                                                                                  • Ændring af x.509-certifikater pga. udløb eller andre årsager.

                                                                                                                                                    Vi understøtter ikke ændring af CN-domænenavnet for et certifikat. Domænet skal passe med det oprindelige domæne, der bruges til at registrere klyngen.

                                                                                                                                                  • Opdatering af databaseindstillinger for at ændre til en replik af PostgreSQL- eller Microsoft SQL Server-databasen.

                                                                                                                                                    Vi understøtter ikke overflytning af data fra PostgreSQL til Microsoft SQL Server, eller hvordan det kan lade sig gøre. For at skifte databasemiljøet skal du starte en ny udrulning af Hybrid-datasikkerhed.

                                                                                                                                                  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

                                                                                                                                                  Derudover bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i ni måneder. Når HDS-opsætningsværktøjet genererer disse adgangskoder, implementeres de for hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden for din maskinkonto. (E-mailen indeholder teksten "Brug maskinkonto-API'en til at opdatere adgangskoden.") Hvis dine adgangskoder endnu ikke er udløbet, giver værktøjet dig to valgmuligheder:

                                                                                                                                                  • Blød nulstilling – de gamle og nye adgangskoder fungerer begge i op til 10 dage. Brug denne periode til at erstatte ISO-filen på knudepunkterne gradvist.

                                                                                                                                                  • Hård nulstilling – de gamle adgangskoder holder op med at fungere med det samme.

                                                                                                                                                  Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, der kræver øjeblikkelig hard reset og udskiftning af ISO-filen på alle knudepunkter.

                                                                                                                                                  Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.

                                                                                                                                                  Før du begynder

                                                                                                                                                  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver brugeroplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.

                                                                                                                                                    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når Docker-beholderen vises i 1.e. Denne tabel giver nogle mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uden godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med godkendelse

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder masternøglen, der krypterer PostgreSQL eller Microsoft SQL Server-databasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

                                                                                                                                                  1

                                                                                                                                                  Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

                                                                                                                                                  1. Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-opsætning:stabil

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stabil

                                                                                                                                                    Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

                                                                                                                                                  2. For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. I adgangskodeanmodningen skal du indtaste denne hash:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download det seneste stabilt billede til dit miljø:

                                                                                                                                                    I almindelige miljøer:

                                                                                                                                                    docker træk ciscocitg/hds-opsætning:stabil

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker træk ciscocitg/hds-setup-fedramp:stabil

                                                                                                                                                    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 har ikke skærmbilleder til nulstilling af adgangskode.

                                                                                                                                                  5. Når træk er fuldført, indtast den relevante kommando for dit miljø:

                                                                                                                                                    • I almindelige miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil
                                                                                                                                                    • I almindelige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil
                                                                                                                                                    • I almindelige miljøer med en HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil
                                                                                                                                                    • I FedRAMP-miljøer uden en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når beholderen kører, ser du "Express-serveren lytter på port 8080."

                                                                                                                                                  6. Brug en browser til at tilslutte til localhost, http://127.0.0.1:8080.

                                                                                                                                                    Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

                                                                                                                                                  7. Når du bliver bedt om det, skal du indtaste dine Control Hub-kundelegitimationsoplysninger for at logge ind og derefter klikke på Accepter for at fortsætte.

                                                                                                                                                  8. Importér den aktuelle ISO-konfigurationsfil.

                                                                                                                                                  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

                                                                                                                                                    For at lukke opsætningsværktøjet skal du taste CTRL+C.

                                                                                                                                                  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun har én HDS-knude kørende, skal du oprette en ny hybrid-datasikkerhedstjeneste og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. For mere detaljerede vejledninger, se Opret og tilmeld flere knudepunkter.

