I denne artikel
dropdown icon
Nye og ændrede oplysninger
    Nye og ændrede oplysninger
dropdown icon
Kom i gang med hybrid datasikkerhed for flere lejere
    dropdown icon
    Oversigt over hybrid datasikkerhed med flere lejere
      Hvordan hybrid datasikkerhed med flere lejere giver datasuverænitet og datakontrol
      Begrænsninger ved hybrid datasikkerhed med flere lejere
      Roller i hybrid datasikkerhed med flere lejere
    dropdown icon
    Sikkerhedsrigets arkitektur
      Realms of Separation (uden hybrid datasikkerhed)
    Samarbejde med andre organisationer
    Forventninger til implementering af hybrid datasikkerhed
    Opsætningsproces på højt niveau
    dropdown icon
    Hybrid datasikkerhedsimplementeringsmodel
      Hybrid datasikkerhedsimplementeringsmodel
    dropdown icon
    Standby-datacenter til katastrofegendannelse
      Manuel failover til standby-datacenter
    Proxy-support
dropdown icon
Forbered dit miljø
    dropdown icon
    Krav til hybrid datasikkerhed med flere lejere
      Krav til Cisco Webex-licens
      Krav til Docker Desktop
      Krav til X.509-certifikat
      Krav til virtuelle værter
      Krav til databaseserver
      Krav til eksterne forbindelser
      Proxy server krav
    Opfyld forudsætningerne for hybrid datasikkerhed
dropdown icon
Opsæt en hybrid datasikkerhedsklynge
    Opgaveflow for implementering af hybrid datasikkerhed
    Udfør den indledende opsætning og download installationsfiler
    Opret en konfigurations-ISO til HDS-værterne
    Installer HDS Host OVA
    Konfigurer den hybride datasikkerheds-VM
    Upload og monter HDS-konfigurations-ISO'en
    Konfigurer HDS-knudepunkt for proxy integration
    Registrer den første node i klyngen
    Opret og registrer flere noder
dropdown icon
Administrer lejerorganisationer på hybrid datasikkerhed med flere lejere
    Aktivér Multi-Tenant HDS på Partner Hub
    Tilføj lejerorganisationer i Partner Hub
    Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet
    Fjern lejerorganisationer
    Tilbagekald CMK'er for lejere, der er fjernet fra HDS.
dropdown icon
Test din hybride datasikkerhedsinstallation
    Test din hybride datasikkerhedsimplementering
    Overvåg hybrid datasikkerhedstilstand
dropdown icon
Administrer din HDS-implementering
    Administrer HDS-implementering
    Angiv tidsplan for klyngeopgradering
    Ændr nodekonfigurationen
    Slå blokeret ekstern DNS-opløsnings tilstand fra
    Fjern en node
    Katastrofeberedskab ved hjælp af Standby Data Center
    (Valgfrit) Afmonter ISO efter HDS-konfiguration
dropdown icon
Fejlfinding af hybrid datasikkerhed
    Se advarsler og fejlfind
    dropdown icon
    Varsler
      Almindelige problemer og trinene til at løse dem
    Fejlfinding af hybrid datasikkerhed
dropdown icon
Andre noter
    Kendte problemer med hybrid datasikkerhed
    Kør HDS Setup-værktøjet ved hjælp af Podman Desktop
    dropdown icon
    Flyt den eksisterende single-tenant HDS-installation af en partnerorganisation i Control Hub til en multi-tenant HDS-opsætning i Partner Hub
      Deaktiver HDS, afregistrer noder og slet klynge i Control Hub
      Aktivér Multi-Tenant HDS for partnerorganisationen på Partner Hub, og tilføj kunder
    Brug OpenSSL til at generere en PKCS12-fil
    Trafik mellem HDS-noderne og skyen
    dropdown icon
    Konfigurer Squid-proxyer for hybrid-data sikkerhed
      WebSocket kan ikke oprette forbindelse via Squid-Proxy
dropdown icon
Deaktiver hybrid datasikkerhed med flere lejere
    Opgaveflow for deaktivering af HDS med flere lejere
22. maj 2025 | 2 visning(er) | 0 personer fandt dette nyttigt

Implementeringsvejledning til hybrid datasikkerhed (HDS) med flere lejere (Beta)

list-menuI denne artikel
list-menuHar du feedback?

Nye og ændrede oplysninger

Nye og ændrede oplysninger

Denne tabel dækker nye funktioner eller funktionalitet, ændringer af eksisterende indhold og eventuelle større fejl, der blev rettet i Udrulningsvejledningen for datasikkerhed med flere lejere.

Dato

Der er foretaget ændringer

13. december 2024

Første udgivelse.

Deaktiver hybrid-datasikkerhed for flere lejere

Opgavestrøm til deaktivering af HDS med flere lejere

Følg disse trin for at deaktivere HDS med flere lejere fuldstændigt.

Før du begynder

Denne opgave bør kun udføres af en partneradministrator med alle rettigheder.
1

Fjern alle kunder fra alle dine klynger, som nævnt i Fjern lejerorganisationer.

2

Tilbagekald alle kunders CMK'er som nævnt i Tilbagekald CMK'er for lejere, der er fjernet fra HDS..

3

Fjern alle knuder fra alle dine klynger, som nævnt i Fjern en knude.

4

Slet alle dine klynger fra Partner Hub ved hjælp af en af følgende to metoder.

  • Klik på den klynge, du vil slette, og vælg Slet denne klynge i øverste højre hjørne af oversigtssiden.
  • På siden Ressourcer skal du klikke på… i højre side af en klynge og vælge Fjern klynge.
5

Klik på fanen Indstillinger på oversigtssiden for hybrid-datasikkerhed, og klik på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybrid-datasikkerhed for flere lejere

Oversigt over hybrid-datasikkerhed for flere lejere

Fra første dag har datasikkerhed været det primære fokus i designet af Webex-appen. Hjørnestenen i denne sikkerhed er kryptering af slutpunkt-til-slutpunkt-indhold, der er aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

Som standard får alle Webex-appkunder kryptering fra slutpunkt-til-slutpunkt med dynamiske nøgler, der er gemt i Cloud KMS i Ciscos sikkerhedsdomæne. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.

Multi-tenant hybrid-datasikkerhed gør det muligt for organisationer at udnytte HDS via en betroet lokal partner, der kan fungere som tjenesteudbyder og administrere kryptering på stedet og andre sikkerhedstjenester. Denne opsætning giver partnerorganisationen mulighed for at have fuld kontrol over installation og administration af krypteringsnøgler og sikrer, at brugerdata i kundeorganisationer er sikre mod ekstern adgang. Partnerorganisationer konfigurerer HDS-forekomster og opretter HDS-klynger efter behov. Hver forekomst kan understøtte flere kundeorganisationer i modsætning til en almindelig HDS-udrulning, der er begrænset til en enkelt organisation.

Selvom partnerorganisationer har kontrol over installation og administration, har de ikke adgang til data og indhold, der er genereret af kunder. Denne adgang er begrænset til kundeorganisationer og deres brugere.

Dette giver også mindre organisationer mulighed for at udnytte HDS, da nøgleadministrationsservice og sikkerhedsinfrastruktur såsom datacentre ejes af den betroede lokale partner.

Sådan giver hybriddatasikkerhed med flere lejere datasuverænitet og datakontrol

  • Brugergenereret indhold er beskyttet mod ekstern adgang, f.eks. cloudtjenesteudbydere.
  • Lokale betroede partnere administrerer krypteringsnøglerne for kunder, som de allerede har et etableret forhold til.
  • Valgmulighed for lokal teknisk support, hvis den leveres af partneren.
  • Understøtter indhold i møder, meddelelser og opkald.

Dette dokument er beregnet til at hjælpe partnerorganisationer med at opsætte og administrere kunder under et hybrid-datasikkerhedssystem med flere lejere.

Roller i hybrid-datasikkerhed med flere lejere

  • Partneradministrator med fulde rettigheder – kan administrere indstillinger for alle kunder, som partneren administrerer. Kan også tildele administratorroller til eksisterende brugere i organisationen og tildele specifikke kunder, der skal administreres af partneradministratorer.
  • Partneradministrator – kan administrere indstillinger for kunder, som administratoren klargjorde, eller som er blevet tildelt brugeren.
  • Fuld administrator – administrator for partnerorganisationen, der er autoriseret til at udføre opgaver såsom at ændre organisationsindstillinger, administrere licenser og tildele roller.
  • Opsætning og administration af HDS med flere lejere fra slutpunkt til slutpunkt for alle kundeorganisationer – fuld administrator og fulde administratorrettigheder er påkrævet.
  • Administration af tildelte lejerorganisationer – partneradministrator og fulde administratorrettigheder er påkrævet.

Arkitektur for sikkerhedsdomæne

Webex Cloud-arkitekturen opdeler forskellige typer tjenester i separate domæner eller tillidsdomæner, som vist nedenfor.

Områder for adskillelse (uden hybrid-datasikkerhed)

For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-områder. Identitetstjenesten, som er det eneste sted, hvor brugere kan være direkte korreleret med deres personlige oplysninger såsom e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsdomænet i datacenter B. Begge er adskilt fra det domæne, hvor krypteret indhold i sidste ende gemmes, i datacenter C.

I dette diagram kører klienten Webex-appen på en brugers bærbare computer og er godkendt med identitetstjenesten. Når brugeren opretter en meddelelse, der skal sendes til et rum, udføres følgende trin:

  1. Klienten opretter en sikker forbindelse til KMS (key management service) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

  2. Meddelelsen krypteres, før den forlader klienten. Klienten sender det til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe fremtidige søgninger efter indholdet.

  3. Den krypterede meddelelse sendes til overholdelsestjenesten for overensstemmelseskontrol.

  4. Den krypterede meddelelse gemmes i lagerdomænet.

Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsressourcefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitets- og indholdslagring), forbliver i Ciscos domæner.

Samarbejde med andre organisationer

Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi det blev oprettet af en af dine brugere), sender dit KMS nøglen til klienten over en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, sender din KMS anmodningen ud til Webex Cloud via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

Den KMS-tjeneste, der kører på organisation A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for oplysninger om generering af et x.509-certifikat til brug med din multi-tenant hybrid-datasikkerhedsudrulning.

Forventninger til implementering af hybrid-datasikkerhed

En hybrid-datasikkerhedsudrulning kræver betydelig engagement og opmærksomhed om de risici, der følger med at eje krypteringsnøgler.

For at implementere hybrid-datasikkerhed skal du angive:

Komplet tab af enten den konfigurations-ISO, du opretter til hybrid-datasikkerhed, eller den database, du leverer, vil medføre tab af nøgler. Tabet af nøgler forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du oprette en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

  • Administrer sikkerhedskopiering og gendannelse af databasen og konfigurations-ISO.

  • Vær forberedt på at udføre hurtig katastrofegenoprettelse, hvis der opstår en katastrofe, såsom databasediskfejl eller datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætningen og administrationen af en multi-tenant hybrid-datasikkerhedsudrulning:

  • Opsæt hybrid-datasikkerhed – dette omfatter forberedelse af nødvendig infrastruktur og installation af hybrid-datasikkerhedssoftware, opbygning af en HDS-klynge, tilføjelse af lejerorganisationer til klyngen og administration af deres kundehovednøgler (CMK'er). Dette gør det muligt for alle brugere i dine kundeorganisationer at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

    Opsætnings-, aktiverings- og administrationsfaserne er beskrevet i detaljer i de næste tre kapitler.

  • Vedligehold din hybrid-datasikkerhedsudrulning – Webex Cloud leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde support på niveau et for denne udrulning og bruge Cisco-support efter behov. Du kan bruge underretninger på skærmen og opsætte e-mailbaserede varsler i Partner Hub.

  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du oplever problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og bilaget Kendte problemer hjælpe dig med at finde og løse problemet.

Udrulningsmodel for hybrid-datasikkerhed

I dit virksomhedsdatacenter installerer du hybrid-datasikkerhed som en enkelt klynge af noder på separate virtuelle værter. Noderne kommunikerer med Webex Cloud via sikre websockets og sikker HTTP.

Under installationsprocessen giver vi dig OVA-filen til at konfigurere den virtuelle enhed på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugertilpasset ISO-fil til klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din angivne Syslogd-server- og PostgreSQL- eller Microsoft SQL-serverdatabase. (Du kan konfigurere oplysninger om Syslogd og databaseforbindelse i HDS-opsætningsværktøjet).

Udrulningsmodel for hybrid-datasikkerhed

Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre pr. klynge. At have flere knudepunkter sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex Cloud opgraderer kun én knude ad gangen).

Alle knuder i en klynge har adgang til det samme nøgledatalager og logaktivitet til den samme syslog-server. Noderne er i sig selv statsløse og håndterer vigtige anmodninger på round-robin-måde, som dirigeret af skyen.

Knudepunkter bliver aktive, når du tilmelder dem i Partner Hub. Hvis du vil tage en individuel knude ud af drift, kan du framelde den og senere registrere den igen, hvis det er nødvendigt.

Standby-datacenter til gendannelse efter nedbrud

Under installationen konfigurerer du et sikkert standbydatacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standby-datacenteret.

Før failover har datacenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-database, mens B har en kopi af ISO-filen med yderligere konfigurationer, VM'er, der er registreret i organisationen, og en standbydatabase. Efter failover har datacenter B aktive HDS-noder og den primære database, mens A har ikke-registrerede VM'er og en kopi af ISO-filen, og databasen er i standbytilstand.
Manuel failover til standby-datacenter

Databaserne for de aktive datacentre og standby-datacentre er synkroniseret, hvilket minimerer den tid, det tager at udføre failover.

De aktive hybrid-datasikkerhedstjeneste skal altid være i det samme datacenter som den aktive databaseserver.

Proxy-support

Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.

Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:

  • Ingen proxy – standard, hvis du ikke bruger HDS-nodens konfiguration af tillidslager og proxykonfiguration til at integrere en proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig ikke-kontrollerende proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve ændringer for at fungere med en ikke-kontrollerende proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig tunneling eller inspektion af proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

  • Eksplicit proxy – Med eksplicit proxy fortæller du HDS-knuderne, hvilken proxyserver og godkendelsesplan de skal bruge. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

      • HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.

      • HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

Eksempel på hybrid-data sikkerheds knuder og proxy

Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.

Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.

Forbered dit miljø

Krav til hybrid-datasikkerhed for flere lejere

Cisco Webex-licenskrav

Sådan udrulles hybriddatasikkerhed for flere lejere:

  • Partnerorganisationer: Kontakt din Cisco-partner eller kontoadministrator, og sørg for, at funktionen med flere lejere er aktiveret.

  • Lejerorganisationer: Du skal have Pro Pack til Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker Desktop

Før du installerer dine HDS-knuder, skal du bruge Docker Desktop til at køre et opsætningsprogram. Docker har for nylig opdateret sin licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".

X.509 Certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 Certifikatkrav til hybrid-datasikkerhedsudrulning

Krav

Detaljer

  • Underskrevet af et pålideligt nøglecenter (CA)

Som standard stoler vi på nøglecentererne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et CN-domænenavn (Common Name), der identificerer din hybrid-datasikkerhedsudrulning

  • Er ikke et jokertegn

CN behøver ikke at kunne kontaktes eller være en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

CN må ikke indeholde et * (jokertegn).

CN bruges til at bekræfte hybrid-datasikkerhedsknuderne for Webex-appklienter. Alle hybrid-datasikkerhedstjeneste noder i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

Når du har registreret en node med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet.

  • Ikke-SHA1-signatur

KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

  • Brug det venlige navn på kms-private-key til at tagge certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal uploades.

Du kan bruge en konverter såsom OpenSSL til at ændre certifikatets format.

Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

KMS-softwaren håndhæver ikke nøglebrug eller udvidede begrænsninger for nøglebrug. Nogle certifikatmyndigheder kræver, at der anvendes udvidede begrænsninger for nøglebrug for hvert certifikat, f.eks. servergodkendelse. Det er i orden at bruge servergodkendelse eller andre indstillinger.

Krav til virtuel vært

De virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste noder i din klynge, har følgende krav:

  • Mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter

  • VMware ESXi 6.5 (eller nyere) installeret og kører.

    Du skal opgradere, hvis du har en tidligere version af ESXi.

  • Mindst 4 vCPU'er, 8 GB primær hukommelse, 30 GB lokal harddiskplads pr. server

Krav til databaseserver

Opret en ny database til nøglelager. Brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene til hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installeret og kører.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installeret.

    SQL Server 2016 kræver Service Pack 2 og kumulativ opdatering 2 eller nyere.

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

JDBC-driver 4.6 til SQL Server

Denne driverversion understøtter SQL Server altid slået til ( Altid på failover-klyngeforekomster og Altid på tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse i forhold til Microsoft SQL Server

Hvis du ønsker, at HDS-noder skal bruge Windows-godkendelse til at få adgang til din keystore-database på Microsoft SQL Server, skal du bruge følgende konfiguration i dit miljø:

  • HDS-knuderne, Active Directory-infrastrukturen og MS SQL Server skal alle synkroniseres med NTP.

  • Den Windows-konto, du angiver til HDS-noder, skal have læse-/skriveadgang til databasen.

  • De DNS-servere, du angiver til HDS-noder, skal kunne løse dit Key Distribution Center (KDC).

  • Du kan registrere HDS-databaseforekomsten på din Microsoft SQL Server som et Service Principal Name (SPN) i din Active Directory. Se Registrer et tjenestehovednavn for Kerberos-forbindelser.

    HDS-opsætningsværktøjet, HDS-startfunktionen og lokal KMS skal alle bruge Windows-godkendelse til at få adgang til nøglelagerdatabasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når der anmodes om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelser for HDS-programmerne:

Applikation

Protokol

Port

Retning fra appen

Destination

Hybrid-datasikkerhedstjeneste

TCP

443

Udgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-værter

  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser til Webex Hybrid-tjenester med Netværkskrav til Webex-tjenester

HDS-opsætningsværktøj

TCP

443

Udgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-værter

  • hub.docker.com

Hybrid-datasikkerhedstjeneste fungerer med NAT (network access translation) eller bag en firewall, så længe NAT eller firewall tillader de påkrævede udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går indgående til hybrid-datasikkerhedstjeneste, må ingen porte være synlige fra internettet. I dit datacenter skal klienter have adgang til hybrid-datasikkerhedsknuderne på TCP-portene 443 og 22 af administrative årsager.

URL-adresser til Common Identity (CI)-værter er områdespecifikke. Disse er de aktuelle CI-værter:

Område

URL-adresser til fælles identitet

Nord-, Mellem- og Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

EU

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Forenede Arabiske Emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy server krav

  • Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.

    • Gennemsigtig proxy – Cisco web Security-Appliance (WSA).

    • Eksplicit proxy-squid.

      Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket-forbindelser (wss:). Hvis du vil undgå dette problem, kan du se Konfigurer Squid-proxyer til hybrid-datasikkerhed.

  • Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:

    • Ingen godkendelse med HTTP eller HTTPS

    • Grundlæggende godkendelse med HTTP eller HTTPS

    • Samlet godkendelse kun med HTTPS

  • For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.

  • Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

  • Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil tilsidesættelse af trafik til wbx2.com og ciscospark.com løse problemet.

Udfyld forudsætningerne for hybrid-datasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
1

Sørg for, at din partnerorganisation har multilejer-HDS-funktionen aktiveret, og få legitimationsoplysningerne for en konto med partnerfuld administrator og fulde administratorrettigheder. Sørg for, at din Webex-kundeorganisation er aktiveret til Pro Pack til Cisco Webex Control Hub. Kontakt din Cisco-partner eller -kontoadministrator for at få hjælp til denne proces.

Kundeorganisationer bør ikke have nogen eksisterende HDS-udrulning.

2

Vælg et domænenavn til din HDS-udrulning (for eksempel hds.company.com), og få en certifikatkæde, der indeholder et X.509-certifikat, en privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 Certifikatkrav.

3

Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste i din klynge. Du skal bruge mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter, som opfylder kravene i Krav til virtuel vært.

4

Forbered den databaseserver, der vil fungere som nøgledatalageret for klyngen i henhold til kravene til databaseserver. Databaseserveren skal være placeret i det sikre datacenter med de virtuelle værter.

  1. Opret en database til nøglelager. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.)

  2. Indsaml de oplysninger, som noderne skal bruge til at kommunikere med databaseserveren:

    • værtsnavnet eller IP-adressen (vært) og porten

    • navnet på databasen (dbname) til nøglelagring

    • brugernavnet og adgangskoden for en bruger med alle privilegier på nøglelagerdatabasen

5

For hurtig katastrofegenoprettelse skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Sikkerhedskopieringsmiljøet afspejler produktionsmiljøet for VM'er og en sikkerhedskopieret databaseserver. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er.

6

Konfigurer en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Hent dens netværksadresse og syslog-port (standard er UDP 514).

7

Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedstjeneste, databaseserveren og syslog-værten. For at forhindre, at der ikke kan genoprettes tab af data, skal du som minimum sikkerhedskopiere databasen og konfigurationsfilen, der er genereret til hybrid-datasikkerhedstjeneste.

Da hybrid-datasikkerhedstjeneste gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operativ installation medføre UOPRETTELIG TAB af dette indhold.

Webex-appklienter cachelagrer deres nøgler, så et udfald vil muligvis ikke blive bemærket med det samme, men vil blive tydeligt med tiden. Selv om midlertidige afbrydelser ikke kan forhindres, kan de genoprettes. Men komplet tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller konfigurationsfilen vil resultere i, at kundedata ikke kan genoprettes. Operatørerne af hybrid-datasikkerhedstjeneste forventes at opretholde hyppige sikkerhedskopieringer af databasen og ISO-konfigurationsfilen og være forberedt på at genopbygge hybrid-datasikkerhedstjeneste-datacenteret, hvis der opstår en katastrofal fejl.

8

Sørg for, at din firewall-konfiguration tillader tilslutning til dine hybrid-datasikkerhedsknuder som beskrevet i Krav til ekstern tilslutning.

9

Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

Du kan bruge Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opretter de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedstjeneste. Du skal muligvis have en Docker Desktop-licens. Se Krav til Docker-desktop for yderligere oplysninger.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have forbindelsen beskrevet i Krav til ekstern forbindelse.

10

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder kravene til proxyserver.

Opsæt en hybrid-datasikkerhedsklynge

Opgavestrøm til installation af hybrid-datasikkerhed

Før du begynder

1

Udfør indledende opsætning og download installationsfiler

Download OVA-filen til din lokale maskine til senere brug.

2

Opret en konfigurations-ISO for HDS-værter

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedstjeneste.

3

Installer HDS-værts-OVA

Opret en virtuel maskine fra OVA-filen, og udfør indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

4

Opsæt VM for hybrid-datasikkerhed

Log på VM-konsollen, og indstil logonlegitimationsoplysningerne. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

5

Overfør og monter HDS-konfigurations-ISO

Konfigurer VM'en fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

6

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og føje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

7

Tilmeld den første knude i klyngen

Tilmeld VM'en med Cisco Webex Cloud som en hybrid-datasikkerhedstjeneste.

8

Opret og tilmeld flere knudepunkter

Fuldfør klyngeopsætningen.

9

Aktivér HDS med flere lejere på Partner Hub.

Aktivér HDS, og administrer lejerorganisationer i Partner Hub.

Udfør indledende opsætning og download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du har konfigureret som hybrid-datasikkerhedsknuder). Du bruger denne fil senere i installationsprocessen.

1

Log ind på Partner Hub, og klik derefter på Tjenester.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og derefter klikke på Opsæt.

3

Klik på Tilføj en ressource , og klik på Download .OVA-fil på kortet Installer og konfigurer software .

Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan medføre problemer under opgradering af applikationen. Sørg for at downloade den seneste version af OVA-filen.

Du kan også downloade OVA'en når som helst fra afsnittet Hjælp . Klik på Indstillinger > Hjælp > Download hybrid-datasikkerhedssoftware.

OVA-filen begynder automatisk at blive downloadet. Gem filen på en placering på din maskine.
4

Du kan også klikke på Se udrulningsvejledning til hybrid-datasikkerhed for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder
1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import har du følgende valgmuligheder:

  • Nej – Hvis du opretter din første HDS-node, har du ikke en ISO-fil, der skal uploades.
  • Ja – Hvis du allerede har oprettet HDS-noder, så vælger du din ISO-fil i browseren og overfører den.
10

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkrav.

  • Hvis du aldrig har overført et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
  • Hvis dit certifikat er ok, skal du klikke på Fortsæt.
  • Hvis dit certifikat er udløbet, eller du vil udskifte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Overfør et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
11

Indtast databaseadressen og -kontoen for HDS for at få adgang til dit nøgledatalager:

  1. Vælg din databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du vælger Microsoft SQL Server, får du et felt til godkendelsestype.

  2. (Kun Microsoft SQL Server ) Vælg din godkendelsestype:

    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL Server-kontonavn i feltet Brugernavn .

    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet brugernavn@DOMÆNE i feltet Brugernavn .

  3. Indtast databaseserveradressen i formatet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at fortolke værtsnavnet.

    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

  4. Indtast databasenavnet.

  5. Indtast Brugernavn og Adgangskode for en bruger med alle privilegier på nøglelagerdatabasen.

12

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretræk TLS (standardvalgmulighed)

HDS-noder kræver ikke TLS for at tilslutte til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræv TLS

HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

Kræv TLS, og bekræft certifikatcertifikatstegner

Denne tilstand gælder ikke for SQL Server-databaser.

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Kræv TLS, og bekræft certifikatvært og værtsnavn

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og -port . Navnene skal passe præcist, ellers vil knudepunktet falde i forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Når du overfører rodcertifikatet (om nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis etablere TLS-forbindelsen, selvom maskinen til HDS-opsætningsværktøjet ikke kan teste den).

13

På siden Systemlogfiler skal du konfigurere din Syslogd-server:

  1. Indtast URL-adressen til syslog-serveren.

    Hvis serveren ikke kan DNS-løses fra noderne til din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse såsom tcp://10.92.43.23:514.

  3. Fra rullegardinmenuen Vælg afslutning af syslog-post skal du vælge den relevante indstilling for din ISO-fil: Vælg, eller linjeskift bruges til Graylog og Rsyslog TCP

    • Ingen byte -- \x00

    • Nylinje -- \n– Vælg denne valgmulighed for Graylog og Rsyslog TCP.

  4. Klik på Fortsæt.

14

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klik på Fortsæt på skærmen Nulstil tjenestekontoadgangskode .

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder er ved at udløbe, eller du vil nulstille dem til at ugyldiggøre tidligere ISO-filer.

16

Klik på Download ISO-fil. Gem filen på en placering, der er nem at finde.

17

Lav en sikkerhedskopi af ISO-filen på dit lokale system.

Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

18

For at lukke opsætningsværktøjet skal du taste CTRL+C.

Næste trin

Sikkerhedskopier ISO-konfigurationsfilen. Du skal bruge den til at oprette flere knudepunkter til genoprettelse eller til at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din PostgreSQL- eller Microsoft SQL Server-database.

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værts-OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært.

2

Vælg Fil > Implementer OVF-skabelon.

3

I guiden skal du angive placeringen af OVA-filen, som du downloadede tidligere, og derefter klikke på Næste.

4

På siden Vælg et navn og en mappe skal du indtaste et virtuelt maskinnavn for noden (for eksempel "HDS_Node_1"), vælge en placering, hvor udrulningen af noden til den virtuelle maskine kan ligge, og derefter klikke på Næste.