                                                                                                                                                  1. Installer HDS-hosten OVA.

                                                                                                                                                  2. Opsæt HDS-VM'en.

                                                                                                                                                  3. Tilslut den opdaterede konfigurationsfil.

                                                                                                                                                  4. Tilmeld den nye knude i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-noder, der kører den ældre konfigurationsfil, skal du tilslutte ISO-filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, inden du slår den næste knude fra:

                                                                                                                                                  1. Slå den virtuelle maskine fra.

                                                                                                                                                  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

                                                                                                                                                  3. Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

                                                                                                                                                  4. Markér Forbind med tilsluttet strøm.

                                                                                                                                                  5. Gem dine ændringer, og tænd for den virtuelle maskine.

                                                                                                                                                  4

                                                                                                                                                  Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

                                                                                                                                                  Slå blokeret ekstern DNS-opløsnings tilstand fra

                                                                                                                                                  Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. Hvis knudens DNS-server ikke kan løse offentlige DNS-navne, går knuden automatisk i blokeret ekstern DNS-opløsnings tilstand.

                                                                                                                                                  Hvis dine knuder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du slå denne tilstand fra ved at køre proxy forbindelsestesten igen på hver knude.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine knuder kan kommunikere med dem.
                                                                                                                                                  1

                                                                                                                                                  I en webbrowser skal du åbne hybrid-datasikkerhedstjeneste nodegrænsefladen (f.eks. IP-adresse/opsætning, https://192.0.2.0/setup), indtaste administratorlegitimationsoplysningerne, du opsætter for noden, og derefter klikke på Log ind.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversigt (standardsiden).

                                                                                                                                                  Når den er aktiveret, er blokeret ekstern DNS-opløsning indstillet til Ja.

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Trust store & proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik på Kontroller proxy forbindelse.

                                                                                                                                                  Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke blev gennemført, var knuden ikke i stand til at nå DNS-serveren og vil forblive i denne tilstand. Ellers skal blokerede ekstern DNS-opløsning indstilles til Nej, når du genstarter knuden og går tilbage til oversigtssiden.

                                                                                                                                                  Næste trin

                                                                                                                                                  Gentag proxy forbindelsestesten på hver knude i din hybrid-datasikkerheds gruppe.

                                                                                                                                                  Fjern et knudepunkt

                                                                                                                                                  Brug denne procedure til at fjerne en hybrid-datasikkerhedstjeneste fra Webex Cloud. Når du fjerner noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
                                                                                                                                                  1

                                                                                                                                                  Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært og slukke for den virtuelle maskine.

                                                                                                                                                  2

                                                                                                                                                  Fjern knuden:

                                                                                                                                                  1. Log ind på Control Hub, og vælg derefter Tjenester.

                                                                                                                                                  2. På hybrid-datasikkerhedskortet skal du klikke på Se alle for at få vist siden Hybrid-datasikkerhedsressourcer.

                                                                                                                                                  3. Vælg din klynge for at få vist oversigtspanelet.

                                                                                                                                                  4. Klik på Åbn knudeliste.

                                                                                                                                                  5. På fanen Knuder skal du vælge den knude, du vil fjerne.

                                                                                                                                                  6. Klik på Handlinger > Fjern registrering af knude.

                                                                                                                                                  3

                                                                                                                                                  Slet VM'en i vSphere-klienten. (Højreklik på VM'en i venstre navigationsrude, og klik på Slet.)

                                                                                                                                                  Hvis du ikke sletter VM'en, skal du huske at afmontere konfigurations-ISO-filen. Uden ISO-filen kan du ikke bruge VM'en til at få adgang til dine sikkerhedsdata.

                                                                                                                                                  Katastrofegendannelse ved hjælp af standby-datacenter

                                                                                                                                                  Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye anmodninger om nøgleoprettelse til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den har oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

                                                                                                                                                  Da klyngen udfører den kritiske funktion med at levere disse nøgler, er det afgørende, at klyngen fortsat kører, og at der opretholdes korrekte sikkerhedskopieringer. Tab af hybrid-datasikkerhedsdatabasen eller af den konfigurations-ISO, der bruges til skemaet, vil medføre tab AF KUNDEINDHOLD, der ikke kan genoprettes. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

                                                                                                                                                  Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter ikke er tilgængelig, skal du følge denne procedure for manuelt at foretage failover til standby-datacenteret.

                                                                                                                                                  1

                                                                                                                                                  Start HDS-opsætningsværktøjet, og følg trinene nævnt i Opret en konfigurations-ISO for HDS-værter.