5

På siden Vælg en beregningsressource skal du vælge destinationsberegningsressourcen og derefter klikke på Næste.

En valideringskontrol kører. Når den er færdig, vises skabelonoplysningerne.

6

Bekræft skabelonoplysningerne, og klik derefter på Næste.

7

Hvis du bliver bedt om at vælge ressourcekonfiguration på siden Konfiguration , skal du klikke på 4 CPU og derefter klikke på Næste.

8

På siden Vælg lagerplads skal du klikke på Næste for at acceptere standarddiskformatet og VM-lagerpolitikken.

9

På siden Vælg netværk skal du vælge netværksvalgmuligheden fra listen med poster for at levere den ønskede forbindelse til VM'en.

10

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

  • Værtsnavn – indtast FQDN (værtsnavn og domæne) eller et enkelt ordværtsnavn for noden.

    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

    • For at sikre en vellykket registrering til skyen skal du kun bruge små bogstaver i det FQDN eller værtsnavn, som du har indstillet for noden. Store bogstaver understøttes ikke på dette tidspunkt.

    • Den samlede længde på FQDN må ikke overstige 64 tegn.

  • IP-adresse– Indtast IP-adressen for nodens interne grænseflade.

    Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

  • Maske – indtast undernetmaskens adresse i prik-decimal notation. For eksempel 255.255.255.0.
  • Gateway – indtast gateway-IP-adressen. En gateway er en netværksknude, der fungerer som et adgangspunkt til et andet netværk.
  • DNS-servere – Indtast en kommasepareret liste over DNS-servere, som håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
  • NTP-servere – Indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. Standard-NTP-servere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at angive flere NTP-servere.

  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan kontaktes fra klienter i dit netværk af administrative årsager.

Hvis du foretrækker det, kan du springe konfigurationen af netværksindstillingerne over og følge trinnene i Opsæt hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 6.5. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

11

Højreklik på noden VM, og vælg derefter Tænd > Tænd.

Hybrid-datasikkerhedssoftwaren installeres som gæst på VM-værten. Du er nu klar til at logge på konsollen og konfigurere noden.

Fejlfindingstip

Du kan opleve en forsinkelse på nogle få minutter, før knudebeholderne dukker op. Der vises en meddelelse om broens firewall på konsollen under den første start, hvor du ikke kan logge ind.

Opsæt VM for hybrid-datasikkerhed

Brug denne procedure til at logge på hybrid-datasikkerhedstjeneste VM-konsollen for første gang og indstille logonlegitimationsoplysningerne. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

1

I VMware vSphere-klienten skal du vælge din hybrid-datasikkerhedstjeneste og vælge fanen Konsol .

VM'en starter, og der vises en loginmeddelelse. Hvis loginprompten ikke vises, skal du trykke på Enter.
2

Brug følgende standardlogin og -adgangskode til at logge på og ændre legitimationsoplysningerne:

  1. Login: Administrator

  2. Adgangskode: Cisco

Da du logger ind på din VM for første gang, skal du ændre administratoradgangskoden.

3

Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, skal du springe resten af denne procedure over. Ellers skal du vælge valgmuligheden Rediger konfiguration i hovedmenuen.

4

Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

5

(Valgfri) Skift værtsnavnet, domænet eller NTP-serveren/-serverne, hvis det er nødvendigt for at matche din netværkspolitik.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

6

Gem netværkskonfigurationen, og genstart VM'en, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Da ISO-filen indeholder hovednøglen, bør den kun udstilles på et "need to know"-grundlag for adgang for hybrid-datasikkerhed-VM'er og alle administratorer, der kan få brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til datalageret.

1

Overfør ISO-filen fra din computer:

  1. I VMware vSphere-klientens venstre navigationsrude skal du klikke på ESXi-serveren.

  2. På fanen Konfiguration skal du klikke på Lager.

  3. På listen Datalagre skal du højreklikke på datalagret for dine VM'er og klikke på Søg i datalagre.

  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

  5. Gå til placeringen, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

  6. Klik på Ja for at acceptere advarslen om upload/download-handling, og luk datalagerdialogboksen.

2

Monter ISO-filen:

  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsmuligheder.

  3. Klik på CD/DVD-drev 1, vælg valgmuligheden for at montere fra en ISO-fil fra et datalager, og gå til placeringen, hvor du overførte ISO-konfigurationsfilen.

  4. Markér Tilsluttet og Tilslut ved tænding.

  5. Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Hvis din it-politik kræver det, kan du vælge at afmontere ISO-filen, når alle dine knudepunkter har hentet konfigurationsændringerne. Se (Valgfrit) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.

Før du begynder

1

Indtast URL-adresse til opsætning af HDS-knude https://[HDS knude IP eller FQDN]/Setup i en webbrowser, Indtast administratorens legitimationsoplysninger, som du opsætter for knudepunktet, og klik derefter på Log ind.

2

Gå til Trust store & proxy, og vælg derefter en valgmulighed:

  • Ingen proxy – standardvalgmuligheden, før du integrerer en proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig ikke-inspicerende proxy – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve nogen ændringer for at fungere med en ikke-inspicerende proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig proxy til inspektion – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-data sikkerhed, men HDS-knuder skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
  • Eksplicit proxy – Med eksplicit proxy fortæller du klienten (HDS-noder), hvilken proxyserver der skal bruges, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad dine proxyserver understøtter.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig for HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy.

3

Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen.

Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen.

4

Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen.

Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. Hvis du mener, at dette er en fejl, skal du udføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

5

Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft.

6

Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar.

Knuden genstarter inden for et par minutter.

7

Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status.

Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen.

Tilmeld den første knude i klyngen

Denne opgave tager den generiske node, som du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-cloud og omdanner den til en hybrid-datasikkerhedstjeneste.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knudepunkter, der er installeret for at give redundans.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Opsæt.

4

Klik på Tilføj en ressource på siden, der åbnes.

5

I det første felt på kortet Tilføj en knude skal du indtaste et navn på den klynge, som du vil tildele din hybrid-datasikkerhedstjeneste.

Vi anbefaler, at du navngiver en klynge ud fra, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node og klikke på Tilføj nederst på skærmen.

Denne IP-adresse eller FQDN skal svare til den IP-adresse eller værtsnavn og domæne, du brugte i Opsæt hybrid-datasikkerhed VM.

Der vises en meddelelse, der angiver, at du kan tilmelde din node til Webex.
7

Klik på Gå til knude.

Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din Webex-organisation til at få adgang til din node.

8

Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
9

Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den node, du har tilmeldt, under fanen Ressourcer . Noden vil automatisk downloade den nyeste software fra skyen.

Opret og tilmeld flere knudepunkter

For at tilføje yderligere noder til din klynge skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Opret en ny virtuel maskine fra OVA, og gentag trinnene i Installer HDS-vært-OVA.

2

Opsæt den indledende konfiguration på den nye VM, og gentag trinnene i Opsæt hybrid datasikkerhed VM.

3

På den nye VM skal du gentage trinnene i Overfør og monter HDS-konfigurations-ISO.

4

Hvis du opsætter en proxy for din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

5

Tilmeld knudepunktet.

  1. I https://admin.webex.com skal du vælge Tjenester fra menuen i venstre side af skærmen.

  2. I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Vis alle.

    Siden Hybrid-datasikkerhedsressourcer vises.

  3. Den nyoprettede klynge vises på siden Ressourcer .

  4. Klik på klyngen for at få vist de knudepunkter, der er tildelt klyngen.

  5. Klik på Tilføj en node i højre side af skærmen.

  6. Indtast den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node, og klik på Tilføj.

    Der åbnes en side med en meddelelse, der angiver, at du kan tilmelde din node til Webex-skyen. Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din organisation til at få adgang til din node.

  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.

  8. Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

    Node tilføjet pop op-meddelelse vises også nederst på skærmen i Partner Hub.

    Din knude er registreret.

Administrer lejerorganisationer om hybrid-datasikkerhed for flere lejere

Aktivér HDS med flere lejere på Partner Hub

Denne opgave sikrer, at alle brugere i kundeorganisationerne kan begynde at bruge HDS til lokale krypteringsnøgler og andre sikkerhedstjenester.

Før du begynder

Sørg for, at du har fuldført opsætningen af din HDS-klynge med flere lejere med det påkrævede antal knudepunkter.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

4

Klik på Aktivér HDSHDS-statuskortet .

Tilføj lejerorganisationer i Partner Hub

I denne opgave tildeler du kundeorganisationer til din hybrid-datasikkerhedsklynge.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

Klik på den klynge, som du vil have en kunde tildelt.

5

Gå til fanen Tildelte kunder .

6

Klik på Tilføj kunder.

7

Vælg den kunde, du vil tilføje, fra rullemenuen.

8

Klik på Tilføj. Kunden vil blive føjet til klyngen.

9

Gentag trin 6 til 8 for at føje flere kunder til din klynge.

10

Klik på Udført nederst på skærmen, når du har tilføjet kunderne.

Næste trin

Kør HDS-opsætningsværktøjet som beskrevet i Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen.

Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet

Før du begynder

Tildel kunder til den relevante klynge som beskrevet i Tilføj lejerorganisationer i Partner Hub. Kør HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen for de nyligt tilføjede kundeorganisationer.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

Sørg for, at der er forbindelse til din database for at udføre CMK-administration.
11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Opret CMK for alle organisationer eller Opret CMK – klik på denne knap på banneret øverst på skærmen for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Opret CMK'er for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på… nær CMK-administration under behandling for en bestemt organisation i tabellen, og klik på Opret CMK for at oprette CMK for den pågældende organisation.
12

Når CMK-oprettelse er gennemført, ændres statussen i tabellen fra CMK-administration under behandling til CMK-administration.

13

Hvis CMK-oprettelse ikke lykkes, vises en fejl.

Fjern lejerorganisationer

Før du begynder

Når brugere af kundeorganisationer er fjernet, kan de ikke udnytte HDS til deres krypteringsbehov og vil miste alle eksisterende rum. Før du fjerner kundeorganisationer, skal du kontakte din Cisco-partner eller -kontoadministrator.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

I fanen Ressourcer skal du klikke på den klynge, som du vil fjerne kundeorganisationer fra.

5

På siden, der åbnes, skal du klikke på Tildelte kunder.

6

Fra listen over kundeorganisationer, der vises, skal du klikke på ... i højre side af den kundeorganisation, du vil fjerne, og klikke på Fjern fra klynge.

Næste trin

Fuldfør fjernelsesprocessen ved at tilbagekalde kundeorganisationernes CMK'er som beskrevet i Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Før du begynder

Fjern kunder fra den relevante klynge som beskrevet i Fjern lejerorganisationer. Kør HDS-opsætningsværktøjet for at fuldføre fjernelsesprocessen for de kundeorganisationer, der blev fjernet.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Tilbagekald CMK for alle organisationer eller Tilbagekald CMK – klik på denne knap på banneret øverst på skærmen for at tilbagekalde CMK'er for alle organisationer, der blev fjernet.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Tilbagekald CMK'er for at tilbagekalde CMK'er fra alle organisationer, der blev fjernet.
  • Klik på nær CMK for at blive tilbagekaldt for en bestemt organisation i tabellen, og klik på Tilbagekald CMK for at tilbagekalde CMK for den specifikke organisation.
12

Når tilbagekaldelsen af CMK er gennemført, vises kundeorganisationen ikke længere i tabellen.

13

Hvis CMK-tilbagekaldelse ikke lykkes, vises en fejl.

Test din udrulning af hybrid-datasikkerhed

Test din udrulning af hybrid-datasikkerhed

Brug denne procedure til at teste scenarier for kryptering af datasikkerhed med flere lejere.

Før du begynder

  • Opsæt din datasikkerhedsudrulning for flere lejere.

  • Sørg for, at du har adgang til syslog'en for at bekræfte, at vigtige anmodninger overføres til din multi-tenant hybrid-datasikkerhedsudrulning.

1

Taster for et givet rum indstilles af opretteren af rummet. Log ind på Webex-appen som en af brugerne i kundeorganisationen, og opret derefter et rum.

Hvis du deaktiverer hybrid-datasikkerhedsudrulningen, er indhold i rum, som brugere opretter, ikke længere tilgængeligt, når de klientcachelagrede kopier af krypteringsnøglerne erstattes.

2

Send meddelelser til det nye rum.

3

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne sendes til din hybrid-datasikkerhedsudrulning.

  1. For at kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du skal finde en post som f.eks. følgende (identifikatorer forkortes for læsbarhed):
    2020-07-21 17:35:34.562 (+0000) OPLYSNINGER KMS [pool-14-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheBarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. For at kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finde en post såsom:
    2020-07-21 17:44:19.889 (+0000) OPLYSNINGER KMS [pool-14-tråd-31] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. For at kontrollere, om der er en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finde en post såsom:
    2020-07-21 17:44:21.975 (+0000) OPLYSNINGER KMS [pool-14-tråd-33] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. For at søge efter en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere efter kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finde en post såsom: 
    2020-07-21 17:44:22.808 (+0000) OPLYSNINGER KMS [pool-15-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg sundheden for hybrid-datasikkerhed

En statusindikator i Partner Hub viser dig, om alt er godt med implementeringen af hybriddatasikkerhed for flere lejere. Hvis du vil have mere proaktive varsler, skal du tilmelde dig e-mailunderretninger. Du får besked, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
1

I Partner Hub skal du vælge Tjenester i menuen til venstre på skærmen.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

Siden Indstillinger for hybrid-datasikkerhed vises.
3

I afsnittet E-mailmeddelelser skal du skrive en eller flere e-mailadresser adskilt af kommaer, og trykke på Enter.

Administrer din HDS-installation

Administrer HDS-udrulning

Brug de opgaver, der er beskrevet her, til at administrere din udrulning af hybrid-datasikkerhed.

Indstil tidsplan for klyngeopgradering

Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan indstille en specifik opgraderingsplan eller bruge standardplanen 3:00 AM Daily i USA: Amerika/Los Angeles. Du kan også vælge at udskyde en kommende opgradering, hvis det er nødvendigt.

Sådan opsættes opgraderingsplanen:

1

Log ind på Partner Hub.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt

4

Vælg klyngen på siden Hybrid-datasikkerhedsressourcer.

5

Klik på fanen Klyngeindstillinger .

6

Vælg tidspunkt og tidszone for opgraderingsplanen på siden Klyngeindstillinger under Opgraderingsplan.

Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -klokkeslæt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt med 24 timer.

Skift nodekonfigurationen

Det kan være nødvendigt at ændre konfigurationen af din Hybrid-datasikkerhedsknude af en årsag, såsom:

  • Ændring af x.509-certifikater pga. udløb eller andre årsager.

    Vi understøtter ikke ændring af CN-domænenavnet for et certifikat. Domænet skal passe med det oprindelige domæne, der bruges til at registrere klyngen.

  • Opdatering af databaseindstillinger for at ændre til en replik af PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi understøtter ikke overflytning af data fra PostgreSQL til Microsoft SQL Server, eller hvordan det kan lade sig gøre. For at skifte databasemiljøet skal du starte en ny udrulning af Hybrid-datasikkerhed.

  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Derudover bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i ni måneder. Når HDS-opsætningsværktøjet genererer disse adgangskoder, implementeres de for hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden for din maskinkonto. (E-mailen indeholder teksten "Brug maskinkonto-API'en til at opdatere adgangskoden.") Hvis dine adgangskoder endnu ikke er udløbet, giver værktøjet dig to valgmuligheder:

  • Blød nulstilling – de gamle og nye adgangskoder fungerer begge i op til 10 dage. Brug denne periode til at erstatte ISO-filen på knudepunkterne gradvist.

  • Hård nulstilling – de gamle adgangskoder holder op med at fungere med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, der kræver øjeblikkelig hard reset og udskiftning af ISO-filen på alle knudepunkter.

Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.

Før du begynder

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med partnerfulde administratorrettigheder.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når Docker-beholderen vises i 1.e. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder masternøglen, der krypterer PostgreSQL eller Microsoft SQL Server-databasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

1

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

  1. Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

    I almindelige miljøer:

    docker rmi ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

  2. For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

    docker login -u hdscustomersro

  3. I adgangskodeanmodningen skal du indtaste denne hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Download det seneste stabilt billede til dit miljø:

    I almindelige miljøer:

    docker træk ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker træk ciscocitg/hds-setup-fedramp:stabil

    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 har ikke skærmbilleder til nulstilling af adgangskode.

  5. Når træk er fuldført, indtast den relevante kommando for dit miljø:

    • I almindelige miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I FedRAMP-miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når beholderen kører, ser du "Express-serveren lytter på port 8080."

  6. Brug en browser til at tilslutte til localhost, http://127.0.0.1:8080.

    Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

  7. Når du bliver bedt om det, skal du indtaste legitimationsoplysningerne for din Partner Hub-kunde og derefter klikke på Acceptér for at fortsætte.

  8. Importér den aktuelle ISO-konfigurationsfil.

  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

    For at lukke opsætningsværktøjet skal du taste CTRL+C.

  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

2

Hvis du kun har én HDS-knude kørende, skal du oprette en ny hybrid-datasikkerhedstjeneste og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. For mere detaljerede vejledninger, se Opret og tilmeld flere knudepunkter.

  1. Installer HDS-hosten OVA.

  2. Opsæt HDS-VM'en.

  3. Tilslut den opdaterede konfigurationsfil.

  4. Tilmeld den nye knude i Partner Hub.

3

For eksisterende HDS-noder, der kører den ældre konfigurationsfil, skal du tilslutte ISO-filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, inden du slår den næste knude fra:

  1. Slå den virtuelle maskine fra.

  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  3. Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

  4. Markér Forbind med tilsluttet strøm.

  5. Gem dine ændringer, og tænd for den virtuelle maskine.

4

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Slå blokeret ekstern DNS-opløsnings tilstand fra

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. Hvis knudens DNS-server ikke kan løse offentlige DNS-navne, går knuden automatisk i blokeret ekstern DNS-opløsnings tilstand.

Hvis dine knuder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du slå denne tilstand fra ved at køre proxy forbindelsestesten igen på hver knude.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine knuder kan kommunikere med dem.
1

I en webbrowser skal du åbne hybrid-datasikkerhedstjeneste nodegrænsefladen (f.eks. IP-adresse/opsætning, https://192.0.2.0/setup), indtaste administratorlegitimationsoplysningerne, du opsætter for noden, og derefter klikke på Log ind.

2

Gå til Oversigt (standardsiden).

Når den er aktiveret, er blokeret ekstern DNS-opløsning indstillet til Ja.

3

Gå til siden Trust store & proxy .

4

Klik på Kontroller proxy forbindelse.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke blev gennemført, var knuden ikke i stand til at nå DNS-serveren og vil forblive i denne tilstand. Ellers skal blokerede ekstern DNS-opløsning indstilles til Nej, når du genstarter knuden og går tilbage til oversigtssiden.

Næste trin

Gentag proxy forbindelsestesten på hver knude i din hybrid-datasikkerheds gruppe.

Fjern et knudepunkt

Brug denne procedure til at fjerne en hybrid-datasikkerhedstjeneste fra Webex Cloud. Når du fjerner noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært og slukke for den virtuelle maskine.

2

Fjern knuden:

  1. Log ind på Partner Hub, og vælg derefter Tjenester.

  2. På hybrid-datasikkerhedskortet skal du klikke på Se alle for at få vist siden Hybrid-datasikkerhedsressourcer.

  3. Vælg din klynge for at få vist oversigtspanelet.

  4. Klik på den node, du vil fjerne.

  5. Klik på Fjern registrering af denne node på panelet, der vises til højre

  6. Du kan også afmelde noden ved at klikke… på højre side af noden og vælge Fjern denne node.

3

Slet VM'en i vSphere-klienten. (Højreklik på VM'en i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM'en, skal du huske at afmontere konfigurations-ISO-filen. Uden ISO-filen kan du ikke bruge VM'en til at få adgang til dine sikkerhedsdata.

Katastrofegendannelse ved hjælp af standby-datacenter

Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye anmodninger om nøgleoprettelse til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den har oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

Da klyngen udfører den kritiske funktion med at levere disse nøgler, er det afgørende, at klyngen fortsat kører, og at der opretholdes korrekte sikkerhedskopieringer. Tab af hybrid-datasikkerhedsdatabasen eller af den konfigurations-ISO, der bruges til skemaet, vil medføre tab AF KUNDEINDHOLD, der ikke kan genoprettes. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter ikke er tilgængelig, skal du følge denne procedure for manuelt at foretage failover til standby-datacenteret.

Før du begynder

Fjern registreringen af alle knuder fra Partner Hub som nævnt i Fjern en knude. Brug den seneste ISO-fil, der blev konfigureret i forhold til noderne for den klynge, der tidligere var aktiv, til at udføre den failover-procedure, der er nævnt nedenfor.
1

Start HDS-opsætningsværktøjet, og følg trinene nævnt i Opret en konfigurations-ISO for HDS-værter.

2

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

3

Lav en sikkerhedskopi af ISO-filen på dit lokale system. Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

4

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

5

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg ISO-fil i datalagring.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knudepunkterne er startet.

6

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

7

Tilmeld knuden i Partner Hub. Se Tilmeld den første node i klyngen.

8

Gentag processen for hver node i standby-datacenteret.

Næste trin

Hvis det primære datacenter efter failover bliver aktivt igen, skal du fjerne registreringen af noderne i standby-datacenteret og gentage processen med at konfigurere ISO og registrere noder i det primære datacenter som nævnt ovenfor.

(Valgfrit) Afmonter ISO efter HDS-konfiguration

Standard-HDS-konfigurationen kører med ISO monteret. Men nogle kunder foretrækker ikke at lade ISO-filer være monteret kontinuerligt. Du kan afmontere ISO-filen, når alle HDS-knuder henter den nye konfiguration.

Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine knudepunkter har hentet konfigurationsændringerne, kan du afmontere ISO'en igen med denne procedure.

Før du begynder

Opgrader alle dine HDS-knuder til version 2021.01.22.4720 eller nyere.

1

Luk en af dine HDS-knudepunkter.

2

Vælg HDS-noden i vCenter-serverenheden.

3

Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af ISO-fil i datalagring.

4

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 20 minutter.

5

Gentag for hver HDS-knude ad gangen.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

En hybrid-datasikkerhedsudrulning anses for ikke at være tilgængelig, hvis alle knuder i klyngen er utilgængelige, eller klyngen arbejder så langsomt, at anmodninger om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

  • Nye rum kan ikke oprettes (nye nøgler kan ikke oprettes)

  • Meddelelser og rumtitler kan ikke dekrypteres for:

    • Nye brugere føjet til et rum (kunne ikke hente tasterne)

    • Eksisterende brugere i et rum, der bruger en ny klient (kan ikke hente tasterne)

  • Eksisterende brugere i et rum fortsætter med at køre, så længe deres klienter har en cache med krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og adresserer eventuelle advarsler med det samme for at undgå afbrydelse af tjenesten.

Varsler

Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Partner Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varsler dækker mange almindelige scenarier.

Tabel 1. Almindelige problemer og trin til at løse dem

Varsel

Handling

Fejl ved lokal databaseadgang.

Kontrollér, om der er databasefejl eller problemer med lokale netværk.

Fejl i forbindelse med lokal database.

Kontrollér, at databaseserveren er tilgængelig, og at de rigtige tjenestekontolegitimationsoplysninger blev brugt i nodekonfigurationen.

Fejl i adgang til cloudtjeneste.

Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i Krav til ekstern forbindelse.

Fornyelse af registrering af cloudtjeneste.

Tilmelding til cloudtjenester blev afbrudt. Fornyelse af registrering er i gang.

Registrering af cloudtjeneste blev afbrudt.

Tilmelding til cloudtjenester blev afsluttet. Tjenesten er ved at lukke.

Tjenesten er endnu ikke aktiveret.

Aktivér HDS i Partner Hub.

Det konfigurerede domæne stemmer ikke overens med servercertifikatet.

Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den indledende opsætning.

Kunne ikke godkende cloudtjenester.

Kontrollér nøjagtigheden og mulig udløb af legitimationsoplysninger for tjenestekontoen.

Kunne ikke åbne fil med lokal nøglelager.

Kontrollér, om der er integritet og adgangskodenøjagtighed i den lokale nøglecenterfil.

Lokalt servercertifikat er ugyldigt.

Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en pålidelig certifikatmyndighed.

Kan ikke sende målinger.

Kontrollér lokal netværksadgang til eksterne cloudtjenester.

/media/configdrive/hds-mappen findes ikke.

Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at blive monteret ved genstart, og at den monteres korrekt.

Opsætning af lejerorganisation er ikke fuldført for de tilføjede organisationer

Fuldfør opsætningen ved at oprette CMK'er for nyligt tilføjede lejerorganisationer ved hjælp af HDS-opsætningsværktøjet.

Opsætning af lejerorganisation er ikke fuldført for de fjernede organisationer

Fuldfør opsætningen ved at tilbagekalde CMK'er for lejerorganisationer, der blev fjernet ved hjælp af HDS-opsætningsværktøjet.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybrid-datasikkerhed.
1

Gennemgå Partner Hub for eventuelle varsler, og ret eventuelle elementer, du finder der. Se billedet nedenfor for reference.

2

Gennemgå syslog-serverens output for aktivitet fra hybrid-datasikkerhedsudrulningen. Filtrer efter ord som "Advarsel" og "Fejl" for at hjælpe med fejlfinding.

3

Kontakt Cisco-support.

Andre bemærkninger

Kendte problemer med hybrid-datasikkerhed

  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Partner Hub eller ved at lukke alle knudepunkter), mister din konfigurations-ISO-fil eller mister adgang til nøglelagerdatabasen, kan Webex-appbrugere i kundeorganisationer ikke længere bruge rum på deres personliste, der blev oprettet med nøgler fra din KMS. Vi har ikke en løsning eller løsning på dette problem i øjeblikket og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, opretholder denne forbindelse i en tidsperiode (sandsynligvis en time).

Brug OpenSSL til at generere en PKCS12-fil

Før du begynder

  • OpenSSL er et værktøj, der kan bruges til at gøre PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre dette på, og vi støtter ikke eller fremmer ikke den ene vej frem for den anden.

  • Hvis du vælger at bruge OpenSSL, leverer vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509-certifikatkravene i X.509-certifikatkrav. Forstå disse krav, før du fortsætter.

  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for softwaren og dokumentationen.

  • Opret en privat nøgle.

  • Start denne procedure, når du modtager servercertifikatet fra dit CA.

1

Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

2

Vis certifikatet som tekst, og bekræft detaljerne.

openssl x509 -tekst -noout -i hdsnode.pem

3

Brug et tekstredigeringsprogram til at oprette en certifikatbundle-fil, der hedder hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rod-CA-certifikaterne i nedenstående format:

-----begynd certifikat------ ### Servercertifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Mellemliggende CA-certifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Rodnøglecentercertifikat. ### -----afslut certifikat------

4

Opret .p12-filen med det venlige navn kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollér servercertifikatoplysningerne.

  1. openssl pkcs12 - i hdsnode.p12

  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den vises i outputtet. Bekræft derefter, at den private nøgle og det første certifikat indeholder linjerne friendlyName: kms-private-nøgle.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Indtast importadgangskode: MAC-verificerede OK-taskeattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøgleattributter:  Indtast PEM-adgangsfrase: Bekræftelse – indtast PEM-adgangsfrase: -----BEGYND KRYPTERET PRIVAT NØGLE-----  -----END KRYPTERET PRIVAT NØGLE----- Poseattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Poseattributter friendlyName: CN=Lad os kryptere myndighed X3,O=Lad os kryptere,C=US subject=/C=US/O=Lad os kryptere myndighed X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT-----  -----END CERTIFIKAT-----

Næste trin

Vend tilbage til Fuldfør forudsætningerne for hybrid-datasikkerhed. Du skal bruge filen hdsnode.p12 og adgangskoden, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-noderne og skyen

Trafik for indsamling af udgående målinger

Hybrid-datasikkerhedstjeneste sender visse målinger til Webex Cloud. Disse omfatter systemmålinger for maks. heap, brugt heap, CPU-belastning og trådtælling, målinger på synkroniserede og asynkrone tråde, målinger på varsler, der involverer en tærskel for krypteringsforbindelser, ventetid eller længde på en anmodningskø, målinger på datalageret og målinger af krypteringsforbindelser. Knuderne sender krypteret nøglemateriale over en ikke-båndkanal (adskilt fra anmodningen).

Indgående trafik

Hybrid-datasikkerhedstjeneste noder modtager følgende typer indgående trafik fra Webex-cloud:

  • Krypteringsanmodninger fra klienter, som distribueres af krypteringstjenesten

  • Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer for hybrid-data sikkerhed

WebSocket kan ikke oprette forbindelse via Squid-Proxy

Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:)-forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af squid til at ignorere WSS: trafik til korrekt funktion af tjenesterne.

Squid 4 og 5

Føj on_unsupported_protocol direktivet til squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi har testet hybrid-data sikkerhed med følgende regler tilføjet til squid. conf. Disse regler er underlagt ændringer, når vi udviklerfunktioner og opdaterer Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kviksølv-forbindelse ssl_bump splitte wssMercuryConnection acl trin1 at_step SslBump1 acl trin2 at_step SslBump2 acl trin3 at_step SslBump3 ssl_bump smugkig trin1 alle ssl_bump kig trin2 alle ssl_bump bump trin3 alle

Nye og ændrede oplysninger

Nye og ændrede oplysninger

Denne tabel dækker nye funktioner eller funktionalitet, ændringer af eksisterende indhold og eventuelle større fejl, der blev rettet i Udrulningsvejledningen for datasikkerhed med flere lejere.

Dato

Der er foretaget ændringer

8. januar 2025

Tilføjede en bemærkning i Udfør indledende opsætning og download installationsfiler , der angiver, at klik på Opsætning på HDS-kortet i Partner Hub er et vigtigt trin i installationsprocessen.

7. januar 2025

Opdaterede krav til virtuel vært, opgavestrøm til implementering af hybrid-datasikkerhed og installer HDS-vært OVA for at vise nye krav til ESXi 7.0.

13. december 2024

Første gang udgivet.

Deaktiver hybrid-datasikkerhed for flere lejere

Opgavestrøm til deaktivering af HDS med flere lejere

Følg disse trin for at deaktivere HDS med flere lejere fuldstændigt.

Før du begynder

Denne opgave bør kun udføres af en partneradministrator med alle rettigheder.
1

Fjern alle kunder fra alle dine klynger, som nævnt i Fjern lejerorganisationer.

2

Tilbagekald alle kunders CMK'er som nævnt i Tilbagekald CMK'er for lejere, der er fjernet fra HDS..

3

Fjern alle knuder fra alle dine klynger, som nævnt i Fjern en knude.

4

Slet alle dine klynger fra Partner Hub ved hjælp af en af følgende to metoder.

  • Klik på den klynge, du vil slette, og vælg Slet denne klynge i øverste højre hjørne af oversigtssiden.
  • På siden Ressourcer skal du klikke på… i højre side af en klynge og vælge Fjern klynge.
5

Klik på fanen Indstillinger på oversigtssiden for hybrid-datasikkerhed, og klik på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybrid-datasikkerhed for flere lejere

Oversigt over hybrid-datasikkerhed for flere lejere

Fra første dag har datasikkerhed været det primære fokus i designet af Webex-appen. Hjørnestenen i denne sikkerhed er slutpunkt-til-slutpunkt-kryptering af indhold, der er aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

Som standard får alle Webex-appkunder kryptering fra slutpunkt-til-slutpunkt med dynamiske nøgler, der er gemt i Cloud KMS i Ciscos sikkerhedsdomæne. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.

Multi-tenant hybrid-datasikkerhed gør det muligt for organisationer at udnytte HDS via en betroet lokal partner, der kan fungere som tjenesteudbyder og administrere kryptering på stedet og andre sikkerhedstjenester. Denne opsætning giver partnerorganisationen mulighed for at have fuld kontrol over installation og administration af krypteringsnøgler og sikrer, at brugerdata i kundeorganisationer er sikre mod ekstern adgang. Partnerorganisationer konfigurerer HDS-forekomster og opretter HDS-klynger efter behov. Hver forekomst kan understøtte flere kundeorganisationer i modsætning til en almindelig HDS-udrulning, der er begrænset til en enkelt organisation.

Selvom partnerorganisationer har kontrol over installation og administration, har de ikke adgang til data og indhold, der er genereret af kunder. Denne adgang er begrænset til kundeorganisationer og deres brugere.

Dette giver også mindre organisationer mulighed for at udnytte HDS, da nøgleadministrationsservice og sikkerhedsinfrastruktur såsom datacentre ejes af den betroede lokale partner.

Sådan giver hybriddatasikkerhed med flere lejere datasuverænitet og datakontrol

  • Brugergenereret indhold er beskyttet mod ekstern adgang, f.eks. cloudtjenesteudbydere.
  • Lokale betroede partnere administrerer krypteringsnøglerne for kunder, som de allerede har et etableret forhold til.
  • Valgmulighed for lokal teknisk support, hvis den leveres af partneren.
  • Understøtter indhold i møder, meddelelser og opkald.

Dette dokument er beregnet til at hjælpe partnerorganisationer med at opsætte og administrere kunder under et hybrid-datasikkerhedssystem med flere lejere.

Roller i hybrid-datasikkerhed med flere lejere

  • Partneradministrator med fulde rettigheder – kan administrere indstillinger for alle kunder, som partneren administrerer. Kan også tildele administratorroller til eksisterende brugere i organisationen og tildele specifikke kunder, der skal administreres af partneradministratorer.
  • Partneradministrator – kan administrere indstillinger for kunder, som administratoren klargjorde, eller som er blevet tildelt brugeren.
  • Fuld administrator – administrator for partnerorganisationen, der er autoriseret til at udføre opgaver såsom at ændre organisationsindstillinger, administrere licenser og tildele roller.
  • Opsætning og administration af HDS med flere lejere fra slutpunkt til slutpunkt for alle kundeorganisationer – fuld administrator og fulde administratorrettigheder er påkrævet.
  • Administration af tildelte lejerorganisationer – partneradministrator og fulde administratorrettigheder er påkrævet.

Arkitektur for sikkerhedsdomæne

Webex Cloud-arkitekturen opdeler forskellige typer tjenester i separate domæner eller tillidsdomæner, som vist nedenfor.

Områder for adskillelse (uden hybrid-datasikkerhed)

For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-områder. Identitetstjenesten, som er det eneste sted, hvor brugere kan være direkte korreleret med deres personlige oplysninger såsom e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsdomænet i datacenter B. Begge er adskilt fra det domæne, hvor krypteret indhold i sidste ende gemmes, i datacenter C.

I dette diagram kører klienten Webex-appen på en brugers bærbare computer og er godkendt med identitetstjenesten. Når brugeren opretter en meddelelse, der skal sendes til et rum, udføres følgende trin:

  1. Klienten opretter en sikker forbindelse til KMS (key management service) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

  2. Meddelelsen krypteres, før den forlader klienten. Klienten sender det til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe fremtidige søgninger efter indholdet.

  3. Den krypterede meddelelse sendes til overholdelsestjenesten for overensstemmelseskontrol.

  4. Den krypterede meddelelse gemmes i lagerdomænet.

Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsressourcefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitets- og indholdslagring), forbliver i Ciscos domæner.

Samarbejde med andre organisationer

Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi det blev oprettet af en af dine brugere), sender dit KMS nøglen til klienten over en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, sender din KMS anmodningen ud til Webex Cloud via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

Den KMS-tjeneste, der kører på organisation A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for oplysninger om generering af et x.509-certifikat til brug med din multi-tenant hybrid-datasikkerhedsudrulning.

Forventninger til implementering af hybrid-datasikkerhed

En hybrid-datasikkerhedsudrulning kræver betydelig engagement og opmærksomhed om de risici, der følger med at eje krypteringsnøgler.

For at implementere hybrid-datasikkerhed skal du angive:

Komplet tab af enten den konfigurations-ISO, du opretter til hybrid-datasikkerhed, eller den database, du leverer, vil medføre tab af nøgler. Tabet af nøgler forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du oprette en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

  • Administrer sikkerhedskopiering og gendannelse af databasen og konfigurations-ISO.

  • Vær forberedt på at udføre hurtig katastrofegenoprettelse, hvis der opstår en katastrofe, såsom databasediskfejl eller datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætningen og administrationen af en multi-tenant hybrid-datasikkerhedsudrulning:

  • Opsæt hybrid-datasikkerhed – dette omfatter forberedelse af nødvendig infrastruktur og installation af hybrid-datasikkerhedssoftware, opbygning af en HDS-klynge, tilføjelse af lejerorganisationer til klyngen og administration af deres kundehovednøgler (CMK'er). Dette gør det muligt for alle brugere i dine kundeorganisationer at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

    Opsætnings-, aktiverings- og administrationsfaserne er beskrevet i detaljer i de næste tre kapitler.

  • Vedligehold din hybrid-datasikkerhedsudrulning – Webex Cloud leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde support på niveau et for denne udrulning og bruge Cisco-support efter behov. Du kan bruge underretninger på skærmen og opsætte e-mailbaserede varsler i Partner Hub.

  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du oplever problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og bilaget Kendte problemer hjælpe dig med at finde og løse problemet.

Udrulningsmodel for hybrid-datasikkerhed

I dit virksomhedsdatacenter installerer du hybrid-datasikkerhed som en enkelt klynge af noder på separate virtuelle værter. Noderne kommunikerer med Webex Cloud via sikre websockets og sikker HTTP.

Under installationsprocessen giver vi dig OVA-filen til at konfigurere den virtuelle enhed på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugertilpasset ISO-fil til klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din angivne Syslogd-server- og PostgreSQL- eller Microsoft SQL-serverdatabase. (Du kan konfigurere oplysninger om Syslogd og databaseforbindelse i HDS-opsætningsværktøjet).

Udrulningsmodel for hybrid-datasikkerhed

Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre pr. klynge. At have flere knudepunkter sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex Cloud opgraderer kun én knude ad gangen).

Alle knuder i en klynge har adgang til det samme nøgledatalager og logaktivitet til den samme syslog-server. Noderne er i sig selv statsløse og håndterer vigtige anmodninger på round-robin-måde, som dirigeret af skyen.

Knudepunkter bliver aktive, når du tilmelder dem i Partner Hub. Hvis du vil tage en individuel knude ud af drift, kan du framelde den og senere registrere den igen, hvis det er nødvendigt.

Standby-datacenter til gendannelse efter nedbrud

Under installationen konfigurerer du et sikkert standbydatacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standby-datacenteret.

Før failover har datacenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-database, mens B har en kopi af ISO-filen med yderligere konfigurationer, VM'er, der er registreret i organisationen, og en standbydatabase. Efter failover har datacenter B aktive HDS-noder og den primære database, mens A har ikke-registrerede VM'er og en kopi af ISO-filen, og databasen er i standbytilstand.
Manuel failover til standby-datacenter

Databaserne for de aktive datacentre og standby-datacentre er synkroniseret, hvilket minimerer den tid, det tager at udføre failover.

De aktive hybrid-datasikkerhedstjeneste skal altid være i det samme datacenter som den aktive databaseserver.

Proxy-support

Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.

Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:

  • Ingen proxy – standard, hvis du ikke bruger HDS-nodens konfiguration af tillidslager og proxykonfiguration til at integrere en proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig ikke-kontrollerende proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve ændringer for at fungere med en ikke-kontrollerende proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig tunneling eller inspektion af proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

  • Eksplicit proxy – Med eksplicit proxy fortæller du HDS-knuderne, hvilken proxyserver og godkendelsesplan de skal bruge. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

      • HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.

      • HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

Eksempel på hybrid-data sikkerheds knuder og proxy

Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.

Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.

Forbered dit miljø

Krav til hybrid-datasikkerhed for flere lejere

Cisco Webex-licenskrav

Sådan udrulles hybriddatasikkerhed for flere lejere:

  • Partnerorganisationer: Kontakt din Cisco-partner eller kontoadministrator, og sørg for, at funktionen med flere lejere er aktiveret.

  • Lejerorganisationer: Du skal have Pro Pack til Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker Desktop

Før du installerer dine HDS-knuder, skal du bruge Docker Desktop til at køre et opsætningsprogram. Docker har for nylig opdateret sin licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".

X.509 Certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 Certifikatkrav til hybrid-datasikkerhedsudrulning

Krav

Detaljer

  • Underskrevet af et pålideligt nøglecenter (CA)

Som standard stoler vi på nøglecentererne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et CN-domænenavn (Common Name), der identificerer din hybrid-datasikkerhedsudrulning

  • Er ikke et jokertegn

CN behøver ikke at kunne kontaktes eller være en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

CN må ikke indeholde et * (jokertegn).

CN bruges til at bekræfte hybrid-datasikkerhedsknuderne for Webex-appklienter. Alle hybrid-datasikkerhedstjeneste noder i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

Når du har registreret en node med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet.

  • Ikke-SHA1-signatur

KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

  • Brug det venlige navn på kms-private-key til at tagge certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal uploades.

Du kan bruge en konverter såsom OpenSSL til at ændre certifikatets format.

Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

KMS-softwaren håndhæver ikke nøglebrug eller udvidede begrænsninger for nøglebrug. Nogle certifikatmyndigheder kræver, at der anvendes udvidede begrænsninger for nøglebrug for hvert certifikat, f.eks. servergodkendelse. Det er i orden at bruge servergodkendelse eller andre indstillinger.

Krav til virtuel vært

De virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste noder i din klynge, har følgende krav:

  • Mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter

  • VMware ESXi 7.0 (eller nyere) installeret og kører.

    Du skal opgradere, hvis du har en tidligere version af ESXi.

  • Mindst 4 vCPU'er, 8 GB primær hukommelse, 30 GB lokal harddiskplads pr. server

Krav til databaseserver

Opret en ny database til nøglelager. Brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene til hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installeret og kører.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installeret.

    SQL Server 2016 kræver Service Pack 2 og kumulativ opdatering 2 eller nyere.

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

JDBC-driver 4.6 til SQL Server

Denne driverversion understøtter SQL Server altid slået til ( Altid på failover-klyngeforekomster og Altid på tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse i forhold til Microsoft SQL Server

Hvis du ønsker, at HDS-noder skal bruge Windows-godkendelse til at få adgang til din keystore-database på Microsoft SQL Server, skal du bruge følgende konfiguration i dit miljø:

  • HDS-knuderne, Active Directory-infrastrukturen og MS SQL Server skal alle synkroniseres med NTP.

  • Den Windows-konto, du angiver til HDS-noder, skal have læse-/skriveadgang til databasen.

  • De DNS-servere, du angiver til HDS-noder, skal kunne løse dit Key Distribution Center (KDC).

  • Du kan registrere HDS-databaseforekomsten på din Microsoft SQL Server som et Service Principal Name (SPN) i din Active Directory. Se Registrer et tjenestehovednavn for Kerberos-forbindelser.

    HDS-opsætningsværktøjet, HDS-startfunktionen og lokal KMS skal alle bruge Windows-godkendelse til at få adgang til nøglelagerdatabasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når der anmodes om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelser for HDS-programmerne:

Applikation

Protokol

Port

Retning fra appen

Destination

Hybrid-datasikkerhedstjeneste

TCP

443

Udgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-værter

  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser til Webex Hybrid-tjenester med Netværkskrav til Webex-tjenester

HDS-opsætningsværktøj

TCP

443

Udgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-værter

  • hub.docker.com

Hybrid-datasikkerhedstjeneste fungerer med NAT (network access translation) eller bag en firewall, så længe NAT eller firewall tillader de påkrævede udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går indgående til hybrid-datasikkerhedstjeneste, må ingen porte være synlige fra internettet. I dit datacenter skal klienter have adgang til hybrid-datasikkerhedsknuderne på TCP-portene 443 og 22 af administrative årsager.

URL-adresser til Common Identity (CI)-værter er områdespecifikke. Disse er de aktuelle CI-værter:

Område

URL-adresser til fælles identitet

Nord-, Mellem- og Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

EU

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Forenede Arabiske Emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy server krav

  • Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.

    • Gennemsigtig proxy – Cisco web Security-Appliance (WSA).

    • Eksplicit proxy-squid.

      Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket-forbindelser (wss:). Hvis du vil undgå dette problem, kan du se Konfigurer Squid-proxyer til hybrid-datasikkerhed.

  • Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:

    • Ingen godkendelse med HTTP eller HTTPS

    • Grundlæggende godkendelse med HTTP eller HTTPS

    • Samlet godkendelse kun med HTTPS

  • For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.

  • Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

  • Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil tilsidesættelse af trafik til wbx2.com og ciscospark.com løse problemet.

Udfyld forudsætningerne for hybrid-datasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
1

Sørg for, at din partnerorganisation har multilejer-HDS-funktionen aktiveret, og få legitimationsoplysningerne for en konto med partnerfuld administrator og fulde administratorrettigheder. Sørg for, at din Webex-kundeorganisation er aktiveret til Pro Pack til Cisco Webex Control Hub. Kontakt din Cisco-partner eller -kontoadministrator for at få hjælp til denne proces.

Kundeorganisationer bør ikke have nogen eksisterende HDS-udrulning.

2

Vælg et domænenavn til din HDS-udrulning (for eksempel hds.company.com), og få en certifikatkæde, der indeholder et X.509-certifikat, en privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 Certifikatkrav.

3

Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste i din klynge. Du skal bruge mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter, som opfylder kravene i Krav til virtuel vært.

4

Forbered den databaseserver, der vil fungere som nøgledatalageret for klyngen i henhold til kravene til databaseserver. Databaseserveren skal være placeret i det sikre datacenter med de virtuelle værter.

  1. Opret en database til nøglelager. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.)

  2. Indsaml de oplysninger, som noderne skal bruge til at kommunikere med databaseserveren:

    • værtsnavnet eller IP-adressen (vært) og porten

    • navnet på databasen (dbname) til nøglelagring

    • brugernavnet og adgangskoden for en bruger med alle privilegier på nøglelagerdatabasen

5

For hurtig katastrofegenoprettelse skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Sikkerhedskopieringsmiljøet afspejler produktionsmiljøet for VM'er og en sikkerhedskopieret databaseserver. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er.

6

Konfigurer en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Hent dens netværksadresse og syslog-port (standard er UDP 514).

7

Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedstjeneste, databaseserveren og syslog-værten. For at forhindre, at der ikke kan genoprettes tab af data, skal du som minimum sikkerhedskopiere databasen og konfigurationsfilen, der er genereret til hybrid-datasikkerhedstjeneste.

Da hybrid-datasikkerhedstjeneste gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operativ installation medføre UOPRETTELIG TAB af dette indhold.

Webex-appklienter cachelagrer deres nøgler, så et udfald vil muligvis ikke blive bemærket med det samme, men vil blive tydeligt med tiden. Selv om midlertidige afbrydelser ikke kan forhindres, kan de genoprettes. Men komplet tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller konfigurationsfilen vil resultere i, at kundedata ikke kan genoprettes. Operatørerne af hybrid-datasikkerhedstjeneste forventes at opretholde hyppige sikkerhedskopieringer af databasen og ISO-konfigurationsfilen og være forberedt på at genopbygge hybrid-datasikkerhedstjeneste-datacenteret, hvis der opstår en katastrofal fejl.

8

Sørg for, at din firewall-konfiguration tillader tilslutning til dine hybrid-datasikkerhedsknuder som beskrevet i Krav til ekstern tilslutning.

9

Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

Du kan bruge Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opretter de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedstjeneste. Du skal muligvis have en Docker Desktop-licens. Se Krav til Docker-desktop for yderligere oplysninger.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have forbindelsen beskrevet i Krav til ekstern forbindelse.

10

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder kravene til proxyserver.

Opsæt en hybrid-datasikkerhedsklynge

Opgavestrøm til installation af hybrid-datasikkerhed

Før du begynder

1

Udfør indledende opsætning og download installationsfiler

Download OVA-filen til din lokale maskine til senere brug.

2

Opret en konfigurations-ISO for HDS-værter

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedstjeneste.

3

Installer HDS-værts-OVA

Opret en virtuel maskine fra OVA-filen, og udfør indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

4

Opsæt VM for hybrid-datasikkerhed

Log på VM-konsollen, og indstil logonlegitimationsoplysningerne. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

5

Overfør og monter HDS-konfigurations-ISO

Konfigurer VM'en fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

6

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og føje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

7

Tilmeld den første knude i klyngen

Tilmeld VM'en med Cisco Webex Cloud som en hybrid-datasikkerhedstjeneste.

8

Opret og tilmeld flere knudepunkter

Fuldfør klyngeopsætningen.

9

Aktivér HDS med flere lejere på Partner Hub.

Aktivér HDS, og administrer lejerorganisationer i Partner Hub.

Udfør indledende opsætning og download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du har konfigureret som hybrid-datasikkerhedsknuder). Du bruger denne fil senere i installationsprocessen.

1

Log ind på Partner Hub, og klik derefter på Tjenester.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og derefter klikke på Opsæt.

Klik på Opsæt i Partner Hub er afgørende for installationsprocessen. Fortsæt ikke med installationen uden at fuldføre dette trin.

3

Klik på Tilføj en ressource , og klik på Download .OVA-fil på kortet Installer og konfigurer software .

Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan medføre problemer under opgradering af applikationen. Sørg for at downloade den seneste version af OVA-filen.

Du kan også downloade OVA'en når som helst fra afsnittet Hjælp . Klik på Indstillinger > Hjælp > Download hybrid-datasikkerhedssoftware.

OVA-filen begynder automatisk at blive downloadet. Gem filen på en placering på din maskine.
4

Du kan også klikke på Se udrulningsvejledning til hybrid-datasikkerhed for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder
1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import har du følgende valgmuligheder:

  • Nej – Hvis du opretter din første HDS-node, har du ikke en ISO-fil, der skal uploades.
  • Ja – Hvis du allerede har oprettet HDS-noder, så vælger du din ISO-fil i browseren og overfører den.
10

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkrav.

  • Hvis du aldrig har overført et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
  • Hvis dit certifikat er ok, skal du klikke på Fortsæt.
  • Hvis dit certifikat er udløbet, eller du vil udskifte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Overfør et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
11

Indtast databaseadressen og -kontoen for HDS for at få adgang til dit nøgledatalager:

  1. Vælg din databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du vælger Microsoft SQL Server, får du et felt til godkendelsestype.

  2. (Kun Microsoft SQL Server ) Vælg din godkendelsestype:

    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL Server-kontonavn i feltet Brugernavn .

    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet brugernavn@DOMÆNE i feltet Brugernavn .

  3. Indtast databaseserveradressen i formatet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at fortolke værtsnavnet.

    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

  4. Indtast databasenavnet.

  5. Indtast Brugernavn og Adgangskode for en bruger med alle privilegier på nøglelagerdatabasen.

12

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretræk TLS (standardvalgmulighed)

HDS-noder kræver ikke TLS for at tilslutte til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræv TLS

HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

Kræv TLS, og bekræft certifikatcertifikatstegner

Denne tilstand gælder ikke for SQL Server-databaser.

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Kræv TLS, og bekræft certifikatvært og værtsnavn

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og -port . Navnene skal passe præcist, ellers vil knudepunktet falde i forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Når du overfører rodcertifikatet (om nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis etablere TLS-forbindelsen, selvom maskinen til HDS-opsætningsværktøjet ikke kan teste den).

13

På siden Systemlogfiler skal du konfigurere din Syslogd-server:

  1. Indtast URL-adressen til syslog-serveren.

    Hvis serveren ikke kan DNS-løses fra noderne til din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse såsom tcp://10.92.43.23:514.

  3. Fra rullegardinmenuen Vælg afslutning af syslog-post skal du vælge den relevante indstilling for din ISO-fil: Vælg, eller linjeskift bruges til Graylog og Rsyslog TCP

    • Ingen byte -- \x00

    • Nylinje -- \n– Vælg denne valgmulighed for Graylog og Rsyslog TCP.

  4. Klik på Fortsæt.

14

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klik på Fortsæt på skærmen Nulstil tjenestekontoadgangskode .

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder er ved at udløbe, eller du vil nulstille dem til at ugyldiggøre tidligere ISO-filer.

16

Klik på Download ISO-fil. Gem filen på en placering, der er nem at finde.

17

Lav en sikkerhedskopi af ISO-filen på dit lokale system.

Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

18

For at lukke opsætningsværktøjet skal du taste CTRL+C.

Næste trin

Sikkerhedskopier ISO-konfigurationsfilen. Du skal bruge den til at oprette flere knudepunkter til genoprettelse eller til at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din PostgreSQL- eller Microsoft SQL Server-database.

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værts-OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært.

2

Vælg Fil > Implementer OVF-skabelon.

3

I guiden skal du angive placeringen af OVA-filen, som du downloadede tidligere, og derefter klikke på Næste.

4

På siden Vælg et navn og en mappe skal du indtaste et virtuelt maskinnavn for noden (for eksempel "HDS_Node_1"), vælge en placering, hvor udrulningen af noden til den virtuelle maskine kan ligge, og derefter klikke på Næste.

5

På siden Vælg en beregningsressource skal du vælge destinationsberegningsressourcen og derefter klikke på Næste.

En valideringskontrol kører. Når den er færdig, vises skabelonoplysningerne.

6

Bekræft skabelonoplysningerne, og klik derefter på Næste.

7

Hvis du bliver bedt om at vælge ressourcekonfiguration på siden Konfiguration , skal du klikke på 4 CPU og derefter klikke på Næste.

8

På siden Vælg lagerplads skal du klikke på Næste for at acceptere standarddiskformatet og VM-lagerpolitikken.

9

På siden Vælg netværk skal du vælge netværksvalgmuligheden fra listen med poster for at levere den ønskede forbindelse til VM'en.

10

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

  • Værtsnavn – indtast FQDN (værtsnavn og domæne) eller et enkelt ordværtsnavn for noden.

    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

    • For at sikre en vellykket registrering til skyen skal du kun bruge små bogstaver i det FQDN eller værtsnavn, som du har indstillet for noden. Store bogstaver understøttes ikke på dette tidspunkt.

    • Den samlede længde på FQDN må ikke overstige 64 tegn.

  • IP-adresse– Indtast IP-adressen for nodens interne grænseflade.

    Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

  • Maske – indtast undernetmaskens adresse i prik-decimal notation. For eksempel 255.255.255.0.
  • Gateway – indtast gateway-IP-adressen. En gateway er en netværksknude, der fungerer som et adgangspunkt til et andet netværk.
  • DNS-servere – Indtast en kommasepareret liste over DNS-servere, som håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
  • NTP-servere – Indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. Standard-NTP-servere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at angive flere NTP-servere.

  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan kontaktes fra klienter i dit netværk af administrative årsager.