                                                                                                                                                  2

                                                                                                                                                  Når Syslogd-serveren er konfigureret, skal du klikke på Avancerede indstillinger

                                                                                                                                                  3

                                                                                                                                                  På siden Avancerede indstillinger skal du tilføje konfigurationen nedenfor eller fjerne konfigurationen passiveMode for at gøre noden aktiv. Noden kan håndtere trafik, når den er konfigureret.

                                                                                                                                                   passivTilstand: 'falsk' 

                                                                                                                                                  4

                                                                                                                                                  Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

                                                                                                                                                  5

                                                                                                                                                  Lav en sikkerhedskopi af ISO-filen på dit lokale system. Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

                                                                                                                                                  6

                                                                                                                                                  Højreklik på VMware vSphere-klientens venstre navigationsrude, og klik på Rediger indstillinger..

                                                                                                                                                  7

                                                                                                                                                  Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg ISO-fil i datalagring.

                                                                                                                                                  Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knudepunkterne er startet.

                                                                                                                                                  8

                                                                                                                                                  Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gentag processen for hver node i standby-datacenteret.

                                                                                                                                                  Kontrollér syslog-udgangen for at bekræfte, at noderne på standby-datacenteret ikke er i passiv tilstand. "KMS konfigureret i passiv tilstand" bør ikke vises i syslogs.

                                                                                                                                                  Næste trin

                                                                                                                                                  Hvis det primære datacenter efter failover bliver aktivt igen, skal du sætte standby-datacenteret i passiv tilstand igen ved at følge de trin, der er beskrevet i Opsætning af standby-datacenter til katastrofegenoprettelse.

                                                                                                                                                  (Valgfrit) Afmonter ISO efter HDS-konfiguration

                                                                                                                                                  Standard-HDS-konfigurationen kører med ISO monteret. Men nogle kunder foretrækker ikke at lade ISO-filer være monteret kontinuerligt. Du kan afmontere ISO-filen, når alle HDS-knuder henter den nye konfiguration.

                                                                                                                                                  Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine knudepunkter har hentet konfigurationsændringerne, kan du afmontere ISO'en igen med denne procedure.

                                                                                                                                                  Før du begynder

                                                                                                                                                  Opgrader alle dine HDS-knuder til version 2021.01.22.4720 eller nyere.

                                                                                                                                                  1

                                                                                                                                                  Luk en af dine HDS-knudepunkter.

                                                                                                                                                  2

                                                                                                                                                  Vælg HDS-noden i vCenter-serverenheden.

                                                                                                                                                  3

                                                                                                                                                  Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af ISO-fil i datalagring.

                                                                                                                                                  4

                                                                                                                                                  Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gentag for hver HDS-knude ad gangen.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Vis varsler og fejlfinding

                                                                                                                                                  En hybrid-datasikkerhedsudrulning anses for ikke at være tilgængelig, hvis alle knuder i klyngen er utilgængelige, eller klyngen arbejder så langsomt, at anmodninger om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

                                                                                                                                                  • Nye rum kan ikke oprettes (nye nøgler kan ikke oprettes)

                                                                                                                                                  • Meddelelser og rumtitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brugere føjet til et rum (kunne ikke hente tasterne)

                                                                                                                                                    • Eksisterende brugere i et rum, der bruger en ny klient (kan ikke hente tasterne)

                                                                                                                                                  • Eksisterende brugere i et rum fortsætter med at køre, så længe deres klienter har en cache med krypteringsnøglerne

                                                                                                                                                  Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og adresserer eventuelle advarsler med det samme for at undgå afbrydelse af tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Control Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varsler dækker mange almindelige scenarier.

                                                                                                                                                  Tabel 1. Almindelige problemer og trin til at løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Fejl ved lokal databaseadgang.

                                                                                                                                                  Kontrollér, om der er databasefejl eller problemer med lokale netværk.

                                                                                                                                                  Fejl i forbindelse med lokal database.

                                                                                                                                                  Kontrollér, at databaseserveren er tilgængelig, og at de rigtige tjenestekontolegitimationsoplysninger blev brugt i nodekonfigurationen.