Hvis du foretrækker det, kan du springe konfigurationen af netværksindstillingerne over og følge trinnene i Opsæt hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

11

Højreklik på noden VM, og vælg derefter Tænd > Tænd.

Hybrid-datasikkerhedssoftwaren installeres som gæst på VM-værten. Du er nu klar til at logge på konsollen og konfigurere noden.

Fejlfindingstip

Du kan opleve en forsinkelse på nogle få minutter, før knudebeholderne dukker op. Der vises en meddelelse om broens firewall på konsollen under den første start, hvor du ikke kan logge ind.

Opsæt VM for hybrid-datasikkerhed

Brug denne procedure til at logge på hybrid-datasikkerhedstjeneste VM-konsollen for første gang og indstille logonlegitimationsoplysningerne. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

1

I VMware vSphere-klienten skal du vælge din hybrid-datasikkerhedstjeneste og vælge fanen Konsol .

VM'en starter, og der vises en loginmeddelelse. Hvis loginprompten ikke vises, skal du trykke på Enter.
2

Brug følgende standardlogin og -adgangskode til at logge på og ændre legitimationsoplysningerne:

  1. Login: Administrator

  2. Adgangskode: Cisco

Da du logger ind på din VM for første gang, skal du ændre administratoradgangskoden.

3

Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, skal du springe resten af denne procedure over. Ellers skal du vælge valgmuligheden Rediger konfiguration i hovedmenuen.

4

Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

5

(Valgfri) Skift værtsnavnet, domænet eller NTP-serveren/-serverne, hvis det er nødvendigt for at matche din netværkspolitik.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

6

Gem netværkskonfigurationen, og genstart VM'en, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Da ISO-filen indeholder hovednøglen, bør den kun udstilles på et "need to know"-grundlag for adgang for hybrid-datasikkerhed-VM'er og alle administratorer, der kan få brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til datalageret.

1

Overfør ISO-filen fra din computer:

  1. I VMware vSphere-klientens venstre navigationsrude skal du klikke på ESXi-serveren.

  2. På fanen Konfiguration skal du klikke på Lager.

  3. På listen Datalagre skal du højreklikke på datalagret for dine VM'er og klikke på Søg i datalagre.

  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

  5. Gå til placeringen, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

  6. Klik på Ja for at acceptere advarslen om upload/download-handling, og luk datalagerdialogboksen.

2

Monter ISO-filen:

  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsmuligheder.

  3. Klik på CD/DVD-drev 1, vælg valgmuligheden for at montere fra en ISO-fil fra et datalager, og gå til placeringen, hvor du overførte ISO-konfigurationsfilen.

  4. Markér Tilsluttet og Tilslut ved tænding.

  5. Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Hvis din it-politik kræver det, kan du vælge at afmontere ISO-filen, når alle dine knudepunkter har hentet konfigurationsændringerne. Se (Valgfrit) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.

Før du begynder

1

Indtast URL-adresse til opsætning af HDS-knude https://[HDS knude IP eller FQDN]/Setup i en webbrowser, Indtast administratorens legitimationsoplysninger, som du opsætter for knudepunktet, og klik derefter på Log ind.

2

Gå til Trust store & proxy, og vælg derefter en valgmulighed:

  • Ingen proxy – standardvalgmuligheden, før du integrerer en proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig ikke-inspicerende proxy – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve nogen ændringer for at fungere med en ikke-inspicerende proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig proxy til inspektion – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-data sikkerhed, men HDS-knuder skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
  • Eksplicit proxy – Med eksplicit proxy fortæller du klienten (HDS-noder), hvilken proxyserver der skal bruges, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad dine proxyserver understøtter.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig for HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy.

3

Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen.

Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen.

4

Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen.

Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. Hvis du mener, at dette er en fejl, skal du udføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

5

Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft.

6

Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar.

Knuden genstarter inden for et par minutter.

7

Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status.

Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen.

Tilmeld den første knude i klyngen

Denne opgave tager den generiske node, som du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-cloud og omdanner den til en hybrid-datasikkerhedstjeneste.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knudepunkter, der er installeret for at give redundans.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Opsæt.

4

Klik på Tilføj en ressource på siden, der åbnes.

5

I det første felt på kortet Tilføj en knude skal du indtaste et navn på den klynge, som du vil tildele din hybrid-datasikkerhedstjeneste.

Vi anbefaler, at du navngiver en klynge ud fra, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node og klikke på Tilføj nederst på skærmen.

Denne IP-adresse eller FQDN skal svare til den IP-adresse eller værtsnavn og domæne, du brugte i Opsæt hybrid-datasikkerhed VM.

Der vises en meddelelse, der angiver, at du kan tilmelde din node til Webex.
7

Klik på Gå til knude.

Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din Webex-organisation til at få adgang til din node.

8

Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
9

Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den node, du har tilmeldt, under fanen Ressourcer . Noden vil automatisk downloade den nyeste software fra skyen.

Opret og tilmeld flere knudepunkter

For at tilføje yderligere noder til din klynge skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Opret en ny virtuel maskine fra OVA, og gentag trinnene i Installer HDS-vært-OVA.

2

Opsæt den indledende konfiguration på den nye VM, og gentag trinnene i Opsæt hybrid datasikkerhed VM.

3

På den nye VM skal du gentage trinnene i Overfør og monter HDS-konfigurations-ISO.

4

Hvis du opsætter en proxy for din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

5

Tilmeld knudepunktet.

  1. I https://admin.webex.com skal du vælge Tjenester fra menuen i venstre side af skærmen.

  2. I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Vis alle.

    Siden Hybrid-datasikkerhedsressourcer vises.

  3. Den nyoprettede klynge vises på siden Ressourcer .

  4. Klik på klyngen for at få vist de knudepunkter, der er tildelt klyngen.

  5. Klik på Tilføj en node i højre side af skærmen.

  6. Indtast den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node, og klik på Tilføj.

    Der åbnes en side med en meddelelse, der angiver, at du kan tilmelde din node til Webex-skyen. Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din organisation til at få adgang til din node.

  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.

  8. Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

    Node tilføjet pop op-meddelelse vises også nederst på skærmen i Partner Hub.

    Din knude er registreret.

Administrer lejerorganisationer om hybrid-datasikkerhed for flere lejere

Aktivér HDS med flere lejere på Partner Hub

Denne opgave sikrer, at alle brugere i kundeorganisationerne kan begynde at bruge HDS til lokale krypteringsnøgler og andre sikkerhedstjenester.

Før du begynder

Sørg for, at du har fuldført opsætningen af din HDS-klynge med flere lejere med det påkrævede antal knudepunkter.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

4

Klik på Aktivér HDSHDS-statuskortet .

Tilføj lejerorganisationer i Partner Hub

I denne opgave tildeler du kundeorganisationer til din hybrid-datasikkerhedsklynge.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

Klik på den klynge, som du vil have en kunde tildelt.

5

Gå til fanen Tildelte kunder .

6

Klik på Tilføj kunder.

7

Vælg den kunde, du vil tilføje, fra rullemenuen.

8

Klik på Tilføj. Kunden vil blive føjet til klyngen.

9

Gentag trin 6 til 8 for at føje flere kunder til din klynge.

10

Klik på Udført nederst på skærmen, når du har tilføjet kunderne.

Næste trin

Kør HDS-opsætningsværktøjet som beskrevet i Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen.

Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet

Før du begynder

Tildel kunder til den relevante klynge som beskrevet i Tilføj lejerorganisationer i Partner Hub. Kør HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen for de nyligt tilføjede kundeorganisationer.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

Sørg for, at der er forbindelse til din database for at udføre CMK-administration.
11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Opret CMK for alle organisationer eller Opret CMK – klik på denne knap på banneret øverst på skærmen for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Opret CMK'er for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på… nær CMK-administration under behandling for en bestemt organisation i tabellen, og klik på Opret CMK for at oprette CMK for den pågældende organisation.
12

Når CMK-oprettelse er gennemført, ændres statussen i tabellen fra CMK-administration under behandling til CMK-administration.

13

Hvis CMK-oprettelse ikke lykkes, vises en fejl.

Fjern lejerorganisationer

Før du begynder

Når brugere af kundeorganisationer er fjernet, kan de ikke udnytte HDS til deres krypteringsbehov og vil miste alle eksisterende rum. Før du fjerner kundeorganisationer, skal du kontakte din Cisco-partner eller -kontoadministrator.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

I fanen Ressourcer skal du klikke på den klynge, som du vil fjerne kundeorganisationer fra.

5

På siden, der åbnes, skal du klikke på Tildelte kunder.

6

Fra listen over kundeorganisationer, der vises, skal du klikke på ... i højre side af den kundeorganisation, du vil fjerne, og klikke på Fjern fra klynge.

Næste trin

Fuldfør fjernelsesprocessen ved at tilbagekalde kundeorganisationernes CMK'er som beskrevet i Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Før du begynder

Fjern kunder fra den relevante klynge som beskrevet i Fjern lejerorganisationer. Kør HDS-opsætningsværktøjet for at fuldføre fjernelsesprocessen for de kundeorganisationer, der blev fjernet.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Tilbagekald CMK for alle organisationer eller Tilbagekald CMK – klik på denne knap på banneret øverst på skærmen for at tilbagekalde CMK'er for alle organisationer, der blev fjernet.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Tilbagekald CMK'er for at tilbagekalde CMK'er fra alle organisationer, der blev fjernet.
  • Klik på nær CMK for at blive tilbagekaldt for en bestemt organisation i tabellen, og klik på Tilbagekald CMK for at tilbagekalde CMK for den specifikke organisation.
12

Når tilbagekaldelsen af CMK er gennemført, vises kundeorganisationen ikke længere i tabellen.

13

Hvis CMK-tilbagekaldelse ikke lykkes, vises en fejl.

Test din udrulning af hybrid-datasikkerhed

Test din udrulning af hybrid-datasikkerhed

Brug denne procedure til at teste scenarier for kryptering af datasikkerhed med flere lejere.

Før du begynder

  • Opsæt din datasikkerhedsudrulning for flere lejere.

  • Sørg for, at du har adgang til syslog'en for at bekræfte, at vigtige anmodninger overføres til din multi-tenant hybrid-datasikkerhedsudrulning.

1

Taster for et givet rum indstilles af opretteren af rummet. Log ind på Webex-appen som en af brugerne i kundeorganisationen, og opret derefter et rum.

Hvis du deaktiverer hybrid-datasikkerhedsudrulningen, er indhold i rum, som brugere opretter, ikke længere tilgængeligt, når de klientcachelagrede kopier af krypteringsnøglerne erstattes.

2

Send meddelelser til det nye rum.

3

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne sendes til din hybrid-datasikkerhedsudrulning.

  1. For at kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du skal finde en post som f.eks. følgende (identifikatorer forkortes for læsbarhed):
    2020-07-21 17:35:34.562 (+0000) OPLYSNINGER KMS [pool-14-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheBarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. For at kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finde en post såsom:
    2020-07-21 17:44:19.889 (+0000) OPLYSNINGER KMS [pool-14-tråd-31] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. For at kontrollere, om der er en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finde en post såsom:
    2020-07-21 17:44:21.975 (+0000) OPLYSNINGER KMS [pool-14-tråd-33] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. For at søge efter en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere efter kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finde en post såsom: 
    2020-07-21 17:44:22.808 (+0000) OPLYSNINGER KMS [pool-15-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg sundheden for hybrid-datasikkerhed

En statusindikator i Partner Hub viser dig, om alt er godt med implementeringen af hybriddatasikkerhed for flere lejere. Hvis du vil have mere proaktive varsler, skal du tilmelde dig e-mailunderretninger. Du får besked, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
1

I Partner Hub skal du vælge Tjenester i menuen til venstre på skærmen.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

Siden Indstillinger for hybrid-datasikkerhed vises.
3

I afsnittet E-mailmeddelelser skal du skrive en eller flere e-mailadresser adskilt af kommaer, og trykke på Enter.

Administrer din HDS-installation

Administrer HDS-udrulning

Brug de opgaver, der er beskrevet her, til at administrere din udrulning af hybrid-datasikkerhed.

Indstil tidsplan for klyngeopgradering

Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan indstille en specifik opgraderingsplan eller bruge standardplanen 3:00 AM Daily i USA: Amerika/Los Angeles. Du kan også vælge at udskyde en kommende opgradering, hvis det er nødvendigt.

Sådan opsættes opgraderingsplanen:

1

Log ind på Partner Hub.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt

4

Vælg klyngen på siden Hybrid-datasikkerhedsressourcer.

5

Klik på fanen Klyngeindstillinger .

6

Vælg tidspunkt og tidszone for opgraderingsplanen på siden Klyngeindstillinger under Opgraderingsplan.

Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -klokkeslæt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt med 24 timer.

Skift nodekonfigurationen

Det kan være nødvendigt at ændre konfigurationen af din Hybrid-datasikkerhedsknude af en årsag, såsom:

  • Ændring af x.509-certifikater pga. udløb eller andre årsager.

    Vi understøtter ikke ændring af CN-domænenavnet for et certifikat. Domænet skal passe med det oprindelige domæne, der bruges til at registrere klyngen.

  • Opdatering af databaseindstillinger for at ændre til en replik af PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi understøtter ikke overflytning af data fra PostgreSQL til Microsoft SQL Server, eller hvordan det kan lade sig gøre. For at skifte databasemiljøet skal du starte en ny udrulning af Hybrid-datasikkerhed.

  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Derudover bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i ni måneder. Når HDS-opsætningsværktøjet genererer disse adgangskoder, implementeres de for hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden for din maskinkonto. (E-mailen indeholder teksten "Brug maskinkonto-API'en til at opdatere adgangskoden.") Hvis dine adgangskoder endnu ikke er udløbet, giver værktøjet dig to valgmuligheder:

  • Blød nulstilling – de gamle og nye adgangskoder fungerer begge i op til 10 dage. Brug denne periode til at erstatte ISO-filen på knudepunkterne gradvist.

  • Hård nulstilling – de gamle adgangskoder holder op med at fungere med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, der kræver øjeblikkelig hard reset og udskiftning af ISO-filen på alle knudepunkter.

Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.

Før du begynder

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med partnerfulde administratorrettigheder.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når Docker-beholderen vises i 1.e. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder masternøglen, der krypterer PostgreSQL eller Microsoft SQL Server-databasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

1

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

  1. Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

    I almindelige miljøer:

    docker rmi ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

  2. For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

    docker login -u hdscustomersro

  3. I adgangskodeanmodningen skal du indtaste denne hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Download det seneste stabilt billede til dit miljø:

    I almindelige miljøer:

    docker træk ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker træk ciscocitg/hds-setup-fedramp:stabil

    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 har ikke skærmbilleder til nulstilling af adgangskode.

  5. Når træk er fuldført, indtast den relevante kommando for dit miljø:

    • I almindelige miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I FedRAMP-miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når beholderen kører, ser du "Express-serveren lytter på port 8080."

  6. Brug en browser til at tilslutte til localhost, http://127.0.0.1:8080.

    Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

  7. Når du bliver bedt om det, skal du indtaste legitimationsoplysningerne for din Partner Hub-kunde og derefter klikke på Acceptér for at fortsætte.

  8. Importér den aktuelle ISO-konfigurationsfil.

  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

    For at lukke opsætningsværktøjet skal du taste CTRL+C.

  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

2

Hvis du kun har én HDS-knude kørende, skal du oprette en ny hybrid-datasikkerhedstjeneste og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. For mere detaljerede vejledninger, se Opret og tilmeld flere knudepunkter.

  1. Installer HDS-hosten OVA.

  2. Opsæt HDS-VM'en.

  3. Tilslut den opdaterede konfigurationsfil.

  4. Tilmeld den nye knude i Partner Hub.

3

For eksisterende HDS-noder, der kører den ældre konfigurationsfil, skal du tilslutte ISO-filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, inden du slår den næste knude fra:

  1. Slå den virtuelle maskine fra.

  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  3. Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

  4. Markér Forbind med tilsluttet strøm.

  5. Gem dine ændringer, og tænd for den virtuelle maskine.

4

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Slå blokeret ekstern DNS-opløsnings tilstand fra

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. Hvis knudens DNS-server ikke kan løse offentlige DNS-navne, går knuden automatisk i blokeret ekstern DNS-opløsnings tilstand.

Hvis dine knuder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du slå denne tilstand fra ved at køre proxy forbindelsestesten igen på hver knude.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine knuder kan kommunikere med dem.
1

I en webbrowser skal du åbne hybrid-datasikkerhedstjeneste nodegrænsefladen (f.eks. IP-adresse/opsætning, https://192.0.2.0/setup), indtaste administratorlegitimationsoplysningerne, du opsætter for noden, og derefter klikke på Log ind.

2

Gå til Oversigt (standardsiden).

Når den er aktiveret, er blokeret ekstern DNS-opløsning indstillet til Ja.

3

Gå til siden Trust store & proxy .

4

Klik på Kontroller proxy forbindelse.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke blev gennemført, var knuden ikke i stand til at nå DNS-serveren og vil forblive i denne tilstand. Ellers skal blokerede ekstern DNS-opløsning indstilles til Nej, når du genstarter knuden og går tilbage til oversigtssiden.

Næste trin

Gentag proxy forbindelsestesten på hver knude i din hybrid-datasikkerheds gruppe.

Fjern et knudepunkt

Brug denne procedure til at fjerne en hybrid-datasikkerhedstjeneste fra Webex Cloud. Når du fjerner noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært og slukke for den virtuelle maskine.

2

Fjern knuden:

  1. Log ind på Partner Hub, og vælg derefter Tjenester.

  2. På hybrid-datasikkerhedskortet skal du klikke på Se alle for at få vist siden Hybrid-datasikkerhedsressourcer.

  3. Vælg din klynge for at få vist oversigtspanelet.

  4. Klik på den node, du vil fjerne.

  5. Klik på Fjern registrering af denne node på panelet, der vises til højre

  6. Du kan også afmelde noden ved at klikke… på højre side af noden og vælge Fjern denne node.

3

Slet VM'en i vSphere-klienten. (Højreklik på VM'en i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM'en, skal du huske at afmontere konfigurations-ISO-filen. Uden ISO-filen kan du ikke bruge VM'en til at få adgang til dine sikkerhedsdata.

Katastrofegendannelse ved hjælp af standby-datacenter

Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye anmodninger om nøgleoprettelse til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den har oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

Da klyngen udfører den kritiske funktion med at levere disse nøgler, er det afgørende, at klyngen fortsat kører, og at der opretholdes korrekte sikkerhedskopieringer. Tab af hybrid-datasikkerhedsdatabasen eller af den konfigurations-ISO, der bruges til skemaet, vil medføre tab AF KUNDEINDHOLD, der ikke kan genoprettes. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter ikke er tilgængelig, skal du følge denne procedure for manuelt at foretage failover til standby-datacenteret.

Før du begynder

Fjern registreringen af alle knuder fra Partner Hub som nævnt i Fjern en knude. Brug den seneste ISO-fil, der blev konfigureret i forhold til noderne for den klynge, der tidligere var aktiv, til at udføre den failover-procedure, der er nævnt nedenfor.
1

Start HDS-opsætningsværktøjet, og følg trinene nævnt i Opret en konfigurations-ISO for HDS-værter.

2

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

3

Lav en sikkerhedskopi af ISO-filen på dit lokale system. Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

4

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

5

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg ISO-fil i datalagring.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knudepunkterne er startet.

6

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

7

Tilmeld knuden i Partner Hub. Se Tilmeld den første node i klyngen.

8

Gentag processen for hver node i standby-datacenteret.

Næste trin

Hvis det primære datacenter efter failover bliver aktivt igen, skal du fjerne registreringen af noderne i standby-datacenteret og gentage processen med at konfigurere ISO og registrere noder i det primære datacenter som nævnt ovenfor.

(Valgfrit) Afmonter ISO efter HDS-konfiguration

Standard-HDS-konfigurationen kører med ISO monteret. Men nogle kunder foretrækker ikke at lade ISO-filer være monteret kontinuerligt. Du kan afmontere ISO-filen, når alle HDS-knuder henter den nye konfiguration.

Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine knudepunkter har hentet konfigurationsændringerne, kan du afmontere ISO'en igen med denne procedure.

Før du begynder

Opgrader alle dine HDS-knuder til version 2021.01.22.4720 eller nyere.

1

Luk en af dine HDS-knudepunkter.

2

Vælg HDS-noden i vCenter-serverenheden.

3

Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af ISO-fil i datalagring.

4

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 20 minutter.

5

Gentag for hver HDS-knude ad gangen.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

En hybrid-datasikkerhedsudrulning anses for ikke at være tilgængelig, hvis alle knuder i klyngen er utilgængelige, eller klyngen arbejder så langsomt, at anmodninger om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

  • Nye rum kan ikke oprettes (nye nøgler kan ikke oprettes)

  • Meddelelser og rumtitler kan ikke dekrypteres for:

    • Nye brugere føjet til et rum (kunne ikke hente tasterne)

    • Eksisterende brugere i et rum, der bruger en ny klient (kan ikke hente tasterne)

  • Eksisterende brugere i et rum fortsætter med at køre, så længe deres klienter har en cache med krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og adresserer eventuelle advarsler med det samme for at undgå afbrydelse af tjenesten.

Varsler

Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Partner Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varsler dækker mange almindelige scenarier.

Tabel 1. Almindelige problemer og trin til at løse dem

Varsel

Handling

Fejl ved lokal databaseadgang.

Kontrollér, om der er databasefejl eller problemer med lokale netværk.

Fejl i forbindelse med lokal database.

Kontrollér, at databaseserveren er tilgængelig, og at de rigtige tjenestekontolegitimationsoplysninger blev brugt i nodekonfigurationen.

Fejl i adgang til cloudtjeneste.

Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i Krav til ekstern forbindelse.

Fornyelse af registrering af cloudtjeneste.

Tilmelding til cloudtjenester blev afbrudt. Fornyelse af registrering er i gang.

Registrering af cloudtjeneste blev afbrudt.

Tilmelding til cloudtjenester blev afsluttet. Tjenesten er ved at lukke.

Tjenesten er endnu ikke aktiveret.

Aktivér HDS i Partner Hub.

Det konfigurerede domæne stemmer ikke overens med servercertifikatet.

Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den indledende opsætning.

Kunne ikke godkende cloudtjenester.

Kontrollér nøjagtigheden og mulig udløb af legitimationsoplysninger for tjenestekontoen.

Kunne ikke åbne fil med lokal nøglelager.

Kontrollér, om der er integritet og adgangskodenøjagtighed i den lokale nøglecenterfil.

Lokalt servercertifikat er ugyldigt.

Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en pålidelig certifikatmyndighed.

Kan ikke sende målinger.

Kontrollér lokal netværksadgang til eksterne cloudtjenester.

/media/configdrive/hds-mappen findes ikke.

Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at blive monteret ved genstart, og at den monteres korrekt.

Opsætning af lejerorganisation er ikke fuldført for de tilføjede organisationer

Fuldfør opsætningen ved at oprette CMK'er for nyligt tilføjede lejerorganisationer ved hjælp af HDS-opsætningsværktøjet.

Opsætning af lejerorganisation er ikke fuldført for de fjernede organisationer

Fuldfør opsætningen ved at tilbagekalde CMK'er for lejerorganisationer, der blev fjernet ved hjælp af HDS-opsætningsværktøjet.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybrid-datasikkerhed.
1

Gennemgå Partner Hub for eventuelle varsler, og ret eventuelle elementer, du finder der. Se billedet nedenfor for reference.

2

Gennemgå syslog-serverens output for aktivitet fra hybrid-datasikkerhedsudrulningen. Filtrer efter ord som "Advarsel" og "Fejl" for at hjælpe med fejlfinding.

3

Kontakt Cisco-support.

Andre bemærkninger

Kendte problemer med hybrid-datasikkerhed

  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Partner Hub eller ved at lukke alle knudepunkter), mister din konfigurations-ISO-fil eller mister adgang til nøglelagerdatabasen, kan Webex-appbrugere i kundeorganisationer ikke længere bruge rum på deres personliste, der blev oprettet med nøgler fra din KMS. Vi har ikke en løsning eller løsning på dette problem i øjeblikket og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, opretholder denne forbindelse i en tidsperiode (sandsynligvis en time).

Brug OpenSSL til at generere en PKCS12-fil

Før du begynder

  • OpenSSL er et værktøj, der kan bruges til at gøre PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre dette på, og vi støtter ikke eller fremmer ikke den ene vej frem for den anden.

  • Hvis du vælger at bruge OpenSSL, leverer vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509-certifikatkravene i X.509-certifikatkrav. Forstå disse krav, før du fortsætter.

  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for softwaren og dokumentationen.

  • Opret en privat nøgle.

  • Start denne procedure, når du modtager servercertifikatet fra dit CA.

1

Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

2

Vis certifikatet som tekst, og bekræft detaljerne.

openssl x509 -tekst -noout -i hdsnode.pem

3

Brug et tekstredigeringsprogram til at oprette en certifikatbundle-fil, der hedder hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rod-CA-certifikaterne i nedenstående format:

-----begynd certifikat------ ### Servercertifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Mellemliggende CA-certifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Rodnøglecentercertifikat. ### -----afslut certifikat------

4

Opret .p12-filen med det venlige navn kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollér servercertifikatoplysningerne.

  1. openssl pkcs12 - i hdsnode.p12

  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den vises i outputtet. Bekræft derefter, at den private nøgle og det første certifikat indeholder linjerne friendlyName: kms-private-nøgle.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Indtast importadgangskode: MAC-verificerede OK-taskeattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøgleattributter:  Indtast PEM-adgangsfrase: Bekræftelse – indtast PEM-adgangsfrase: -----BEGYND KRYPTERET PRIVAT NØGLE-----  -----END KRYPTERET PRIVAT NØGLE----- Poseattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Poseattributter friendlyName: CN=Lad os kryptere myndighed X3,O=Lad os kryptere,C=US subject=/C=US/O=Lad os kryptere myndighed X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT-----  -----END CERTIFIKAT-----

Næste trin

Vend tilbage til Fuldfør forudsætningerne for hybrid-datasikkerhed. Du skal bruge filen hdsnode.p12 og adgangskoden, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-noderne og skyen

Trafik for indsamling af udgående målinger

Hybrid-datasikkerhedstjeneste sender visse målinger til Webex Cloud. Disse omfatter systemmålinger for maks. heap, brugt heap, CPU-belastning og trådtælling, målinger på synkroniserede og asynkrone tråde, målinger på varsler, der involverer en tærskel for krypteringsforbindelser, ventetid eller længde på en anmodningskø, målinger på datalageret og målinger af krypteringsforbindelser. Knuderne sender krypteret nøglemateriale over en ikke-båndkanal (adskilt fra anmodningen).

Indgående trafik

Hybrid-datasikkerhedstjeneste noder modtager følgende typer indgående trafik fra Webex-cloud:

  • Krypteringsanmodninger fra klienter, som distribueres af krypteringstjenesten

  • Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer for hybrid-data sikkerhed

WebSocket kan ikke oprette forbindelse via Squid-Proxy

Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:)-forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af squid til at ignorere WSS: trafik til korrekt funktion af tjenesterne.

Squid 4 og 5

Føj on_unsupported_protocol direktivet til squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi har testet hybrid-data sikkerhed med følgende regler tilføjet til squid. conf. Disse regler er underlagt ændringer, når vi udviklerfunktioner og opdaterer Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kviksølv-forbindelse ssl_bump splitte wssMercuryConnection acl trin1 at_step SslBump1 acl trin2 at_step SslBump2 acl trin3 at_step SslBump3 ssl_bump smugkig trin1 alle ssl_bump kig trin2 alle ssl_bump bump trin3 alle

Nye og ændrede oplysninger

Nye og ændrede oplysninger

Denne tabel dækker nye funktioner eller funktionalitet, ændringer af eksisterende indhold og eventuelle større fejl, der blev rettet i Udrulningsvejledningen for datasikkerhed med flere lejere.

Dato

Der er foretaget ændringer

8. januar 2025

Tilføjede en bemærkning i Udfør indledende opsætning og download installationsfiler , der angiver, at klik på Opsætning på HDS-kortet i Partner Hub er et vigtigt trin i installationsprocessen.

7. januar 2025

Opdaterede krav til virtuel vært, opgavestrøm til implementering af hybrid-datasikkerhed og installer HDS-vært OVA for at vise nye krav til ESXi 7.0.

13. december 2024

Første gang udgivet.

Deaktiver hybrid-datasikkerhed for flere lejere

Opgavestrøm til deaktivering af HDS med flere lejere

Følg disse trin for at deaktivere HDS med flere lejere fuldstændigt.

Før du begynder

Denne opgave bør kun udføres af en partneradministrator med alle rettigheder.
1

Fjern alle kunder fra alle dine klynger, som nævnt i Fjern lejerorganisationer.

2

Tilbagekald alle kunders CMK'er som nævnt i Tilbagekald CMK'er for lejere, der er fjernet fra HDS..

3

Fjern alle knuder fra alle dine klynger, som nævnt i Fjern en knude.

4

Slet alle dine klynger fra Partner Hub ved hjælp af en af følgende to metoder.

  • Klik på den klynge, du vil slette, og vælg Slet denne klynge i øverste højre hjørne af oversigtssiden.
  • På siden Ressourcer skal du klikke på… i højre side af en klynge og vælge Fjern klynge.
5

Klik på fanen Indstillinger på oversigtssiden for hybrid-datasikkerhed, og klik på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybrid-datasikkerhed for flere lejere

Oversigt over hybrid-datasikkerhed for flere lejere

Fra første dag har datasikkerhed været det primære fokus i designet af Webex-appen. Hjørnestenen i denne sikkerhed er slutpunkt-til-slutpunkt-kryptering af indhold, der er aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

Som standard får alle Webex-appkunder kryptering fra slutpunkt-til-slutpunkt med dynamiske nøgler, der er gemt i Cloud KMS i Ciscos sikkerhedsdomæne. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.

Multi-tenant hybrid-datasikkerhed gør det muligt for organisationer at udnytte HDS via en betroet lokal partner, der kan fungere som tjenesteudbyder og administrere kryptering på stedet og andre sikkerhedstjenester. Denne opsætning giver partnerorganisationen mulighed for at have fuld kontrol over installation og administration af krypteringsnøgler og sikrer, at brugerdata i kundeorganisationer er sikre mod ekstern adgang. Partnerorganisationer konfigurerer HDS-forekomster og opretter HDS-klynger efter behov. Hver forekomst kan understøtte flere kundeorganisationer i modsætning til en almindelig HDS-udrulning, der er begrænset til en enkelt organisation.

Selvom partnerorganisationer har kontrol over installation og administration, har de ikke adgang til data og indhold, der er genereret af kunder. Denne adgang er begrænset til kundeorganisationer og deres brugere.

Dette giver også mindre organisationer mulighed for at udnytte HDS, da nøgleadministrationsservice og sikkerhedsinfrastruktur såsom datacentre ejes af den betroede lokale partner.

Sådan giver hybriddatasikkerhed med flere lejere datasuverænitet og datakontrol

  • Brugergenereret indhold er beskyttet mod ekstern adgang, f.eks. cloudtjenesteudbydere.
  • Lokale betroede partnere administrerer krypteringsnøglerne for kunder, som de allerede har et etableret forhold til.
  • Valgmulighed for lokal teknisk support, hvis den leveres af partneren.
  • Understøtter indhold i møder, meddelelser og opkald.

Dette dokument er beregnet til at hjælpe partnerorganisationer med at opsætte og administrere kunder under et hybrid-datasikkerhedssystem med flere lejere.

Roller i hybrid-datasikkerhed med flere lejere

  • Partneradministrator med fulde rettigheder – kan administrere indstillinger for alle kunder, som partneren administrerer. Kan også tildele administratorroller til eksisterende brugere i organisationen og tildele specifikke kunder, der skal administreres af partneradministratorer.
  • Partneradministrator – kan administrere indstillinger for kunder, som administratoren klargjorde, eller som er blevet tildelt brugeren.
  • Fuld administrator – administrator for partnerorganisationen, der er autoriseret til at udføre opgaver såsom at ændre organisationsindstillinger, administrere licenser og tildele roller.
  • Opsætning og administration af HDS med flere lejere fra slutpunkt til slutpunkt for alle kundeorganisationer – fuld administrator og fulde administratorrettigheder er påkrævet.
  • Administration af tildelte lejerorganisationer – partneradministrator og fulde administratorrettigheder er påkrævet.

Arkitektur for sikkerhedsdomæne

Webex Cloud-arkitekturen opdeler forskellige typer tjenester i separate domæner eller tillidsdomæner, som vist nedenfor.

Områder for adskillelse (uden hybrid-datasikkerhed)

For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-områder. Identitetstjenesten, som er det eneste sted, hvor brugere kan være direkte korreleret med deres personlige oplysninger såsom e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsdomænet i datacenter B. Begge er adskilt fra det domæne, hvor krypteret indhold i sidste ende gemmes, i datacenter C.

I dette diagram kører klienten Webex-appen på en brugers bærbare computer og er godkendt med identitetstjenesten. Når brugeren opretter en meddelelse, der skal sendes til et rum, udføres følgende trin:

  1. Klienten opretter en sikker forbindelse til KMS (key management service) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

  2. Meddelelsen krypteres, før den forlader klienten. Klienten sender det til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe fremtidige søgninger efter indholdet.

  3. Den krypterede meddelelse sendes til overholdelsestjenesten for overensstemmelseskontrol.

  4. Den krypterede meddelelse gemmes i lagerdomænet.

Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsressourcefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitets- og indholdslagring), forbliver i Ciscos domæner.

Samarbejde med andre organisationer

Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi det blev oprettet af en af dine brugere), sender dit KMS nøglen til klienten over en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, sender din KMS anmodningen ud til Webex Cloud via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

Den KMS-tjeneste, der kører på organisation A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for oplysninger om generering af et x.509-certifikat til brug med din multi-tenant hybrid-datasikkerhedsudrulning.

Forventninger til implementering af hybrid-datasikkerhed

En hybrid-datasikkerhedsudrulning kræver betydelig engagement og opmærksomhed om de risici, der følger med at eje krypteringsnøgler.

For at implementere hybrid-datasikkerhed skal du angive:

Komplet tab af enten den konfigurations-ISO, du opretter til hybrid-datasikkerhed, eller den database, du leverer, vil medføre tab af nøgler. Tabet af nøgler forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du oprette en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

  • Administrer sikkerhedskopiering og gendannelse af databasen og konfigurations-ISO.

  • Vær forberedt på at udføre hurtig katastrofegenoprettelse, hvis der opstår en katastrofe, såsom databasediskfejl eller datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætningen og administrationen af en multi-tenant hybrid-datasikkerhedsudrulning:

  • Opsæt hybrid-datasikkerhed – dette omfatter forberedelse af nødvendig infrastruktur og installation af hybrid-datasikkerhedssoftware, opbygning af en HDS-klynge, tilføjelse af lejerorganisationer til klyngen og administration af deres kundehovednøgler (CMK'er). Dette gør det muligt for alle brugere i dine kundeorganisationer at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

    Opsætnings-, aktiverings- og administrationsfaserne er beskrevet i detaljer i de næste tre kapitler.

  • Vedligehold din hybrid-datasikkerhedsudrulning – Webex Cloud leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde support på niveau et for denne udrulning og bruge Cisco-support efter behov. Du kan bruge underretninger på skærmen og opsætte e-mailbaserede varsler i Partner Hub.

  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du oplever problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og bilaget Kendte problemer hjælpe dig med at finde og løse problemet.

Udrulningsmodel for hybrid-datasikkerhed

I dit virksomhedsdatacenter installerer du hybrid-datasikkerhed som en enkelt klynge af noder på separate virtuelle værter. Noderne kommunikerer med Webex Cloud via sikre websockets og sikker HTTP.

Under installationsprocessen giver vi dig OVA-filen til at konfigurere den virtuelle enhed på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugertilpasset ISO-fil til klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din angivne Syslogd-server- og PostgreSQL- eller Microsoft SQL-serverdatabase. (Du kan konfigurere oplysninger om Syslogd og databaseforbindelse i HDS-opsætningsværktøjet).

Udrulningsmodel for hybrid-datasikkerhed

Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre pr. klynge. At have flere knudepunkter sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex Cloud opgraderer kun én knude ad gangen).

Alle knuder i en klynge har adgang til det samme nøgledatalager og logaktivitet til den samme syslog-server. Noderne er i sig selv statsløse og håndterer vigtige anmodninger på round-robin-måde, som dirigeret af skyen.

Knudepunkter bliver aktive, når du tilmelder dem i Partner Hub. Hvis du vil tage en individuel knude ud af drift, kan du framelde den og senere registrere den igen, hvis det er nødvendigt.

Standby-datacenter til gendannelse efter nedbrud

Under installationen konfigurerer du et sikkert standbydatacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standby-datacenteret.

Før failover har datacenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-database, mens B har en kopi af ISO-filen med yderligere konfigurationer, VM'er, der er registreret i organisationen, og en standbydatabase. Efter failover har datacenter B aktive HDS-noder og den primære database, mens A har ikke-registrerede VM'er og en kopi af ISO-filen, og databasen er i standbytilstand.
Manuel failover til standby-datacenter

Databaserne for de aktive datacentre og standby-datacentre er synkroniseret, hvilket minimerer den tid, det tager at udføre failover.

De aktive hybrid-datasikkerhedstjeneste skal altid være i det samme datacenter som den aktive databaseserver.

Proxy-support

Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.

Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:

  • Ingen proxy – standard, hvis du ikke bruger HDS-nodens konfiguration af tillidslager og proxykonfiguration til at integrere en proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig ikke-kontrollerende proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve ændringer for at fungere med en ikke-kontrollerende proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig tunneling eller inspektion af proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

  • Eksplicit proxy – Med eksplicit proxy fortæller du HDS-knuderne, hvilken proxyserver og godkendelsesplan de skal bruge. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

      • HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.

      • HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

Eksempel på hybrid-data sikkerheds knuder og proxy

Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.

Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.

Forbered dit miljø

Krav til hybrid-datasikkerhed for flere lejere

Cisco Webex-licenskrav

Sådan udrulles hybriddatasikkerhed for flere lejere:

  • Partnerorganisationer: Kontakt din Cisco-partner eller kontoadministrator, og sørg for, at funktionen med flere lejere er aktiveret.

  • Lejerorganisationer: Du skal have Pro Pack til Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker Desktop

Før du installerer dine HDS-knuder, skal du bruge Docker Desktop til at køre et opsætningsprogram. Docker har for nylig opdateret sin licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".

X.509 Certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 Certifikatkrav til hybrid-datasikkerhedsudrulning

Krav

Detaljer

  • Underskrevet af et pålideligt nøglecenter (CA)

Som standard stoler vi på nøglecentererne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et CN-domænenavn (Common Name), der identificerer din hybrid-datasikkerhedsudrulning

  • Er ikke et jokertegn

CN behøver ikke at kunne kontaktes eller være en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

CN må ikke indeholde et * (jokertegn).

CN bruges til at bekræfte hybrid-datasikkerhedsknuderne for Webex-appklienter. Alle hybrid-datasikkerhedstjeneste noder i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

Når du har registreret en node med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet.

  • Ikke-SHA1-signatur

KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

  • Brug det venlige navn på kms-private-key til at tagge certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal uploades.

Du kan bruge en konverter såsom OpenSSL til at ændre certifikatets format.

Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

KMS-softwaren håndhæver ikke nøglebrug eller udvidede begrænsninger for nøglebrug. Nogle certifikatmyndigheder kræver, at der anvendes udvidede begrænsninger for nøglebrug for hvert certifikat, f.eks. servergodkendelse. Det er i orden at bruge servergodkendelse eller andre indstillinger.

Krav til virtuel vært

De virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste noder i din klynge, har følgende krav:

  • Mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter

  • VMware ESXi 7.0 (eller nyere) installeret og kører.

    Du skal opgradere, hvis du har en tidligere version af ESXi.

  • Mindst 4 vCPU'er, 8 GB primær hukommelse, 30 GB lokal harddiskplads pr. server

Krav til databaseserver

Opret en ny database til nøglelager. Brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene til hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installeret og kører.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installeret.

    SQL Server 2016 kræver Service Pack 2 og kumulativ opdatering 2 eller nyere.

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

JDBC-driver 4.6 til SQL Server

Denne driverversion understøtter SQL Server altid slået til ( Altid på failover-klyngeforekomster og Altid på tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse i forhold til Microsoft SQL Server

Hvis du ønsker, at HDS-noder skal bruge Windows-godkendelse til at få adgang til din keystore-database på Microsoft SQL Server, skal du bruge følgende konfiguration i dit miljø:

  • HDS-knuderne, Active Directory-infrastrukturen og MS SQL Server skal alle synkroniseres med NTP.

  • Den Windows-konto, du angiver til HDS-noder, skal have læse-/skriveadgang til databasen.

  • De DNS-servere, du angiver til HDS-noder, skal kunne løse dit Key Distribution Center (KDC).

  • Du kan registrere HDS-databaseforekomsten på din Microsoft SQL Server som et Service Principal Name (SPN) i din Active Directory. Se Registrer et tjenestehovednavn for Kerberos-forbindelser.

    HDS-opsætningsværktøjet, HDS-startfunktionen og lokal KMS skal alle bruge Windows-godkendelse til at få adgang til nøglelagerdatabasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når der anmodes om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelser for HDS-programmerne:

Applikation

Protokol

Port

Retning fra appen

Destination

Hybrid-datasikkerhedstjeneste

TCP

443

Udgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-værter

  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser til Webex Hybrid-tjenester med Netværkskrav til Webex-tjenester

HDS-opsætningsværktøj

TCP

443

Udgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-værter

  • hub.docker.com

Hybrid-datasikkerhedstjeneste fungerer med NAT (network access translation) eller bag en firewall, så længe NAT eller firewall tillader de påkrævede udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går indgående til hybrid-datasikkerhedstjeneste, må ingen porte være synlige fra internettet. I dit datacenter skal klienter have adgang til hybrid-datasikkerhedsknuderne på TCP-portene 443 og 22 af administrative årsager.

URL-adresser til Common Identity (CI)-værter er områdespecifikke. Disse er de aktuelle CI-værter:

Område

URL-adresser til fælles identitet

Nord-, Mellem- og Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

EU

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Forenede Arabiske Emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy server krav

  • Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.

    • Gennemsigtig proxy – Cisco web Security-Appliance (WSA).

    • Eksplicit proxy-squid.

      Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket-forbindelser (wss:). Hvis du vil undgå dette problem, kan du se Konfigurer Squid-proxyer til hybrid-datasikkerhed.

  • Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:

    • Ingen godkendelse med HTTP eller HTTPS

    • Grundlæggende godkendelse med HTTP eller HTTPS

    • Samlet godkendelse kun med HTTPS

  • For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.

  • Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

  • Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil tilsidesættelse af trafik til wbx2.com og ciscospark.com løse problemet.

Udfyld forudsætningerne for hybrid-datasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
1

Sørg for, at din partnerorganisation har multilejer-HDS-funktionen aktiveret, og få legitimationsoplysningerne for en konto med partnerfuld administrator og fulde administratorrettigheder. Sørg for, at din Webex-kundeorganisation er aktiveret til Pro Pack til Cisco Webex Control Hub. Kontakt din Cisco-partner eller -kontoadministrator for at få hjælp til denne proces.

Kundeorganisationer bør ikke have nogen eksisterende HDS-udrulning.

2

Vælg et domænenavn til din HDS-udrulning (for eksempel hds.company.com), og få en certifikatkæde, der indeholder et X.509-certifikat, en privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 Certifikatkrav.

3

Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste i din klynge. Du skal bruge mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter, som opfylder kravene i Krav til virtuel vært.

4

Forbered den databaseserver, der vil fungere som nøgledatalageret for klyngen i henhold til kravene til databaseserver. Databaseserveren skal være placeret i det sikre datacenter med de virtuelle værter.

  1. Opret en database til nøglelager. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.)

  2. Indsaml de oplysninger, som noderne skal bruge til at kommunikere med databaseserveren:

    • værtsnavnet eller IP-adressen (vært) og porten

    • navnet på databasen (dbname) til nøglelagring

    • brugernavnet og adgangskoden for en bruger med alle privilegier på nøglelagerdatabasen

5

For hurtig katastrofegenoprettelse skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Sikkerhedskopieringsmiljøet afspejler produktionsmiljøet for VM'er og en sikkerhedskopieret databaseserver. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er.

6

Konfigurer en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Hent dens netværksadresse og syslog-port (standard er UDP 514).

7

Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedstjeneste, databaseserveren og syslog-værten. For at forhindre, at der ikke kan genoprettes tab af data, skal du som minimum sikkerhedskopiere databasen og konfigurationsfilen, der er genereret til hybrid-datasikkerhedstjeneste.

Da hybrid-datasikkerhedstjeneste gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operativ installation medføre UOPRETTELIG TAB af dette indhold.

Webex-appklienter cachelagrer deres nøgler, så et udfald vil muligvis ikke blive bemærket med det samme, men vil blive tydeligt med tiden. Selv om midlertidige afbrydelser ikke kan forhindres, kan de genoprettes. Men komplet tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller konfigurationsfilen vil resultere i, at kundedata ikke kan genoprettes. Operatørerne af hybrid-datasikkerhedstjeneste forventes at opretholde hyppige sikkerhedskopieringer af databasen og ISO-konfigurationsfilen og være forberedt på at genopbygge hybrid-datasikkerhedstjeneste-datacenteret, hvis der opstår en katastrofal fejl.

8

Sørg for, at din firewall-konfiguration tillader tilslutning til dine hybrid-datasikkerhedsknuder som beskrevet i Krav til ekstern tilslutning.

9

Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

Du kan bruge Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opretter de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedstjeneste. Du skal muligvis have en Docker Desktop-licens. Se Krav til Docker-desktop for yderligere oplysninger.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have forbindelsen beskrevet i Krav til ekstern forbindelse.

10

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder kravene til proxyserver.

Opsæt en hybrid-datasikkerhedsklynge

Opgavestrøm til installation af hybrid-datasikkerhed

Før du begynder

1

Udfør indledende opsætning og download installationsfiler

Download OVA-filen til din lokale maskine til senere brug.

2

Opret en konfigurations-ISO for HDS-værter

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedstjeneste.

3

Installer HDS-værts-OVA

Opret en virtuel maskine fra OVA-filen, og udfør indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

4

Opsæt VM for hybrid-datasikkerhed

Log på VM-konsollen, og indstil logonlegitimationsoplysningerne. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

5

Overfør og monter HDS-konfigurations-ISO

Konfigurer VM'en fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

6

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og føje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

7

Tilmeld den første knude i klyngen

Tilmeld VM'en med Cisco Webex Cloud som en hybrid-datasikkerhedstjeneste.

8

Opret og tilmeld flere knudepunkter

Fuldfør klyngeopsætningen.

9

Aktivér HDS med flere lejere på Partner Hub.

Aktivér HDS, og administrer lejerorganisationer i Partner Hub.

Udfør indledende opsætning og download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du har konfigureret som hybrid-datasikkerhedsknuder). Du bruger denne fil senere i installationsprocessen.

1

Log ind på Partner Hub, og klik derefter på Tjenester.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og derefter klikke på Opsæt.

Klik på Opsæt i Partner Hub er afgørende for installationsprocessen. Fortsæt ikke med installationen uden at fuldføre dette trin.

3

Klik på Tilføj en ressource , og klik på Download .OVA-fil på kortet Installer og konfigurer software .

Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan medføre problemer under opgradering af applikationen. Sørg for at downloade den seneste version af OVA-filen.

Du kan også downloade OVA'en når som helst fra afsnittet Hjælp . Klik på Indstillinger > Hjælp > Download hybrid-datasikkerhedssoftware.

OVA-filen begynder automatisk at blive downloadet. Gem filen på en placering på din maskine.
4

Du kan også klikke på Se udrulningsvejledning til hybrid-datasikkerhed for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder
1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import har du følgende valgmuligheder:

  • Nej – Hvis du opretter din første HDS-node, har du ikke en ISO-fil, der skal uploades.
  • Ja – Hvis du allerede har oprettet HDS-noder, så vælger du din ISO-fil i browseren og overfører den.
10

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkrav.

  • Hvis du aldrig har overført et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
  • Hvis dit certifikat er ok, skal du klikke på Fortsæt.
  • Hvis dit certifikat er udløbet, eller du vil udskifte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Overfør et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
11

Indtast databaseadressen og -kontoen for HDS for at få adgang til dit nøgledatalager:

  1. Vælg din databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du vælger Microsoft SQL Server, får du et felt til godkendelsestype.

  2. (Kun Microsoft SQL Server ) Vælg din godkendelsestype:

    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL Server-kontonavn i feltet Brugernavn .

    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet brugernavn@DOMÆNE i feltet Brugernavn .

  3. Indtast databaseserveradressen i formatet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at fortolke værtsnavnet.

    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

  4. Indtast databasenavnet.

  5. Indtast Brugernavn og Adgangskode for en bruger med alle privilegier på nøglelagerdatabasen.

12

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretræk TLS (standardvalgmulighed)

HDS-noder kræver ikke TLS for at tilslutte til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræv TLS

HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

Kræv TLS, og bekræft certifikatcertifikatstegner

Denne tilstand gælder ikke for SQL Server-databaser.

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Kræv TLS, og bekræft certifikatvært og værtsnavn

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og -port . Navnene skal passe præcist, ellers vil knudepunktet falde i forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Når du overfører rodcertifikatet (om nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis etablere TLS-forbindelsen, selvom maskinen til HDS-opsætningsværktøjet ikke kan teste den).

13

På siden Systemlogfiler skal du konfigurere din Syslogd-server:

  1. Indtast URL-adressen til syslog-serveren.

    Hvis serveren ikke kan DNS-løses fra noderne til din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse såsom tcp://10.92.43.23:514.

  3. Fra rullegardinmenuen Vælg afslutning af syslog-post skal du vælge den relevante indstilling for din ISO-fil: Vælg, eller linjeskift bruges til Graylog og Rsyslog TCP

    • Ingen byte -- \x00

    • Nylinje -- \n– Vælg denne valgmulighed for Graylog og Rsyslog TCP.

  4. Klik på Fortsæt.

14

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klik på Fortsæt på skærmen Nulstil tjenestekontoadgangskode .

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder er ved at udløbe, eller du vil nulstille dem til at ugyldiggøre tidligere ISO-filer.

16

Klik på Download ISO-fil. Gem filen på en placering, der er nem at finde.

17

Lav en sikkerhedskopi af ISO-filen på dit lokale system.

Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

18

For at lukke opsætningsværktøjet skal du taste CTRL+C.

Næste trin

Sikkerhedskopier ISO-konfigurationsfilen. Du skal bruge den til at oprette flere knudepunkter til genoprettelse eller til at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din PostgreSQL- eller Microsoft SQL Server-database.

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værts-OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært.

2

Vælg Fil > Implementer OVF-skabelon.

3

I guiden skal du angive placeringen af OVA-filen, som du downloadede tidligere, og derefter klikke på Næste.

4

På siden Vælg et navn og en mappe skal du indtaste et virtuelt maskinnavn for noden (for eksempel "HDS_Node_1"), vælge en placering, hvor udrulningen af noden til den virtuelle maskine kan ligge, og derefter klikke på Næste.

5

På siden Vælg en beregningsressource skal du vælge destinationsberegningsressourcen og derefter klikke på Næste.

En valideringskontrol kører. Når den er færdig, vises skabelonoplysningerne.

6

Bekræft skabelonoplysningerne, og klik derefter på Næste.

7

Hvis du bliver bedt om at vælge ressourcekonfiguration på siden Konfiguration , skal du klikke på 4 CPU og derefter klikke på Næste.

8

På siden Vælg lagerplads skal du klikke på Næste for at acceptere standarddiskformatet og VM-lagerpolitikken.

9

På siden Vælg netværk skal du vælge netværksvalgmuligheden fra listen med poster for at levere den ønskede forbindelse til VM'en.

10

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

  • Værtsnavn – indtast FQDN (værtsnavn og domæne) eller et enkelt ordværtsnavn for noden.

    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

    • For at sikre en vellykket registrering til skyen skal du kun bruge små bogstaver i det FQDN eller værtsnavn, som du har indstillet for noden. Store bogstaver understøttes ikke på dette tidspunkt.

    • Den samlede længde på FQDN må ikke overstige 64 tegn.

  • IP-adresse– Indtast IP-adressen for nodens interne grænseflade.

    Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

  • Maske – indtast undernetmaskens adresse i prik-decimal notation. For eksempel 255.255.255.0.
  • Gateway – indtast gateway-IP-adressen. En gateway er en netværksknude, der fungerer som et adgangspunkt til et andet netværk.
  • DNS-servere – Indtast en kommasepareret liste over DNS-servere, som håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
  • NTP-servere – Indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. Standard-NTP-servere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at angive flere NTP-servere.

  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan kontaktes fra klienter i dit netværk af administrative årsager.

Hvis du foretrækker det, kan du springe konfigurationen af netværksindstillingerne over og følge trinnene i Opsæt hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

11

Højreklik på noden VM, og vælg derefter Tænd > Tænd.

Hybrid-datasikkerhedssoftwaren installeres som gæst på VM-værten. Du er nu klar til at logge på konsollen og konfigurere noden.

Fejlfindingstip

Du kan opleve en forsinkelse på nogle få minutter, før knudebeholderne dukker op. Der vises en meddelelse om broens firewall på konsollen under den første start, hvor du ikke kan logge ind.

Opsæt VM for hybrid-datasikkerhed

Brug denne procedure til at logge på hybrid-datasikkerhedstjeneste VM-konsollen for første gang og indstille logonlegitimationsoplysningerne. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

1

I VMware vSphere-klienten skal du vælge din hybrid-datasikkerhedstjeneste og vælge fanen Konsol .

VM'en starter, og der vises en loginmeddelelse. Hvis loginprompten ikke vises, skal du trykke på Enter.
2

Brug følgende standardlogin og -adgangskode til at logge på og ændre legitimationsoplysningerne:

  1. Login: Administrator

  2. Adgangskode: Cisco

Da du logger ind på din VM for første gang, skal du ændre administratoradgangskoden.

3

Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, skal du springe resten af denne procedure over. Ellers skal du vælge valgmuligheden Rediger konfiguration i hovedmenuen.

4

Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

5

(Valgfri) Skift værtsnavnet, domænet eller NTP-serveren/-serverne, hvis det er nødvendigt for at matche din netværkspolitik.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

6

Gem netværkskonfigurationen, og genstart VM'en, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Da ISO-filen indeholder hovednøglen, bør den kun udstilles på et "need to know"-grundlag for adgang for hybrid-datasikkerhed-VM'er og alle administratorer, der kan få brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til datalageret.