                                                                                                                                                  Fejl i adgang til cloudtjeneste.

                                                                                                                                                  Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i Krav til ekstern forbindelse.

                                                                                                                                                  Fornyelse af registrering af cloudtjeneste.

                                                                                                                                                  Tilmelding til cloudtjenester blev afbrudt. Fornyelse af registrering er i gang.

                                                                                                                                                  Registrering af cloudtjeneste blev afbrudt.

                                                                                                                                                  Tilmelding til cloudtjenester blev afsluttet. Tjenesten er ved at lukke.

                                                                                                                                                  Tjenesten er endnu ikke aktiveret.

                                                                                                                                                  Aktivér en prøveversion, eller afslut flytning af prøveversionen til produktion.

                                                                                                                                                  Det konfigurerede domæne stemmer ikke overens med servercertifikatet.

                                                                                                                                                  Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

                                                                                                                                                  Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den indledende opsætning.

                                                                                                                                                  Kunne ikke godkende cloudtjenester.

                                                                                                                                                  Kontrollér nøjagtigheden og mulig udløb af legitimationsoplysninger for tjenestekontoen.

                                                                                                                                                  Kunne ikke åbne fil med lokal nøglelager.

                                                                                                                                                  Kontrollér, om der er integritet og adgangskodenøjagtighed i den lokale nøglecenterfil.

                                                                                                                                                  Lokalt servercertifikat er ugyldigt.

                                                                                                                                                  Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en pålidelig certifikatmyndighed.

                                                                                                                                                  Kan ikke sende målinger.

                                                                                                                                                  Kontrollér lokal netværksadgang til eksterne cloudtjenester.

                                                                                                                                                  /media/configdrive/hds-mappen findes ikke.

                                                                                                                                                  Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at blive monteret ved genstart, og at den monteres korrekt.

                                                                                                                                                  Fejlfinding af hybrid-datasikkerhed

                                                                                                                                                  Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybrid-datasikkerhed.
                                                                                                                                                  1

                                                                                                                                                  Gennemgå Control Hub for eventuelle varsler, og ret eventuelle elementer, du finder der.

                                                                                                                                                  2

                                                                                                                                                  Gennemgå syslog-serverens output for aktivitet fra hybrid-datasikkerhedsudrulningen.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-support.

                                                                                                                                                  Andre bemærkninger

                                                                                                                                                  Kendte problemer med hybrid-datasikkerhed

                                                                                                                                                  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Control Hub eller ved at lukke alle knudepunkter), mister din konfigurations-ISO-fil eller mister adgang til nøglelagerdatabasen, kan dine Webex-appbrugere ikke længere bruge rum på deres personliste, der blev oprettet med nøgler fra din KMS. Dette gælder for både prøveinstallationer og produktionsudrulninger. Vi har ikke en løsning eller løsning på dette problem i øjeblikket og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

                                                                                                                                                  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, opretholder denne forbindelse i en tidsperiode (sandsynligvis en time). Når en bruger bliver medlem af en hybrid-datasikkerhedsprøve, fortsætter brugerens klient med at bruge den eksisterende ECDH-forbindelse, indtil der opstår timeout. Alternativt kan brugeren logge ud og ind på Webex-appen igen for at opdatere den placering, som appen kontakter for krypteringsnøgler.

                                                                                                                                                    Den samme adfærd forekommer, når du flytter en prøveversion til produktion for organisationen. Alle brugere, der ikke er prøveversioner, med eksisterende ECDH-forbindelser til de tidligere datasikkerhedstjenester vil fortsætte med at bruge disse tjenester, indtil ECDH-forbindelsen forhandles igen (gennem timeout eller ved at logge ud og ind igen).

                                                                                                                                                  Brug OpenSSL til at generere en PKCS12-fil

                                                                                                                                                  Før du begynder

                                                                                                                                                  • OpenSSL er et værktøj, der kan bruges til at gøre PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre dette på, og vi støtter ikke eller fremmer ikke den ene vej frem for den anden.