1

Overfør ISO-filen fra din computer:

  1. I VMware vSphere-klientens venstre navigationsrude skal du klikke på ESXi-serveren.

  2. På fanen Konfiguration skal du klikke på Lager.

  3. På listen Datalagre skal du højreklikke på datalagret for dine VM'er og klikke på Søg i datalagre.

  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

  5. Gå til placeringen, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

  6. Klik på Ja for at acceptere advarslen om upload/download-handling, og luk datalagerdialogboksen.

2

Monter ISO-filen:

  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsmuligheder.

  3. Klik på CD/DVD-drev 1, vælg valgmuligheden for at montere fra en ISO-fil fra et datalager, og gå til placeringen, hvor du overførte ISO-konfigurationsfilen.

  4. Markér Tilsluttet og Tilslut ved tænding.

  5. Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Hvis din it-politik kræver det, kan du vælge at afmontere ISO-filen, når alle dine knudepunkter har hentet konfigurationsændringerne. Se (Valgfrit) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.

Før du begynder

1

Indtast URL-adresse til opsætning af HDS-knude https://[HDS knude IP eller FQDN]/Setup i en webbrowser, Indtast administratorens legitimationsoplysninger, som du opsætter for knudepunktet, og klik derefter på Log ind.

2

Gå til Trust store & proxy, og vælg derefter en valgmulighed:

  • Ingen proxy – standardvalgmuligheden, før du integrerer en proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig ikke-inspicerende proxy – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve nogen ændringer for at fungere med en ikke-inspicerende proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig proxy til inspektion – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-data sikkerhed, men HDS-knuder skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
  • Eksplicit proxy – Med eksplicit proxy fortæller du klienten (HDS-noder), hvilken proxyserver der skal bruges, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad dine proxyserver understøtter.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig for HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy.

3

Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen.

Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen.

4

Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen.

Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. Hvis du mener, at dette er en fejl, skal du udføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

5

Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft.

6

Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar.

Knuden genstarter inden for et par minutter.

7

Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status.

Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen.

Tilmeld den første knude i klyngen

Denne opgave tager den generiske node, som du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-cloud og omdanner den til en hybrid-datasikkerhedstjeneste.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knudepunkter, der er installeret for at give redundans.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Opsæt.

4

Klik på Tilføj en ressource på siden, der åbnes.

5

I det første felt på kortet Tilføj en knude skal du indtaste et navn på den klynge, som du vil tildele din hybrid-datasikkerhedstjeneste.

Vi anbefaler, at du navngiver en klynge ud fra, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node og klikke på Tilføj nederst på skærmen.

Denne IP-adresse eller FQDN skal svare til den IP-adresse eller værtsnavn og domæne, du brugte i Opsæt hybrid-datasikkerhed VM.

Der vises en meddelelse, der angiver, at du kan tilmelde din node til Webex.
7

Klik på Gå til knude.

Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din Webex-organisation til at få adgang til din node.

8

Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
9

Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den node, du har tilmeldt, under fanen Ressourcer . Noden vil automatisk downloade den nyeste software fra skyen.

Opret og tilmeld flere knudepunkter

For at tilføje yderligere noder til din klynge skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Opret en ny virtuel maskine fra OVA, og gentag trinnene i Installer HDS-vært-OVA.

2

Opsæt den indledende konfiguration på den nye VM, og gentag trinnene i Opsæt hybrid datasikkerhed VM.

3

På den nye VM skal du gentage trinnene i Overfør og monter HDS-konfigurations-ISO.

4

Hvis du opsætter en proxy for din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

5

Tilmeld knudepunktet.

  1. I https://admin.webex.com skal du vælge Tjenester fra menuen i venstre side af skærmen.

  2. I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Vis alle.

    Siden Hybrid-datasikkerhedsressourcer vises.

  3. Den nyoprettede klynge vises på siden Ressourcer .

  4. Klik på klyngen for at få vist de knudepunkter, der er tildelt klyngen.

  5. Klik på Tilføj en node i højre side af skærmen.

  6. Indtast den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node, og klik på Tilføj.

    Der åbnes en side med en meddelelse, der angiver, at du kan tilmelde din node til Webex-skyen. Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din organisation til at få adgang til din node.

  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.

  8. Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

    Node tilføjet pop op-meddelelse vises også nederst på skærmen i Partner Hub.

    Din knude er registreret.

Administrer lejerorganisationer om hybrid-datasikkerhed for flere lejere

Aktivér HDS med flere lejere på Partner Hub

Denne opgave sikrer, at alle brugere i kundeorganisationerne kan begynde at bruge HDS til lokale krypteringsnøgler og andre sikkerhedstjenester.

Før du begynder

Sørg for, at du har fuldført opsætningen af din HDS-klynge med flere lejere med det påkrævede antal knudepunkter.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

4

Klik på Aktivér HDSHDS-statuskortet .

Tilføj lejerorganisationer i Partner Hub

I denne opgave tildeler du kundeorganisationer til din hybrid-datasikkerhedsklynge.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

Klik på den klynge, som du vil have en kunde tildelt.

5

Gå til fanen Tildelte kunder .

6

Klik på Tilføj kunder.

7

Vælg den kunde, du vil tilføje, fra rullemenuen.

8

Klik på Tilføj. Kunden vil blive føjet til klyngen.

9

Gentag trin 6 til 8 for at føje flere kunder til din klynge.

10

Klik på Udført nederst på skærmen, når du har tilføjet kunderne.

Næste trin

Kør HDS-opsætningsværktøjet som beskrevet i Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen.

Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet

Før du begynder

Tildel kunder til den relevante klynge som beskrevet i Tilføj lejerorganisationer i Partner Hub. Kør HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen for de nyligt tilføjede kundeorganisationer.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

Sørg for, at der er forbindelse til din database for at udføre CMK-administration.
11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Opret CMK for alle organisationer eller Opret CMK – klik på denne knap på banneret øverst på skærmen for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Opret CMK'er for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på… nær CMK-administration under behandling for en bestemt organisation i tabellen, og klik på Opret CMK for at oprette CMK for den pågældende organisation.
12

Når CMK-oprettelse er gennemført, ændres statussen i tabellen fra CMK-administration under behandling til CMK-administration.

13

Hvis CMK-oprettelse ikke lykkes, vises en fejl.

Fjern lejerorganisationer

Før du begynder

Når brugere af kundeorganisationer er fjernet, kan de ikke udnytte HDS til deres krypteringsbehov og vil miste alle eksisterende rum. Før du fjerner kundeorganisationer, skal du kontakte din Cisco-partner eller -kontoadministrator.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

I fanen Ressourcer skal du klikke på den klynge, som du vil fjerne kundeorganisationer fra.

5

På siden, der åbnes, skal du klikke på Tildelte kunder.

6

Fra listen over kundeorganisationer, der vises, skal du klikke på ... i højre side af den kundeorganisation, du vil fjerne, og klikke på Fjern fra klynge.

Næste trin

Fuldfør fjernelsesprocessen ved at tilbagekalde kundeorganisationernes CMK'er som beskrevet i Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Før du begynder

Fjern kunder fra den relevante klynge som beskrevet i Fjern lejerorganisationer. Kør HDS-opsætningsværktøjet for at fuldføre fjernelsesprocessen for de kundeorganisationer, der blev fjernet.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Tilbagekald CMK for alle organisationer eller Tilbagekald CMK – klik på denne knap på banneret øverst på skærmen for at tilbagekalde CMK'er for alle organisationer, der blev fjernet.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Tilbagekald CMK'er for at tilbagekalde CMK'er fra alle organisationer, der blev fjernet.
  • Klik på nær CMK for at blive tilbagekaldt for en bestemt organisation i tabellen, og klik på Tilbagekald CMK for at tilbagekalde CMK for den specifikke organisation.
12

Når tilbagekaldelsen af CMK er gennemført, vises kundeorganisationen ikke længere i tabellen.

13

Hvis CMK-tilbagekaldelse ikke lykkes, vises en fejl.

Test din udrulning af hybrid-datasikkerhed

Test din udrulning af hybrid-datasikkerhed

Brug denne procedure til at teste scenarier for kryptering af datasikkerhed med flere lejere.

Før du begynder

  • Opsæt din datasikkerhedsudrulning for flere lejere.

  • Sørg for, at du har adgang til syslog'en for at bekræfte, at vigtige anmodninger overføres til din multi-tenant hybrid-datasikkerhedsudrulning.

1

Taster for et givet rum indstilles af opretteren af rummet. Log ind på Webex-appen som en af brugerne i kundeorganisationen, og opret derefter et rum.

Hvis du deaktiverer hybrid-datasikkerhedsudrulningen, er indhold i rum, som brugere opretter, ikke længere tilgængeligt, når de klientcachelagrede kopier af krypteringsnøglerne erstattes.

2

Send meddelelser til det nye rum.

3

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne sendes til din hybrid-datasikkerhedsudrulning.

  1. For at kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du skal finde en post som f.eks. følgende (identifikatorer forkortes for læsbarhed):
    2020-07-21 17:35:34.562 (+0000) OPLYSNINGER KMS [pool-14-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheBarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. For at kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finde en post såsom:
    2020-07-21 17:44:19.889 (+0000) OPLYSNINGER KMS [pool-14-tråd-31] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. For at kontrollere, om der er en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finde en post såsom:
    2020-07-21 17:44:21.975 (+0000) OPLYSNINGER KMS [pool-14-tråd-33] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. For at søge efter en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere efter kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finde en post såsom: 
    2020-07-21 17:44:22.808 (+0000) OPLYSNINGER KMS [pool-15-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg sundheden for hybrid-datasikkerhed

En statusindikator i Partner Hub viser dig, om alt er godt med implementeringen af hybriddatasikkerhed for flere lejere. Hvis du vil have mere proaktive varsler, skal du tilmelde dig e-mailunderretninger. Du får besked, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
1

I Partner Hub skal du vælge Tjenester i menuen til venstre på skærmen.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

Siden Indstillinger for hybrid-datasikkerhed vises.
3

I afsnittet E-mailmeddelelser skal du skrive en eller flere e-mailadresser adskilt af kommaer, og trykke på Enter.

Administrer din HDS-installation

Administrer HDS-udrulning

Brug de opgaver, der er beskrevet her, til at administrere din udrulning af hybrid-datasikkerhed.

Indstil tidsplan for klyngeopgradering

Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan indstille en specifik opgraderingsplan eller bruge standardplanen 3:00 AM Daily i USA: Amerika/Los Angeles. Du kan også vælge at udskyde en kommende opgradering, hvis det er nødvendigt.

Sådan opsættes opgraderingsplanen:

1

Log ind på Partner Hub.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt

4

Vælg klyngen på siden Hybrid-datasikkerhedsressourcer.

5

Klik på fanen Klyngeindstillinger .

6

Vælg tidspunkt og tidszone for opgraderingsplanen på siden Klyngeindstillinger under Opgraderingsplan.

Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -klokkeslæt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt med 24 timer.

Skift nodekonfigurationen

Det kan være nødvendigt at ændre konfigurationen af din Hybrid-datasikkerhedsknude af en årsag, såsom:

  • Ændring af x.509-certifikater pga. udløb eller andre årsager.

    Vi understøtter ikke ændring af CN-domænenavnet for et certifikat. Domænet skal passe med det oprindelige domæne, der bruges til at registrere klyngen.

  • Opdatering af databaseindstillinger for at ændre til en replik af PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi understøtter ikke overflytning af data fra PostgreSQL til Microsoft SQL Server, eller hvordan det kan lade sig gøre. For at skifte databasemiljøet skal du starte en ny udrulning af Hybrid-datasikkerhed.

  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Derudover bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i ni måneder. Når HDS-opsætningsværktøjet genererer disse adgangskoder, implementeres de for hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden for din maskinkonto. (E-mailen indeholder teksten "Brug maskinkonto-API'en til at opdatere adgangskoden.") Hvis dine adgangskoder endnu ikke er udløbet, giver værktøjet dig to valgmuligheder:

  • Blød nulstilling – de gamle og nye adgangskoder fungerer begge i op til 10 dage. Brug denne periode til at erstatte ISO-filen på knudepunkterne gradvist.

  • Hård nulstilling – de gamle adgangskoder holder op med at fungere med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, der kræver øjeblikkelig hard reset og udskiftning af ISO-filen på alle knudepunkter.

Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.

Før du begynder

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med partnerfulde administratorrettigheder.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når Docker-beholderen vises i 1.e. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder masternøglen, der krypterer PostgreSQL eller Microsoft SQL Server-databasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

1

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

  1. Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

    I almindelige miljøer:

    docker rmi ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

  2. For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

    docker login -u hdscustomersro

  3. I adgangskodeanmodningen skal du indtaste denne hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Download det seneste stabilt billede til dit miljø:

    I almindelige miljøer:

    docker træk ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker træk ciscocitg/hds-setup-fedramp:stabil

    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 har ikke skærmbilleder til nulstilling af adgangskode.

  5. Når træk er fuldført, indtast den relevante kommando for dit miljø:

    • I almindelige miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I FedRAMP-miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når beholderen kører, ser du "Express-serveren lytter på port 8080."

  6. Brug en browser til at tilslutte til localhost, http://127.0.0.1:8080.

    Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

  7. Når du bliver bedt om det, skal du indtaste legitimationsoplysningerne for din Partner Hub-kunde og derefter klikke på Acceptér for at fortsætte.

  8. Importér den aktuelle ISO-konfigurationsfil.

  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

    For at lukke opsætningsværktøjet skal du taste CTRL+C.

  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

2

Hvis du kun har én HDS-knude kørende, skal du oprette en ny hybrid-datasikkerhedstjeneste og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. For mere detaljerede vejledninger, se Opret og tilmeld flere knudepunkter.

  1. Installer HDS-hosten OVA.

  2. Opsæt HDS-VM'en.

  3. Tilslut den opdaterede konfigurationsfil.

  4. Tilmeld den nye knude i Partner Hub.

3

For eksisterende HDS-noder, der kører den ældre konfigurationsfil, skal du tilslutte ISO-filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, inden du slår den næste knude fra:

  1. Slå den virtuelle maskine fra.

  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  3. Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

  4. Markér Forbind med tilsluttet strøm.

  5. Gem dine ændringer, og tænd for den virtuelle maskine.

4

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Slå blokeret ekstern DNS-opløsnings tilstand fra

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. Hvis knudens DNS-server ikke kan løse offentlige DNS-navne, går knuden automatisk i blokeret ekstern DNS-opløsnings tilstand.

Hvis dine knuder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du slå denne tilstand fra ved at køre proxy forbindelsestesten igen på hver knude.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine knuder kan kommunikere med dem.
1

I en webbrowser skal du åbne hybrid-datasikkerhedstjeneste nodegrænsefladen (f.eks. IP-adresse/opsætning, https://192.0.2.0/setup), indtaste administratorlegitimationsoplysningerne, du opsætter for noden, og derefter klikke på Log ind.

2

Gå til Oversigt (standardsiden).

Når den er aktiveret, er blokeret ekstern DNS-opløsning indstillet til Ja.

3

Gå til siden Trust store & proxy .

4

Klik på Kontroller proxy forbindelse.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke blev gennemført, var knuden ikke i stand til at nå DNS-serveren og vil forblive i denne tilstand. Ellers skal blokerede ekstern DNS-opløsning indstilles til Nej, når du genstarter knuden og går tilbage til oversigtssiden.

Næste trin

Gentag proxy forbindelsestesten på hver knude i din hybrid-datasikkerheds gruppe.

Fjern et knudepunkt

Brug denne procedure til at fjerne en hybrid-datasikkerhedstjeneste fra Webex Cloud. Når du fjerner noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært og slukke for den virtuelle maskine.

2

Fjern knuden:

  1. Log ind på Partner Hub, og vælg derefter Tjenester.

  2. På hybrid-datasikkerhedskortet skal du klikke på Se alle for at få vist siden Hybrid-datasikkerhedsressourcer.

  3. Vælg din klynge for at få vist oversigtspanelet.

  4. Klik på den node, du vil fjerne.

  5. Klik på Fjern registrering af denne node på panelet, der vises til højre

  6. Du kan også afmelde noden ved at klikke… på højre side af noden og vælge Fjern denne node.

3

Slet VM'en i vSphere-klienten. (Højreklik på VM'en i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM'en, skal du huske at afmontere konfigurations-ISO-filen. Uden ISO-filen kan du ikke bruge VM'en til at få adgang til dine sikkerhedsdata.

Katastrofegendannelse ved hjælp af standby-datacenter

Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye anmodninger om nøgleoprettelse til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den har oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

Da klyngen udfører den kritiske funktion med at levere disse nøgler, er det afgørende, at klyngen fortsat kører, og at der opretholdes korrekte sikkerhedskopieringer. Tab af hybrid-datasikkerhedsdatabasen eller af den konfigurations-ISO, der bruges til skemaet, vil medføre tab AF KUNDEINDHOLD, der ikke kan genoprettes. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter ikke er tilgængelig, skal du følge denne procedure for manuelt at foretage failover til standby-datacenteret.

Før du begynder

Fjern registreringen af alle knuder fra Partner Hub som nævnt i Fjern en knude. Brug den seneste ISO-fil, der blev konfigureret i forhold til noderne for den klynge, der tidligere var aktiv, til at udføre den failover-procedure, der er nævnt nedenfor.
1

Start HDS-opsætningsværktøjet, og følg trinene nævnt i Opret en konfigurations-ISO for HDS-værter.

2

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

3

Lav en sikkerhedskopi af ISO-filen på dit lokale system. Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

4

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

5

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg ISO-fil i datalagring.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knudepunkterne er startet.

6

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

7

Tilmeld knuden i Partner Hub. Se Tilmeld den første node i klyngen.

8

Gentag processen for hver node i standby-datacenteret.

Næste trin

Hvis det primære datacenter efter failover bliver aktivt igen, skal du fjerne registreringen af noderne i standby-datacenteret og gentage processen med at konfigurere ISO og registrere noder i det primære datacenter som nævnt ovenfor.

(Valgfrit) Afmonter ISO efter HDS-konfiguration

Standard-HDS-konfigurationen kører med ISO monteret. Men nogle kunder foretrækker ikke at lade ISO-filer være monteret kontinuerligt. Du kan afmontere ISO-filen, når alle HDS-knuder henter den nye konfiguration.

Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine knudepunkter har hentet konfigurationsændringerne, kan du afmontere ISO'en igen med denne procedure.

Før du begynder

Opgrader alle dine HDS-knuder til version 2021.01.22.4720 eller nyere.

1

Luk en af dine HDS-knudepunkter.

2

Vælg HDS-noden i vCenter-serverenheden.

3

Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af ISO-fil i datalagring.

4

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 20 minutter.

5

Gentag for hver HDS-knude ad gangen.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

En hybrid-datasikkerhedsudrulning anses for ikke at være tilgængelig, hvis alle knuder i klyngen er utilgængelige, eller klyngen arbejder så langsomt, at anmodninger om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

  • Nye rum kan ikke oprettes (nye nøgler kan ikke oprettes)

  • Meddelelser og rumtitler kan ikke dekrypteres for:

    • Nye brugere føjet til et rum (kunne ikke hente tasterne)

    • Eksisterende brugere i et rum, der bruger en ny klient (kan ikke hente tasterne)

  • Eksisterende brugere i et rum fortsætter med at køre, så længe deres klienter har en cache med krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og adresserer eventuelle advarsler med det samme for at undgå afbrydelse af tjenesten.

Varsler

Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Partner Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varsler dækker mange almindelige scenarier.

Tabel 1. Almindelige problemer og trin til at løse dem

Varsel

Handling

Fejl ved lokal databaseadgang.

Kontrollér, om der er databasefejl eller problemer med lokale netværk.

Fejl i forbindelse med lokal database.

Kontrollér, at databaseserveren er tilgængelig, og at de rigtige tjenestekontolegitimationsoplysninger blev brugt i nodekonfigurationen.

Fejl i adgang til cloudtjeneste.

Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i Krav til ekstern forbindelse.

Fornyelse af registrering af cloudtjeneste.

Tilmelding til cloudtjenester blev afbrudt. Fornyelse af registrering er i gang.

Registrering af cloudtjeneste blev afbrudt.

Tilmelding til cloudtjenester blev afsluttet. Tjenesten er ved at lukke.

Tjenesten er endnu ikke aktiveret.

Aktivér HDS i Partner Hub.

Det konfigurerede domæne stemmer ikke overens med servercertifikatet.

Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den indledende opsætning.

Kunne ikke godkende cloudtjenester.

Kontrollér nøjagtigheden og mulig udløb af legitimationsoplysninger for tjenestekontoen.

Kunne ikke åbne fil med lokal nøglelager.

Kontrollér, om der er integritet og adgangskodenøjagtighed i den lokale nøglecenterfil.

Lokalt servercertifikat er ugyldigt.

Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en pålidelig certifikatmyndighed.

Kan ikke sende målinger.

Kontrollér lokal netværksadgang til eksterne cloudtjenester.

/media/configdrive/hds-mappen findes ikke.

Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at blive monteret ved genstart, og at den monteres korrekt.

Opsætning af lejerorganisation er ikke fuldført for de tilføjede organisationer

Fuldfør opsætningen ved at oprette CMK'er for nyligt tilføjede lejerorganisationer ved hjælp af HDS-opsætningsværktøjet.

Opsætning af lejerorganisation er ikke fuldført for de fjernede organisationer

Fuldfør opsætningen ved at tilbagekalde CMK'er for lejerorganisationer, der blev fjernet ved hjælp af HDS-opsætningsværktøjet.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybrid-datasikkerhed.
1

Gennemgå Partner Hub for eventuelle varsler, og ret eventuelle elementer, du finder der. Se billedet nedenfor for reference.

2

Gennemgå syslog-serverens output for aktivitet fra hybrid-datasikkerhedsudrulningen. Filtrer efter ord som "Advarsel" og "Fejl" for at hjælpe med fejlfinding.

3

Kontakt Cisco-support.

Andre bemærkninger

Kendte problemer med hybrid-datasikkerhed

  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Partner Hub eller ved at lukke alle knudepunkter), mister din konfigurations-ISO-fil eller mister adgang til nøglelagerdatabasen, kan Webex-appbrugere i kundeorganisationer ikke længere bruge rum på deres personliste, der blev oprettet med nøgler fra din KMS. Vi har ikke en løsning eller løsning på dette problem i øjeblikket og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, opretholder denne forbindelse i en tidsperiode (sandsynligvis en time).

Brug OpenSSL til at generere en PKCS12-fil

Før du begynder

  • OpenSSL er et værktøj, der kan bruges til at gøre PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre dette på, og vi støtter ikke eller fremmer ikke den ene vej frem for den anden.

  • Hvis du vælger at bruge OpenSSL, leverer vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509-certifikatkravene i X.509-certifikatkrav. Forstå disse krav, før du fortsætter.

  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for softwaren og dokumentationen.

  • Opret en privat nøgle.

  • Start denne procedure, når du modtager servercertifikatet fra dit CA.

1

Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

2

Vis certifikatet som tekst, og bekræft detaljerne.

openssl x509 -tekst -noout -i hdsnode.pem

3

Brug et tekstredigeringsprogram til at oprette en certifikatbundle-fil, der hedder hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rod-CA-certifikaterne i nedenstående format:

-----begynd certifikat------ ### Servercertifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Mellemliggende CA-certifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Rodnøglecentercertifikat. ### -----afslut certifikat------

4

Opret .p12-filen med det venlige navn kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollér servercertifikatoplysningerne.

  1. openssl pkcs12 - i hdsnode.p12

  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den vises i outputtet. Bekræft derefter, at den private nøgle og det første certifikat indeholder linjerne friendlyName: kms-private-nøgle.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Indtast importadgangskode: MAC-verificerede OK-taskeattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøgleattributter:  Indtast PEM-adgangsfrase: Bekræftelse – indtast PEM-adgangsfrase: -----BEGYND KRYPTERET PRIVAT NØGLE-----  -----END KRYPTERET PRIVAT NØGLE----- Poseattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Poseattributter friendlyName: CN=Lad os kryptere myndighed X3,O=Lad os kryptere,C=US subject=/C=US/O=Lad os kryptere myndighed X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT-----  -----END CERTIFIKAT-----

Næste trin

Vend tilbage til Fuldfør forudsætningerne for hybrid-datasikkerhed. Du skal bruge filen hdsnode.p12 og adgangskoden, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-noderne og skyen

Trafik for indsamling af udgående målinger

Hybrid-datasikkerhedstjeneste sender visse målinger til Webex Cloud. Disse omfatter systemmålinger for maks. heap, brugt heap, CPU-belastning og trådtælling, målinger på synkroniserede og asynkrone tråde, målinger på varsler, der involverer en tærskel for krypteringsforbindelser, ventetid eller længde på en anmodningskø, målinger på datalageret og målinger af krypteringsforbindelser. Knuderne sender krypteret nøglemateriale over en ikke-båndkanal (adskilt fra anmodningen).

Indgående trafik

Hybrid-datasikkerhedstjeneste noder modtager følgende typer indgående trafik fra Webex-cloud:

  • Krypteringsanmodninger fra klienter, som distribueres af krypteringstjenesten

  • Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer for hybrid-data sikkerhed

WebSocket kan ikke oprette forbindelse via Squid-Proxy

Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:)-forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af squid til at ignorere WSS: trafik til korrekt funktion af tjenesterne.

Squid 4 og 5

Føj on_unsupported_protocol direktivet til squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi har testet hybrid-data sikkerhed med følgende regler tilføjet til squid. conf. Disse regler er underlagt ændringer, når vi udviklerfunktioner og opdaterer Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kviksølv-forbindelse ssl_bump splitte wssMercuryConnection acl trin1 at_step SslBump1 acl trin2 at_step SslBump2 acl trin3 at_step SslBump3 ssl_bump smugkig trin1 alle ssl_bump kig trin2 alle ssl_bump bump trin3 alle

Nye og ændrede oplysninger

Nye og ændrede oplysninger

Denne tabel dækker nye funktioner eller funktionalitet, ændringer af eksisterende indhold og eventuelle større fejl, der blev rettet i Udrulningsvejledningen for datasikkerhed med flere lejere.

Dato

Der er foretaget ændringer

8. januar 2025

Tilføjede en bemærkning i Udfør indledende opsætning og download installationsfiler , der angiver, at klik på Opsætning på HDS-kortet i Partner Hub er et vigtigt trin i installationsprocessen.

7. januar 2025

Opdaterede krav til virtuel vært, opgavestrøm til implementering af hybrid-datasikkerhed og installer HDS-vært OVA for at vise nye krav til ESXi 7.0.

13. december 2024

Første gang udgivet.

Deaktiver hybrid-datasikkerhed for flere lejere

Opgavestrøm til deaktivering af HDS med flere lejere

Følg disse trin for at deaktivere HDS med flere lejere fuldstændigt.

Før du begynder

Denne opgave bør kun udføres af en partneradministrator med alle rettigheder.
1

Fjern alle kunder fra alle dine klynger, som nævnt i Fjern lejerorganisationer.

2

Tilbagekald alle kunders CMK'er som nævnt i Tilbagekald CMK'er for lejere, der er fjernet fra HDS..

3

Fjern alle knuder fra alle dine klynger, som nævnt i Fjern en knude.

4

Slet alle dine klynger fra Partner Hub ved hjælp af en af følgende to metoder.

  • Klik på den klynge, du vil slette, og vælg Slet denne klynge i øverste højre hjørne af oversigtssiden.
  • På siden Ressourcer skal du klikke på… i højre side af en klynge og vælge Fjern klynge.
5

Klik på fanen Indstillinger på oversigtssiden for hybrid-datasikkerhed, og klik på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybrid-datasikkerhed for flere lejere

Oversigt over hybrid-datasikkerhed for flere lejere

Fra første dag har datasikkerhed været det primære fokus i designet af Webex-appen. Hjørnestenen i denne sikkerhed er slutpunkt-til-slutpunkt-kryptering af indhold, der er aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

Som standard får alle Webex-appkunder kryptering fra slutpunkt-til-slutpunkt med dynamiske nøgler, der er gemt i Cloud KMS i Ciscos sikkerhedsdomæne. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.

Multi-tenant hybrid-datasikkerhed gør det muligt for organisationer at udnytte HDS via en betroet lokal partner, der kan fungere som tjenesteudbyder og administrere kryptering på stedet og andre sikkerhedstjenester. Denne opsætning giver partnerorganisationen mulighed for at have fuld kontrol over installation og administration af krypteringsnøgler og sikrer, at brugerdata i kundeorganisationer er sikre mod ekstern adgang. Partnerorganisationer konfigurerer HDS-forekomster og opretter HDS-klynger efter behov. Hver forekomst kan understøtte flere kundeorganisationer i modsætning til en almindelig HDS-udrulning, der er begrænset til en enkelt organisation.

Selvom partnerorganisationer har kontrol over installation og administration, har de ikke adgang til data og indhold, der er genereret af kunder. Denne adgang er begrænset til kundeorganisationer og deres brugere.

Dette giver også mindre organisationer mulighed for at udnytte HDS, da nøgleadministrationsservice og sikkerhedsinfrastruktur såsom datacentre ejes af den betroede lokale partner.

Sådan giver hybriddatasikkerhed med flere lejere datasuverænitet og datakontrol

  • Brugergenereret indhold er beskyttet mod ekstern adgang, f.eks. cloudtjenesteudbydere.
  • Lokale betroede partnere administrerer krypteringsnøglerne for kunder, som de allerede har et etableret forhold til.
  • Valgmulighed for lokal teknisk support, hvis den leveres af partneren.
  • Understøtter indhold i møder, meddelelser og opkald.

Dette dokument er beregnet til at hjælpe partnerorganisationer med at opsætte og administrere kunder under et hybrid-datasikkerhedssystem med flere lejere.

Roller i hybrid-datasikkerhed med flere lejere

  • Partneradministrator med fulde rettigheder – kan administrere indstillinger for alle kunder, som partneren administrerer. Kan også tildele administratorroller til eksisterende brugere i organisationen og tildele specifikke kunder, der skal administreres af partneradministratorer.
  • Partneradministrator – kan administrere indstillinger for kunder, som administratoren klargjorde, eller som er blevet tildelt brugeren.
  • Fuld administrator – administrator for partnerorganisationen, der er autoriseret til at udføre opgaver såsom at ændre organisationsindstillinger, administrere licenser og tildele roller.
  • Opsætning og administration af HDS med flere lejere fra slutpunkt til slutpunkt for alle kundeorganisationer – fuld administrator og fulde administratorrettigheder er påkrævet.
  • Administration af tildelte lejerorganisationer – partneradministrator og fulde administratorrettigheder er påkrævet.

Arkitektur for sikkerhedsdomæne

Webex Cloud-arkitekturen opdeler forskellige typer tjenester i separate domæner eller tillidsdomæner, som vist nedenfor.

Områder for adskillelse (uden hybrid-datasikkerhed)

For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-områder. Identitetstjenesten, som er det eneste sted, hvor brugere kan være direkte korreleret med deres personlige oplysninger såsom e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsdomænet i datacenter B. Begge er adskilt fra det domæne, hvor krypteret indhold i sidste ende gemmes, i datacenter C.

I dette diagram kører klienten Webex-appen på en brugers bærbare computer og er godkendt med identitetstjenesten. Når brugeren opretter en meddelelse, der skal sendes til et rum, udføres følgende trin:

  1. Klienten opretter en sikker forbindelse til KMS (key management service) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

  2. Meddelelsen krypteres, før den forlader klienten. Klienten sender det til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe fremtidige søgninger efter indholdet.

  3. Den krypterede meddelelse sendes til overholdelsestjenesten for overensstemmelseskontrol.

  4. Den krypterede meddelelse gemmes i lagerdomænet.

Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsressourcefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitets- og indholdslagring), forbliver i Ciscos domæner.

Samarbejde med andre organisationer

Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi det blev oprettet af en af dine brugere), sender dit KMS nøglen til klienten over en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, sender din KMS anmodningen ud til Webex Cloud via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

Den KMS-tjeneste, der kører på organisation A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for oplysninger om generering af et x.509-certifikat til brug med din multi-tenant hybrid-datasikkerhedsudrulning.

Forventninger til implementering af hybrid-datasikkerhed

En hybrid-datasikkerhedsudrulning kræver betydelig engagement og opmærksomhed om de risici, der følger med at eje krypteringsnøgler.

For at implementere hybrid-datasikkerhed skal du angive:

Komplet tab af enten den konfigurations-ISO, du opretter til hybrid-datasikkerhed, eller den database, du leverer, vil medføre tab af nøgler. Tabet af nøgler forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du oprette en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

  • Administrer sikkerhedskopiering og gendannelse af databasen og konfigurations-ISO.

  • Vær forberedt på at udføre hurtig katastrofegenoprettelse, hvis der opstår en katastrofe, såsom databasediskfejl eller datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætningen og administrationen af en multi-tenant hybrid-datasikkerhedsudrulning:

  • Opsæt hybrid-datasikkerhed – dette omfatter forberedelse af nødvendig infrastruktur og installation af hybrid-datasikkerhedssoftware, opbygning af en HDS-klynge, tilføjelse af lejerorganisationer til klyngen og administration af deres kundehovednøgler (CMK'er). Dette gør det muligt for alle brugere i dine kundeorganisationer at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

    Opsætnings-, aktiverings- og administrationsfaserne er beskrevet i detaljer i de næste tre kapitler.

  • Vedligehold din hybrid-datasikkerhedsudrulning – Webex Cloud leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde support på niveau et for denne udrulning og bruge Cisco-support efter behov. Du kan bruge underretninger på skærmen og opsætte e-mailbaserede varsler i Partner Hub.

  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du oplever problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og bilaget Kendte problemer hjælpe dig med at finde og løse problemet.

Udrulningsmodel for hybrid-datasikkerhed

I dit virksomhedsdatacenter installerer du hybrid-datasikkerhed som en enkelt klynge af noder på separate virtuelle værter. Noderne kommunikerer med Webex Cloud via sikre websockets og sikker HTTP.

Under installationsprocessen giver vi dig OVA-filen til at konfigurere den virtuelle enhed på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugertilpasset ISO-fil til klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din angivne Syslogd-server- og PostgreSQL- eller Microsoft SQL-serverdatabase. (Du kan konfigurere oplysninger om Syslogd og databaseforbindelse i HDS-opsætningsværktøjet).

Udrulningsmodel for hybrid-datasikkerhed

Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre pr. klynge. At have flere knudepunkter sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex Cloud opgraderer kun én knude ad gangen).

Alle knuder i en klynge har adgang til det samme nøgledatalager og logaktivitet til den samme syslog-server. Noderne er i sig selv statsløse og håndterer vigtige anmodninger på round-robin-måde, som dirigeret af skyen.

Knudepunkter bliver aktive, når du tilmelder dem i Partner Hub. Hvis du vil tage en individuel knude ud af drift, kan du framelde den og senere registrere den igen, hvis det er nødvendigt.

Standby-datacenter til gendannelse efter nedbrud

Under installationen konfigurerer du et sikkert standbydatacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standby-datacenteret.

Før failover har datacenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-database, mens B har en kopi af ISO-filen med yderligere konfigurationer, VM'er, der er registreret i organisationen, og en standbydatabase. Efter failover har datacenter B aktive HDS-noder og den primære database, mens A har ikke-registrerede VM'er og en kopi af ISO-filen, og databasen er i standbytilstand.
Manuel failover til standby-datacenter

Databaserne for de aktive datacentre og standby-datacentre er synkroniseret, hvilket minimerer den tid, det tager at udføre failover.

De aktive hybrid-datasikkerhedstjeneste skal altid være i det samme datacenter som den aktive databaseserver.

Proxy-support

Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.

Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:

  • Ingen proxy – standard, hvis du ikke bruger HDS-nodens konfiguration af tillidslager og proxykonfiguration til at integrere en proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig ikke-kontrollerende proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve ændringer for at fungere med en ikke-kontrollerende proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig tunneling eller inspektion af proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

  • Eksplicit proxy – Med eksplicit proxy fortæller du HDS-knuderne, hvilken proxyserver og godkendelsesplan de skal bruge. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

      • HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.

      • HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

Eksempel på hybrid-data sikkerheds knuder og proxy

Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.

Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.

Forbered dit miljø

Krav til hybrid-datasikkerhed for flere lejere

Cisco Webex-licenskrav

Sådan udrulles hybriddatasikkerhed for flere lejere:

  • Partnerorganisationer: Kontakt din Cisco-partner eller kontoadministrator, og sørg for, at funktionen med flere lejere er aktiveret.

  • Lejerorganisationer: Du skal have Pro Pack til Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker Desktop

Før du installerer dine HDS-knuder, skal du bruge Docker Desktop til at køre et opsætningsprogram. Docker har for nylig opdateret sin licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".

X.509 Certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 Certifikatkrav til hybrid-datasikkerhedsudrulning

Krav

Detaljer

  • Underskrevet af et pålideligt nøglecenter (CA)

Som standard stoler vi på nøglecentererne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et CN-domænenavn (Common Name), der identificerer din hybrid-datasikkerhedsudrulning

  • Er ikke et jokertegn

CN behøver ikke at kunne kontaktes eller være en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

CN må ikke indeholde et * (jokertegn).

CN bruges til at bekræfte hybrid-datasikkerhedsknuderne for Webex-appklienter. Alle hybrid-datasikkerhedstjeneste noder i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

Når du har registreret en node med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet.

  • Ikke-SHA1-signatur

KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

  • Brug det venlige navn på kms-private-key til at tagge certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal uploades.

Du kan bruge en konverter såsom OpenSSL til at ændre certifikatets format.

Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

KMS-softwaren håndhæver ikke nøglebrug eller udvidede begrænsninger for nøglebrug. Nogle certifikatmyndigheder kræver, at der anvendes udvidede begrænsninger for nøglebrug for hvert certifikat, f.eks. servergodkendelse. Det er i orden at bruge servergodkendelse eller andre indstillinger.

Krav til virtuel vært

De virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste noder i din klynge, har følgende krav:

  • Mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter

  • VMware ESXi 7.0 (eller nyere) installeret og kører.

    Du skal opgradere, hvis du har en tidligere version af ESXi.

  • Mindst 4 vCPU'er, 8 GB primær hukommelse, 30 GB lokal harddiskplads pr. server

Krav til databaseserver

Opret en ny database til nøglelager. Brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene til hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installeret og kører.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installeret.

    SQL Server 2016 kræver Service Pack 2 og kumulativ opdatering 2 eller nyere.

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

JDBC-driver 4.6 til SQL Server

Denne driverversion understøtter SQL Server altid slået til ( Altid på failover-klyngeforekomster og Altid på tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse i forhold til Microsoft SQL Server

Hvis du ønsker, at HDS-noder skal bruge Windows-godkendelse til at få adgang til din keystore-database på Microsoft SQL Server, skal du bruge følgende konfiguration i dit miljø:

  • HDS-knuderne, Active Directory-infrastrukturen og MS SQL Server skal alle synkroniseres med NTP.

  • Den Windows-konto, du angiver til HDS-noder, skal have læse-/skriveadgang til databasen.

  • De DNS-servere, du angiver til HDS-noder, skal kunne løse dit Key Distribution Center (KDC).

  • Du kan registrere HDS-databaseforekomsten på din Microsoft SQL Server som et Service Principal Name (SPN) i din Active Directory. Se Registrer et tjenestehovednavn for Kerberos-forbindelser.

    HDS-opsætningsværktøjet, HDS-startfunktionen og lokal KMS skal alle bruge Windows-godkendelse til at få adgang til nøglelagerdatabasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når der anmodes om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelser for HDS-programmerne:

Applikation

Protokol

Port

Retning fra appen

Destination

Hybrid-datasikkerhedstjeneste

TCP

443

Udgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-værter

  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser til Webex Hybrid-tjenester med Netværkskrav til Webex-tjenester

HDS-opsætningsværktøj

TCP

443

Udgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-værter

  • hub.docker.com

Hybrid-datasikkerhedstjeneste fungerer med NAT (network access translation) eller bag en firewall, så længe NAT eller firewall tillader de påkrævede udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går indgående til hybrid-datasikkerhedstjeneste, må ingen porte være synlige fra internettet. I dit datacenter skal klienter have adgang til hybrid-datasikkerhedsknuderne på TCP-portene 443 og 22 af administrative årsager.

URL-adresser til Common Identity (CI)-værter er områdespecifikke. Disse er de aktuelle CI-værter:

Område

URL-adresser til fælles identitet

Nord-, Mellem- og Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

EU

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Forenede Arabiske Emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy server krav

  • Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.

    • Gennemsigtig proxy – Cisco web Security-Appliance (WSA).

    • Eksplicit proxy-squid.

      Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket-forbindelser (wss:). Hvis du vil undgå dette problem, kan du se Konfigurer Squid-proxyer til hybrid-datasikkerhed.

  • Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:

    • Ingen godkendelse med HTTP eller HTTPS

    • Grundlæggende godkendelse med HTTP eller HTTPS

    • Samlet godkendelse kun med HTTPS

  • For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.

  • Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

  • Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil tilsidesættelse af trafik til wbx2.com og ciscospark.com løse problemet.

Udfyld forudsætningerne for hybrid-datasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
1

Sørg for, at din partnerorganisation har multilejer-HDS-funktionen aktiveret, og få legitimationsoplysningerne for en konto med partnerfuld administrator og fulde administratorrettigheder. Sørg for, at din Webex-kundeorganisation er aktiveret til Pro Pack til Cisco Webex Control Hub. Kontakt din Cisco-partner eller -kontoadministrator for at få hjælp til denne proces.

Kundeorganisationer bør ikke have nogen eksisterende HDS-udrulning.

2

Vælg et domænenavn til din HDS-udrulning (for eksempel hds.company.com), og få en certifikatkæde, der indeholder et X.509-certifikat, en privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 Certifikatkrav.

3

Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste i din klynge. Du skal bruge mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter, som opfylder kravene i Krav til virtuel vært.

4

Forbered den databaseserver, der vil fungere som nøgledatalageret for klyngen i henhold til kravene til databaseserver. Databaseserveren skal være placeret i det sikre datacenter med de virtuelle værter.

  1. Opret en database til nøglelager. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.)

  2. Indsaml de oplysninger, som noderne skal bruge til at kommunikere med databaseserveren:

    • værtsnavnet eller IP-adressen (vært) og porten

    • navnet på databasen (dbname) til nøglelagring

    • brugernavnet og adgangskoden for en bruger med alle privilegier på nøglelagerdatabasen

5

For hurtig katastrofegenoprettelse skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Sikkerhedskopieringsmiljøet afspejler produktionsmiljøet for VM'er og en sikkerhedskopieret databaseserver. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er.

6

Konfigurer en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Hent dens netværksadresse og syslog-port (standard er UDP 514).

7

Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedstjeneste, databaseserveren og syslog-værten. For at forhindre, at der ikke kan genoprettes tab af data, skal du som minimum sikkerhedskopiere databasen og konfigurationsfilen, der er genereret til hybrid-datasikkerhedstjeneste.

Da hybrid-datasikkerhedstjeneste gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operativ installation medføre UOPRETTELIG TAB af dette indhold.

Webex-appklienter cachelagrer deres nøgler, så et udfald vil muligvis ikke blive bemærket med det samme, men vil blive tydeligt med tiden. Selv om midlertidige afbrydelser ikke kan forhindres, kan de genoprettes. Men komplet tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller konfigurationsfilen vil resultere i, at kundedata ikke kan genoprettes. Operatørerne af hybrid-datasikkerhedstjeneste forventes at opretholde hyppige sikkerhedskopieringer af databasen og ISO-konfigurationsfilen og være forberedt på at genopbygge hybrid-datasikkerhedstjeneste-datacenteret, hvis der opstår en katastrofal fejl.

8

Sørg for, at din firewall-konfiguration tillader tilslutning til dine hybrid-datasikkerhedsknuder som beskrevet i Krav til ekstern tilslutning.

9

Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

Du kan bruge Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opretter de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedstjeneste. Du skal muligvis have en Docker Desktop-licens. Se Krav til Docker-desktop for yderligere oplysninger.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have forbindelsen beskrevet i Krav til ekstern forbindelse.

10

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder kravene til proxyserver.

Opsæt en hybrid-datasikkerhedsklynge

Opgavestrøm til installation af hybrid-datasikkerhed

Før du begynder

1

Udfør indledende opsætning og download installationsfiler

Download OVA-filen til din lokale maskine til senere brug.

2

Opret en konfigurations-ISO for HDS-værter

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedstjeneste.

3

Installer HDS-værts-OVA

Opret en virtuel maskine fra OVA-filen, og udfør indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

4

Opsæt VM for hybrid-datasikkerhed

Log på VM-konsollen, og indstil logonlegitimationsoplysningerne. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

5

Overfør og monter HDS-konfigurations-ISO

Konfigurer VM'en fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

6

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og føje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

7

Tilmeld den første knude i klyngen

Tilmeld VM'en med Cisco Webex Cloud som en hybrid-datasikkerhedstjeneste.

8

Opret og tilmeld flere knudepunkter

Fuldfør klyngeopsætningen.

9

Aktivér HDS med flere lejere på Partner Hub.

Aktivér HDS, og administrer lejerorganisationer i Partner Hub.

Udfør indledende opsætning og download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du har konfigureret som hybrid-datasikkerhedsknuder). Du bruger denne fil senere i installationsprocessen.

1

Log ind på Partner Hub, og klik derefter på Tjenester.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og derefter klikke på Opsæt.

Klik på Opsæt i Partner Hub er afgørende for installationsprocessen. Fortsæt ikke med installationen uden at fuldføre dette trin.

3

Klik på Tilføj en ressource , og klik på Download .OVA-fil på kortet Installer og konfigurer software .

Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan medføre problemer under opgradering af applikationen. Sørg for at downloade den seneste version af OVA-filen.

Du kan også downloade OVA'en når som helst fra afsnittet Hjælp . Klik på Indstillinger > Hjælp > Download hybrid-datasikkerhedssoftware.

OVA-filen begynder automatisk at blive downloadet. Gem filen på en placering på din maskine.
4

Du kan også klikke på Se udrulningsvejledning til hybrid-datasikkerhed for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder
1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import har du følgende valgmuligheder:

  • Nej – Hvis du opretter din første HDS-node, har du ikke en ISO-fil, der skal uploades.
  • Ja – Hvis du allerede har oprettet HDS-noder, så vælger du din ISO-fil i browseren og overfører den.
10

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkrav.

  • Hvis du aldrig har overført et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
  • Hvis dit certifikat er ok, skal du klikke på Fortsæt.
  • Hvis dit certifikat er udløbet, eller du vil udskifte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Overfør et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
11

Indtast databaseadressen og -kontoen for HDS for at få adgang til dit nøgledatalager:

  1. Vælg din databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du vælger Microsoft SQL Server, får du et felt til godkendelsestype.

  2. (Kun Microsoft SQL Server ) Vælg din godkendelsestype:

    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL Server-kontonavn i feltet Brugernavn .

    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet brugernavn@DOMÆNE i feltet Brugernavn .

  3. Indtast databaseserveradressen i formatet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at fortolke værtsnavnet.

    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

  4. Indtast databasenavnet.

  5. Indtast Brugernavn og Adgangskode for en bruger med alle privilegier på nøglelagerdatabasen.

12

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretræk TLS (standardvalgmulighed)

HDS-noder kræver ikke TLS for at tilslutte til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræv TLS

HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

Kræv TLS, og bekræft certifikatcertifikatstegner

Denne tilstand gælder ikke for SQL Server-databaser.

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Kræv TLS, og bekræft certifikatvært og værtsnavn

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og -port . Navnene skal passe præcist, ellers vil knudepunktet falde i forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Når du overfører rodcertifikatet (om nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis etablere TLS-forbindelsen, selvom maskinen til HDS-opsætningsværktøjet ikke kan teste den).

13

På siden Systemlogfiler skal du konfigurere din Syslogd-server:

  1. Indtast URL-adressen til syslog-serveren.

    Hvis serveren ikke kan DNS-løses fra noderne til din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse såsom tcp://10.92.43.23:514.

  3. Fra rullegardinmenuen Vælg afslutning af syslog-post skal du vælge den relevante indstilling for din ISO-fil: Vælg, eller linjeskift bruges til Graylog og Rsyslog TCP

    • Ingen byte -- \x00

    • Nylinje -- \n– Vælg denne valgmulighed for Graylog og Rsyslog TCP.

  4. Klik på Fortsæt.

14

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klik på Fortsæt på skærmen Nulstil tjenestekontoadgangskode .

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder er ved at udløbe, eller du vil nulstille dem til at ugyldiggøre tidligere ISO-filer.

16

Klik på Download ISO-fil. Gem filen på en placering, der er nem at finde.

17

Lav en sikkerhedskopi af ISO-filen på dit lokale system.

Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

18

For at lukke opsætningsværktøjet skal du taste CTRL+C.

Næste trin

Sikkerhedskopier ISO-konfigurationsfilen. Du skal bruge den til at oprette flere knudepunkter til genoprettelse eller til at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din PostgreSQL- eller Microsoft SQL Server-database.

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værts-OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært.

2

Vælg Fil > Implementer OVF-skabelon.

3

I guiden skal du angive placeringen af OVA-filen, som du downloadede tidligere, og derefter klikke på Næste.

4

På siden Vælg et navn og en mappe skal du indtaste et virtuelt maskinnavn for noden (for eksempel "HDS_Node_1"), vælge en placering, hvor udrulningen af noden til den virtuelle maskine kan ligge, og derefter klikke på Næste.

5

På siden Vælg en beregningsressource skal du vælge destinationsberegningsressourcen og derefter klikke på Næste.

En valideringskontrol kører. Når den er færdig, vises skabelonoplysningerne.

6

Bekræft skabelonoplysningerne, og klik derefter på Næste.

7

Hvis du bliver bedt om at vælge ressourcekonfiguration på siden Konfiguration , skal du klikke på 4 CPU og derefter klikke på Næste.

8

På siden Vælg lagerplads skal du klikke på Næste for at acceptere standarddiskformatet og VM-lagerpolitikken.

9

På siden Vælg netværk skal du vælge netværksvalgmuligheden fra listen med poster for at levere den ønskede forbindelse til VM'en.

10

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

  • Værtsnavn – indtast FQDN (værtsnavn og domæne) eller et enkelt ordværtsnavn for noden.

    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

    • For at sikre en vellykket registrering til skyen skal du kun bruge små bogstaver i det FQDN eller værtsnavn, som du har indstillet for noden. Store bogstaver understøttes ikke på dette tidspunkt.

    • Den samlede længde på FQDN må ikke overstige 64 tegn.

  • IP-adresse– Indtast IP-adressen for nodens interne grænseflade.

    Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

  • Maske – indtast undernetmaskens adresse i prik-decimal notation. For eksempel 255.255.255.0.
  • Gateway – indtast gateway-IP-adressen. En gateway er en netværksknude, der fungerer som et adgangspunkt til et andet netværk.
  • DNS-servere – Indtast en kommasepareret liste over DNS-servere, som håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
  • NTP-servere – Indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. Standard-NTP-servere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at angive flere NTP-servere.

  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan kontaktes fra klienter i dit netværk af administrative årsager.

Hvis du foretrækker det, kan du springe konfigurationen af netværksindstillingerne over og følge trinnene i Opsæt hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

11

Højreklik på noden VM, og vælg derefter Tænd > Tænd.

Hybrid-datasikkerhedssoftwaren installeres som gæst på VM-værten. Du er nu klar til at logge på konsollen og konfigurere noden.

Fejlfindingstip

Du kan opleve en forsinkelse på nogle få minutter, før knudebeholderne dukker op. Der vises en meddelelse om broens firewall på konsollen under den første start, hvor du ikke kan logge ind.

Opsæt VM for hybrid-datasikkerhed

Brug denne procedure til at logge på hybrid-datasikkerhedstjeneste VM-konsollen for første gang og indstille logonlegitimationsoplysningerne. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

1

I VMware vSphere-klienten skal du vælge din hybrid-datasikkerhedstjeneste og vælge fanen Konsol .

VM'en starter, og der vises en loginmeddelelse. Hvis loginprompten ikke vises, skal du trykke på Enter.
2

Brug følgende standardlogin og -adgangskode til at logge på og ændre legitimationsoplysningerne:

  1. Login: Administrator

  2. Adgangskode: Cisco

Da du logger ind på din VM for første gang, skal du ændre administratoradgangskoden.

3

Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, skal du springe resten af denne procedure over. Ellers skal du vælge valgmuligheden Rediger konfiguration i hovedmenuen.

4

Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

5

(Valgfri) Skift værtsnavnet, domænet eller NTP-serveren/-serverne, hvis det er nødvendigt for at matche din netværkspolitik.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

6

Gem netværkskonfigurationen, og genstart VM'en, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Da ISO-filen indeholder hovednøglen, bør den kun udstilles på et "need to know"-grundlag for adgang for hybrid-datasikkerhed-VM'er og alle administratorer, der kan få brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til datalageret.

1

Overfør ISO-filen fra din computer:

  1. I VMware vSphere-klientens venstre navigationsrude skal du klikke på ESXi-serveren.

  2. På fanen Konfiguration skal du klikke på Lager.

  3. På listen Datalagre skal du højreklikke på datalagret for dine VM'er og klikke på Søg i datalagre.

  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

  5. Gå til placeringen, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

  6. Klik på Ja for at acceptere advarslen om upload/download-handling, og luk datalagerdialogboksen.

2

Monter ISO-filen:

  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsmuligheder.

  3. Klik på CD/DVD-drev 1, vælg valgmuligheden for at montere fra en ISO-fil fra et datalager, og gå til placeringen, hvor du overførte ISO-konfigurationsfilen.

  4. Markér Tilsluttet og Tilslut ved tænding.

  5. Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Hvis din it-politik kræver det, kan du vælge at afmontere ISO-filen, når alle dine knudepunkter har hentet konfigurationsændringerne. Se (Valgfrit) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.

Før du begynder

1

Indtast URL-adresse til opsætning af HDS-knude https://[HDS knude IP eller FQDN]/Setup i en webbrowser, Indtast administratorens legitimationsoplysninger, som du opsætter for knudepunktet, og klik derefter på Log ind.

2

Gå til Trust store & proxy, og vælg derefter en valgmulighed:

  • Ingen proxy – standardvalgmuligheden, før du integrerer en proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig ikke-inspicerende proxy – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve nogen ændringer for at fungere med en ikke-inspicerende proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig proxy til inspektion – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-data sikkerhed, men HDS-knuder skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
  • Eksplicit proxy – Med eksplicit proxy fortæller du klienten (HDS-noder), hvilken proxyserver der skal bruges, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad dine proxyserver understøtter.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig for HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy.