                                                                                                                                                  • Hvis du vælger at bruge OpenSSL, leverer vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509-certifikatkravene i X.509-certifikatkrav. Forstå disse krav, før du fortsætter.

                                                                                                                                                  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for softwaren og dokumentationen.

                                                                                                                                                  • Opret en privat nøgle.

                                                                                                                                                  • Start denne procedure, når du modtager servercertifikatet fra dit CA.

                                                                                                                                                  1

                                                                                                                                                  Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis certifikatet som tekst, og bekræft detaljerne.

                                                                                                                                                  openssl x509 -tekst -noout -i hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Brug et tekstredigeringsprogram til at oprette en certifikatbundle-fil, der hedder hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rod-CA-certifikaterne i nedenstående format:

                                                                                                                                                  -----begynd certifikat------ ### Servercertifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Mellemliggende CA-certifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Rodnøglecentercertifikat. ### -----afslut certifikat------

                                                                                                                                                  4

                                                                                                                                                  Opret .p12-filen med det venlige navn kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontrollér servercertifikatoplysningerne.

                                                                                                                                                  1. openssl pkcs12 - i hdsnode.p12

                                                                                                                                                  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den vises i outputtet. Bekræft derefter, at den private nøgle og det første certifikat indeholder linjerne friendlyName: kms-private-nøgle.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Indtast importadgangskode: MAC-verificerede OK-taskeattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøgleattributter:  Indtast PEM-adgangsfrase: Bekræftelse – indtast PEM-adgangsfrase: -----BEGYND KRYPTERET PRIVAT NØGLE-----  -----END KRYPTERET PRIVAT NØGLE----- Poseattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Poseattributter friendlyName: CN=Lad os kryptere myndighed X3,O=Lad os kryptere,C=US subject=/C=US/O=Lad os kryptere myndighed X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT-----  -----END CERTIFIKAT-----

                                                                                                                                                  Næste trin

                                                                                                                                                  Vend tilbage til Fuldfør forudsætningerne for hybrid-datasikkerhed. Du skal bruge filen hdsnode.p12 og adgangskoden, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

                                                                                                                                                  Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

                                                                                                                                                  Trafik mellem HDS-noderne og skyen

                                                                                                                                                  Trafik for indsamling af udgående målinger

                                                                                                                                                  Hybrid-datasikkerhedstjeneste sender visse målinger til Webex Cloud. Disse omfatter systemmålinger for maks. heap, brugt heap, CPU-belastning og trådtælling, målinger på synkroniserede og asynkrone tråde, målinger på varsler, der involverer en tærskel for krypteringsforbindelser, ventetid eller længde på en anmodningskø, målinger på datalageret og målinger af krypteringsforbindelser. Knuderne sender krypteret nøglemateriale over en ikke-båndkanal (adskilt fra anmodningen).

                                                                                                                                                  Indgående trafik

                                                                                                                                                  Hybrid-datasikkerhedstjeneste noder modtager følgende typer indgående trafik fra Webex-cloud:

                                                                                                                                                  • Krypteringsanmodninger fra klienter, som distribueres af krypteringstjenesten

                                                                                                                                                  • Opgraderinger til nodesoftwaren

                                                                                                                                                  Konfigurer Squid-proxyer for hybrid-data sikkerhed

                                                                                                                                                  WebSocket kan ikke oprette forbindelse via Squid-Proxy

                                                                                                                                                  Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:)-forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af squid til at ignorere WSS: trafik til korrekt funktion af tjenesterne.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Føj on_unsupported_protocol direktivet til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel alle

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi har testet hybrid-data sikkerhed med følgende regler tilføjet til squid. conf. Disse regler er underlagt ændringer, når vi udviklerfunktioner og opdaterer Webex Cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex kviksølv-forbindelse ssl_bump splitte wssMercuryConnection acl trin1 at_step SslBump1 acl trin2 at_step SslBump2 acl trin3 at_step SslBump3 ssl_bump smugkig trin1 alle ssl_bump kig trin2 alle ssl_bump bump trin3 alle
                                                                                                                                                  Var denne artikel nyttig?
                                                                                                                                                  Var denne artikel nyttig?