3

Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen.

Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen.

4

Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen.

Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. Hvis du mener, at dette er en fejl, skal du udføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

5

Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft.

6

Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar.

Knuden genstarter inden for et par minutter.

7

Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status.

Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen.

Tilmeld den første knude i klyngen

Denne opgave tager den generiske node, som du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-cloud og omdanner den til en hybrid-datasikkerhedstjeneste.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knudepunkter, der er installeret for at give redundans.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Opsæt.

4

Klik på Tilføj en ressource på siden, der åbnes.

5

I det første felt på kortet Tilføj en knude skal du indtaste et navn på den klynge, som du vil tildele din hybrid-datasikkerhedstjeneste.

Vi anbefaler, at du navngiver en klynge ud fra, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node og klikke på Tilføj nederst på skærmen.

Denne IP-adresse eller FQDN skal svare til den IP-adresse eller værtsnavn og domæne, du brugte i Opsæt hybrid-datasikkerhed VM.

Der vises en meddelelse, der angiver, at du kan tilmelde din node til Webex.
7

Klik på Gå til knude.

Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din Webex-organisation til at få adgang til din node.

8

Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
9

Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den node, du har tilmeldt, under fanen Ressourcer . Noden vil automatisk downloade den nyeste software fra skyen.

Opret og tilmeld flere knudepunkter

For at tilføje yderligere noder til din klynge skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Opret en ny virtuel maskine fra OVA, og gentag trinnene i Installer HDS-vært-OVA.

2

Opsæt den indledende konfiguration på den nye VM, og gentag trinnene i Opsæt hybrid datasikkerhed VM.

3

På den nye VM skal du gentage trinnene i Overfør og monter HDS-konfigurations-ISO.

4

Hvis du opsætter en proxy for din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

5

Tilmeld knudepunktet.

  1. I https://admin.webex.com skal du vælge Tjenester fra menuen i venstre side af skærmen.

  2. I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Vis alle.

    Siden Hybrid-datasikkerhedsressourcer vises.

  3. Den nyoprettede klynge vises på siden Ressourcer .

  4. Klik på klyngen for at få vist de knudepunkter, der er tildelt klyngen.

  5. Klik på Tilføj en node i højre side af skærmen.

  6. Indtast den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node, og klik på Tilføj.

    Der åbnes en side med en meddelelse, der angiver, at du kan tilmelde din node til Webex-skyen. Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din organisation til at få adgang til din node.

  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.

  8. Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

    Node tilføjet pop op-meddelelse vises også nederst på skærmen i Partner Hub.

    Din knude er registreret.

Administrer lejerorganisationer om hybrid-datasikkerhed for flere lejere

Aktivér HDS med flere lejere på Partner Hub

Denne opgave sikrer, at alle brugere i kundeorganisationerne kan begynde at bruge HDS til lokale krypteringsnøgler og andre sikkerhedstjenester.

Før du begynder

Sørg for, at du har fuldført opsætningen af din HDS-klynge med flere lejere med det påkrævede antal knudepunkter.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

4

Klik på Aktivér HDSHDS-statuskortet .

Tilføj lejerorganisationer i Partner Hub

I denne opgave tildeler du kundeorganisationer til din hybrid-datasikkerhedsklynge.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

Klik på den klynge, som du vil have en kunde tildelt.

5

Gå til fanen Tildelte kunder .

6

Klik på Tilføj kunder.

7

Vælg den kunde, du vil tilføje, fra rullemenuen.

8

Klik på Tilføj. Kunden vil blive føjet til klyngen.

9

Gentag trin 6 til 8 for at føje flere kunder til din klynge.

10

Klik på Udført nederst på skærmen, når du har tilføjet kunderne.

Næste trin

Kør HDS-opsætningsværktøjet som beskrevet i Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen.

Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet

Før du begynder

Tildel kunder til den relevante klynge som beskrevet i Tilføj lejerorganisationer i Partner Hub. Kør HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen for de nyligt tilføjede kundeorganisationer.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

Sørg for, at der er forbindelse til din database for at udføre CMK-administration.
11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Opret CMK for alle organisationer eller Opret CMK – klik på denne knap på banneret øverst på skærmen for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Opret CMK'er for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på… nær CMK-administration under behandling for en bestemt organisation i tabellen, og klik på Opret CMK for at oprette CMK for den pågældende organisation.
12

Når CMK-oprettelse er gennemført, ændres statussen i tabellen fra CMK-administration under behandling til CMK-administration.

13

Hvis CMK-oprettelse ikke lykkes, vises en fejl.

Fjern lejerorganisationer

Før du begynder

Når brugere af kundeorganisationer er fjernet, kan de ikke udnytte HDS til deres krypteringsbehov og vil miste alle eksisterende rum. Før du fjerner kundeorganisationer, skal du kontakte din Cisco-partner eller -kontoadministrator.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

I fanen Ressourcer skal du klikke på den klynge, som du vil fjerne kundeorganisationer fra.

5

På siden, der åbnes, skal du klikke på Tildelte kunder.

6

Fra listen over kundeorganisationer, der vises, skal du klikke på ... i højre side af den kundeorganisation, du vil fjerne, og klikke på Fjern fra klynge.

Næste trin

Fuldfør fjernelsesprocessen ved at tilbagekalde kundeorganisationernes CMK'er som beskrevet i Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Før du begynder

Fjern kunder fra den relevante klynge som beskrevet i Fjern lejerorganisationer. Kør HDS-opsætningsværktøjet for at fuldføre fjernelsesprocessen for de kundeorganisationer, der blev fjernet.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Tilbagekald CMK for alle organisationer eller Tilbagekald CMK – klik på denne knap på banneret øverst på skærmen for at tilbagekalde CMK'er for alle organisationer, der blev fjernet.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Tilbagekald CMK'er for at tilbagekalde CMK'er fra alle organisationer, der blev fjernet.
  • Klik på nær CMK for at blive tilbagekaldt for en bestemt organisation i tabellen, og klik på Tilbagekald CMK for at tilbagekalde CMK for den specifikke organisation.
12

Når tilbagekaldelsen af CMK er gennemført, vises kundeorganisationen ikke længere i tabellen.

13

Hvis CMK-tilbagekaldelse ikke lykkes, vises en fejl.

Test din udrulning af hybrid-datasikkerhed

Test din udrulning af hybrid-datasikkerhed

Brug denne procedure til at teste scenarier for kryptering af datasikkerhed med flere lejere.

Før du begynder

  • Opsæt din datasikkerhedsudrulning for flere lejere.

  • Sørg for, at du har adgang til syslog'en for at bekræfte, at vigtige anmodninger overføres til din multi-tenant hybrid-datasikkerhedsudrulning.

1

Taster for et givet rum indstilles af opretteren af rummet. Log ind på Webex-appen som en af brugerne i kundeorganisationen, og opret derefter et rum.

Hvis du deaktiverer hybrid-datasikkerhedsudrulningen, er indhold i rum, som brugere opretter, ikke længere tilgængeligt, når de klientcachelagrede kopier af krypteringsnøglerne erstattes.

2

Send meddelelser til det nye rum.

3

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne sendes til din hybrid-datasikkerhedsudrulning.

  1. For at kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du skal finde en post som f.eks. følgende (identifikatorer forkortes for læsbarhed):
    2020-07-21 17:35:34.562 (+0000) OPLYSNINGER KMS [pool-14-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheBarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. For at kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finde en post såsom:
    2020-07-21 17:44:19.889 (+0000) OPLYSNINGER KMS [pool-14-tråd-31] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. For at kontrollere, om der er en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finde en post såsom:
    2020-07-21 17:44:21.975 (+0000) OPLYSNINGER KMS [pool-14-tråd-33] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. For at søge efter en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere efter kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finde en post såsom: 
    2020-07-21 17:44:22.808 (+0000) OPLYSNINGER KMS [pool-15-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg sundheden for hybrid-datasikkerhed

En statusindikator i Partner Hub viser dig, om alt er godt med implementeringen af hybriddatasikkerhed for flere lejere. Hvis du vil have mere proaktive varsler, skal du tilmelde dig e-mailunderretninger. Du får besked, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
1

I Partner Hub skal du vælge Tjenester i menuen til venstre på skærmen.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

Siden Indstillinger for hybrid-datasikkerhed vises.
3

I afsnittet E-mailmeddelelser skal du skrive en eller flere e-mailadresser adskilt af kommaer, og trykke på Enter.

Administrer din HDS-installation

Administrer HDS-udrulning

Brug de opgaver, der er beskrevet her, til at administrere din udrulning af hybrid-datasikkerhed.

Indstil tidsplan for klyngeopgradering

Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan indstille en specifik opgraderingsplan eller bruge standardplanen 3:00 AM Daily i USA: Amerika/Los Angeles. Du kan også vælge at udskyde en kommende opgradering, hvis det er nødvendigt.

Sådan opsættes opgraderingsplanen:

1

Log ind på Partner Hub.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt

4

Vælg klyngen på siden Hybrid-datasikkerhedsressourcer.

5

Klik på fanen Klyngeindstillinger .

6

Vælg tidspunkt og tidszone for opgraderingsplanen på siden Klyngeindstillinger under Opgraderingsplan.

Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -klokkeslæt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt med 24 timer.

Skift nodekonfigurationen

Det kan være nødvendigt at ændre konfigurationen af din Hybrid-datasikkerhedsknude af en årsag, såsom:

  • Ændring af x.509-certifikater pga. udløb eller andre årsager.

    Vi understøtter ikke ændring af CN-domænenavnet for et certifikat. Domænet skal passe med det oprindelige domæne, der bruges til at registrere klyngen.

  • Opdatering af databaseindstillinger for at ændre til en replik af PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi understøtter ikke overflytning af data fra PostgreSQL til Microsoft SQL Server, eller hvordan det kan lade sig gøre. For at skifte databasemiljøet skal du starte en ny udrulning af Hybrid-datasikkerhed.

  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Derudover bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i ni måneder. Når HDS-opsætningsværktøjet genererer disse adgangskoder, implementeres de for hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden for din maskinkonto. (E-mailen indeholder teksten "Brug maskinkonto-API'en til at opdatere adgangskoden.") Hvis dine adgangskoder endnu ikke er udløbet, giver værktøjet dig to valgmuligheder:

  • Blød nulstilling – de gamle og nye adgangskoder fungerer begge i op til 10 dage. Brug denne periode til at erstatte ISO-filen på knudepunkterne gradvist.

  • Hård nulstilling – de gamle adgangskoder holder op med at fungere med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, der kræver øjeblikkelig hard reset og udskiftning af ISO-filen på alle knudepunkter.

Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.

Før du begynder

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med partnerfulde administratorrettigheder.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når Docker-beholderen vises i 1.e. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder masternøglen, der krypterer PostgreSQL eller Microsoft SQL Server-databasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

1

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

  1. Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

    I almindelige miljøer:

    docker rmi ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

  2. For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

    docker login -u hdscustomersro

  3. I adgangskodeanmodningen skal du indtaste denne hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Download det seneste stabilt billede til dit miljø:

    I almindelige miljøer:

    docker træk ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker træk ciscocitg/hds-setup-fedramp:stabil

    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 har ikke skærmbilleder til nulstilling af adgangskode.

  5. Når træk er fuldført, indtast den relevante kommando for dit miljø:

    • I almindelige miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I FedRAMP-miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når beholderen kører, ser du "Express-serveren lytter på port 8080."

  6. Brug en browser til at tilslutte til localhost, http://127.0.0.1:8080.

    Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

  7. Når du bliver bedt om det, skal du indtaste legitimationsoplysningerne for din Partner Hub-kunde og derefter klikke på Acceptér for at fortsætte.

  8. Importér den aktuelle ISO-konfigurationsfil.

  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

    For at lukke opsætningsværktøjet skal du taste CTRL+C.

  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

2

Hvis du kun har én HDS-knude kørende, skal du oprette en ny hybrid-datasikkerhedstjeneste og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. For mere detaljerede vejledninger, se Opret og tilmeld flere knudepunkter.

  1. Installer HDS-hosten OVA.

  2. Opsæt HDS-VM'en.

  3. Tilslut den opdaterede konfigurationsfil.

  4. Tilmeld den nye knude i Partner Hub.

3

For eksisterende HDS-noder, der kører den ældre konfigurationsfil, skal du tilslutte ISO-filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, inden du slår den næste knude fra:

  1. Slå den virtuelle maskine fra.

  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  3. Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

  4. Markér Forbind med tilsluttet strøm.

  5. Gem dine ændringer, og tænd for den virtuelle maskine.

4

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Slå blokeret ekstern DNS-opløsnings tilstand fra

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. Hvis knudens DNS-server ikke kan løse offentlige DNS-navne, går knuden automatisk i blokeret ekstern DNS-opløsnings tilstand.

Hvis dine knuder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du slå denne tilstand fra ved at køre proxy forbindelsestesten igen på hver knude.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine knuder kan kommunikere med dem.
1

I en webbrowser skal du åbne hybrid-datasikkerhedstjeneste nodegrænsefladen (f.eks. IP-adresse/opsætning, https://192.0.2.0/setup), indtaste administratorlegitimationsoplysningerne, du opsætter for noden, og derefter klikke på Log ind.

2

Gå til Oversigt (standardsiden).

Når den er aktiveret, er blokeret ekstern DNS-opløsning indstillet til Ja.

3

Gå til siden Trust store & proxy .

4

Klik på Kontroller proxy forbindelse.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke blev gennemført, var knuden ikke i stand til at nå DNS-serveren og vil forblive i denne tilstand. Ellers skal blokerede ekstern DNS-opløsning indstilles til Nej, når du genstarter knuden og går tilbage til oversigtssiden.

Næste trin

Gentag proxy forbindelsestesten på hver knude i din hybrid-datasikkerheds gruppe.

Fjern et knudepunkt

Brug denne procedure til at fjerne en hybrid-datasikkerhedstjeneste fra Webex Cloud. Når du fjerner noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært og slukke for den virtuelle maskine.

2

Fjern knuden:

  1. Log ind på Partner Hub, og vælg derefter Tjenester.

  2. På hybrid-datasikkerhedskortet skal du klikke på Se alle for at få vist siden Hybrid-datasikkerhedsressourcer.

  3. Vælg din klynge for at få vist oversigtspanelet.

  4. Klik på den node, du vil fjerne.

  5. Klik på Fjern registrering af denne node på panelet, der vises til højre

  6. Du kan også afmelde noden ved at klikke… på højre side af noden og vælge Fjern denne node.

3

Slet VM'en i vSphere-klienten. (Højreklik på VM'en i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM'en, skal du huske at afmontere konfigurations-ISO-filen. Uden ISO-filen kan du ikke bruge VM'en til at få adgang til dine sikkerhedsdata.

Katastrofegendannelse ved hjælp af standby-datacenter

Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye anmodninger om nøgleoprettelse til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den har oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

Da klyngen udfører den kritiske funktion med at levere disse nøgler, er det afgørende, at klyngen fortsat kører, og at der opretholdes korrekte sikkerhedskopieringer. Tab af hybrid-datasikkerhedsdatabasen eller af den konfigurations-ISO, der bruges til skemaet, vil medføre tab AF KUNDEINDHOLD, der ikke kan genoprettes. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter ikke er tilgængelig, skal du følge denne procedure for manuelt at foretage failover til standby-datacenteret.

Før du begynder

Fjern registreringen af alle knuder fra Partner Hub som nævnt i Fjern en knude. Brug den seneste ISO-fil, der blev konfigureret i forhold til noderne for den klynge, der tidligere var aktiv, til at udføre den failover-procedure, der er nævnt nedenfor.
1

Start HDS-opsætningsværktøjet, og følg trinene nævnt i Opret en konfigurations-ISO for HDS-værter.

2

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

3

Lav en sikkerhedskopi af ISO-filen på dit lokale system. Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

4

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

5

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg ISO-fil i datalagring.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knudepunkterne er startet.

6

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

7

Tilmeld knuden i Partner Hub. Se Tilmeld den første node i klyngen.

8

Gentag processen for hver node i standby-datacenteret.

Næste trin

Hvis det primære datacenter efter failover bliver aktivt igen, skal du fjerne registreringen af noderne i standby-datacenteret og gentage processen med at konfigurere ISO og registrere noder i det primære datacenter som nævnt ovenfor.

(Valgfrit) Afmonter ISO efter HDS-konfiguration

Standard-HDS-konfigurationen kører med ISO monteret. Men nogle kunder foretrækker ikke at lade ISO-filer være monteret kontinuerligt. Du kan afmontere ISO-filen, når alle HDS-knuder henter den nye konfiguration.

Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine knudepunkter har hentet konfigurationsændringerne, kan du afmontere ISO'en igen med denne procedure.

Før du begynder

Opgrader alle dine HDS-knuder til version 2021.01.22.4720 eller nyere.

1

Luk en af dine HDS-knudepunkter.

2

Vælg HDS-noden i vCenter-serverenheden.

3

Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af ISO-fil i datalagring.

4

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 20 minutter.

5

Gentag for hver HDS-knude ad gangen.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

En hybrid-datasikkerhedsudrulning anses for ikke at være tilgængelig, hvis alle knuder i klyngen er utilgængelige, eller klyngen arbejder så langsomt, at anmodninger om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

  • Nye rum kan ikke oprettes (nye nøgler kan ikke oprettes)

  • Meddelelser og rumtitler kan ikke dekrypteres for:

    • Nye brugere føjet til et rum (kunne ikke hente tasterne)

    • Eksisterende brugere i et rum, der bruger en ny klient (kan ikke hente tasterne)

  • Eksisterende brugere i et rum fortsætter med at køre, så længe deres klienter har en cache med krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og adresserer eventuelle advarsler med det samme for at undgå afbrydelse af tjenesten.

Varsler

Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Partner Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varsler dækker mange almindelige scenarier.

Tabel 1. Almindelige problemer og trin til at løse dem

Varsel

Handling

Fejl ved lokal databaseadgang.

Kontrollér, om der er databasefejl eller problemer med lokale netværk.

Fejl i forbindelse med lokal database.

Kontrollér, at databaseserveren er tilgængelig, og at de rigtige tjenestekontolegitimationsoplysninger blev brugt i nodekonfigurationen.

Fejl i adgang til cloudtjeneste.

Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i Krav til ekstern forbindelse.

Fornyelse af registrering af cloudtjeneste.

Tilmelding til cloudtjenester blev afbrudt. Fornyelse af registrering er i gang.

Registrering af cloudtjeneste blev afbrudt.

Tilmelding til cloudtjenester blev afsluttet. Tjenesten er ved at lukke.

Tjenesten er endnu ikke aktiveret.

Aktivér HDS i Partner Hub.

Det konfigurerede domæne stemmer ikke overens med servercertifikatet.

Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den indledende opsætning.

Kunne ikke godkende cloudtjenester.

Kontrollér nøjagtigheden og mulig udløb af legitimationsoplysninger for tjenestekontoen.

Kunne ikke åbne fil med lokal nøglelager.

Kontrollér, om der er integritet og adgangskodenøjagtighed i den lokale nøglecenterfil.

Lokalt servercertifikat er ugyldigt.

Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en pålidelig certifikatmyndighed.

Kan ikke sende målinger.

Kontrollér lokal netværksadgang til eksterne cloudtjenester.

/media/configdrive/hds-mappen findes ikke.

Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at blive monteret ved genstart, og at den monteres korrekt.

Opsætning af lejerorganisation er ikke fuldført for de tilføjede organisationer

Fuldfør opsætningen ved at oprette CMK'er for nyligt tilføjede lejerorganisationer ved hjælp af HDS-opsætningsværktøjet.

Opsætning af lejerorganisation er ikke fuldført for de fjernede organisationer

Fuldfør opsætningen ved at tilbagekalde CMK'er for lejerorganisationer, der blev fjernet ved hjælp af HDS-opsætningsværktøjet.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybrid-datasikkerhed.
1

Gennemgå Partner Hub for eventuelle varsler, og ret eventuelle elementer, du finder der. Se billedet nedenfor for reference.

2

Gennemgå syslog-serverens output for aktivitet fra hybrid-datasikkerhedsudrulningen. Filtrer efter ord som "Advarsel" og "Fejl" for at hjælpe med fejlfinding.

3

Kontakt Cisco-support.

Andre bemærkninger

Kendte problemer med hybrid-datasikkerhed

  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Partner Hub eller ved at lukke alle knudepunkter), mister din konfigurations-ISO-fil eller mister adgang til nøglelagerdatabasen, kan Webex-appbrugere i kundeorganisationer ikke længere bruge rum på deres personliste, der blev oprettet med nøgler fra din KMS. Vi har ikke en løsning eller løsning på dette problem i øjeblikket og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, opretholder denne forbindelse i en tidsperiode (sandsynligvis en time).

Brug OpenSSL til at generere en PKCS12-fil

Før du begynder

  • OpenSSL er et værktøj, der kan bruges til at gøre PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre dette på, og vi støtter ikke eller fremmer ikke den ene vej frem for den anden.

  • Hvis du vælger at bruge OpenSSL, leverer vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509-certifikatkravene i X.509-certifikatkrav. Forstå disse krav, før du fortsætter.

  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for softwaren og dokumentationen.

  • Opret en privat nøgle.

  • Start denne procedure, når du modtager servercertifikatet fra dit CA.

1

Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

2

Vis certifikatet som tekst, og bekræft detaljerne.

openssl x509 -tekst -noout -i hdsnode.pem

3

Brug et tekstredigeringsprogram til at oprette en certifikatbundle-fil, der hedder hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rod-CA-certifikaterne i nedenstående format:

-----begynd certifikat------ ### Servercertifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Mellemliggende CA-certifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Rodnøglecentercertifikat. ### -----afslut certifikat------

4

Opret .p12-filen med det venlige navn kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollér servercertifikatoplysningerne.

  1. openssl pkcs12 - i hdsnode.p12

  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den vises i outputtet. Bekræft derefter, at den private nøgle og det første certifikat indeholder linjerne friendlyName: kms-private-nøgle.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Indtast importadgangskode: MAC-verificerede OK-taskeattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøgleattributter:  Indtast PEM-adgangsfrase: Bekræftelse – indtast PEM-adgangsfrase: -----BEGYND KRYPTERET PRIVAT NØGLE-----  -----END KRYPTERET PRIVAT NØGLE----- Poseattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Poseattributter friendlyName: CN=Lad os kryptere myndighed X3,O=Lad os kryptere,C=US subject=/C=US/O=Lad os kryptere myndighed X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT-----  -----END CERTIFIKAT-----

Næste trin

Vend tilbage til Fuldfør forudsætningerne for hybrid-datasikkerhed. Du skal bruge filen hdsnode.p12 og adgangskoden, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-noderne og skyen

Trafik for indsamling af udgående målinger

Hybrid-datasikkerhedstjeneste sender visse målinger til Webex Cloud. Disse omfatter systemmålinger for maks. heap, brugt heap, CPU-belastning og trådtælling, målinger på synkroniserede og asynkrone tråde, målinger på varsler, der involverer en tærskel for krypteringsforbindelser, ventetid eller længde på en anmodningskø, målinger på datalageret og målinger af krypteringsforbindelser. Knuderne sender krypteret nøglemateriale over en ikke-båndkanal (adskilt fra anmodningen).

Indgående trafik

Hybrid-datasikkerhedstjeneste noder modtager følgende typer indgående trafik fra Webex-cloud:

  • Krypteringsanmodninger fra klienter, som distribueres af krypteringstjenesten

  • Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer for hybrid-data sikkerhed

WebSocket kan ikke oprette forbindelse via Squid-Proxy

Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:)-forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af squid til at ignorere WSS: trafik til korrekt funktion af tjenesterne.

Squid 4 og 5

Føj on_unsupported_protocol direktivet til squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi har testet hybrid-data sikkerhed med følgende regler tilføjet til squid. conf. Disse regler er underlagt ændringer, når vi udviklerfunktioner og opdaterer Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kviksølv-forbindelse ssl_bump splitte wssMercuryConnection acl trin1 at_step SslBump1 acl trin2 at_step SslBump2 acl trin3 at_step SslBump3 ssl_bump smugkig trin1 alle ssl_bump kig trin2 alle ssl_bump bump trin3 alle

Nye og ændrede oplysninger

Nye og ændrede oplysninger

Denne tabel dækker nye funktioner eller funktionalitet, ændringer af eksisterende indhold og eventuelle større fejl, der blev rettet i Udrulningsvejledningen for datasikkerhed med flere lejere.

Dato

Der er foretaget ændringer

15. januar 2025

Tilføjede begrænsninger for hybrid-datasikkerhed for flere lejere.

8. januar 2025

Tilføjede en bemærkning i Udfør indledende opsætning og download installationsfiler , der angiver, at klik på Opsætning på HDS-kortet i Partner Hub er et vigtigt trin i installationsprocessen.

7. januar 2025

Opdaterede krav til virtuel vært, opgavestrøm til implementering af hybrid-datasikkerhed og installer HDS-vært OVA for at vise nye krav til ESXi 7.0.

13. december 2024

Første gang udgivet.

Deaktiver hybrid-datasikkerhed for flere lejere

Opgavestrøm til deaktivering af HDS med flere lejere

Følg disse trin for at deaktivere HDS med flere lejere fuldstændigt.

Før du begynder

Denne opgave bør kun udføres af en partneradministrator med alle rettigheder.
1

Fjern alle kunder fra alle dine klynger, som nævnt i Fjern lejerorganisationer.

2

Tilbagekald alle kunders CMK'er som nævnt i Tilbagekald CMK'er for lejere, der er fjernet fra HDS..

3

Fjern alle knuder fra alle dine klynger, som nævnt i Fjern en knude.

4

Slet alle dine klynger fra Partner Hub ved hjælp af en af følgende to metoder.

  • Klik på den klynge, du vil slette, og vælg Slet denne klynge i øverste højre hjørne af oversigtssiden.
  • På siden Ressourcer skal du klikke på… i højre side af en klynge og vælge Fjern klynge.
5

Klik på fanen Indstillinger på oversigtssiden for hybrid-datasikkerhed, og klik på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybrid-datasikkerhed for flere lejere

Oversigt over hybrid-datasikkerhed for flere lejere

Fra første dag har datasikkerhed været det primære fokus i designet af Webex-appen. Hjørnestenen i denne sikkerhed er slutpunkt-til-slutpunkt-kryptering af indhold, der er aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

Som standard får alle Webex-appkunder kryptering fra slutpunkt-til-slutpunkt med dynamiske nøgler, der er gemt i Cloud KMS i Ciscos sikkerhedsdomæne. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.

Multi-tenant hybrid-datasikkerhed gør det muligt for organisationer at udnytte HDS via en betroet lokal partner, der kan fungere som tjenesteudbyder og administrere kryptering på stedet og andre sikkerhedstjenester. Denne opsætning giver partnerorganisationen mulighed for at have fuld kontrol over installation og administration af krypteringsnøgler og sikrer, at brugerdata i kundeorganisationer er sikre mod ekstern adgang. Partnerorganisationer konfigurerer HDS-forekomster og opretter HDS-klynger efter behov. Hver forekomst kan understøtte flere kundeorganisationer i modsætning til en almindelig HDS-udrulning, der er begrænset til en enkelt organisation.

Selvom partnerorganisationer har kontrol over installation og administration, har de ikke adgang til data og indhold, der er genereret af kunder. Denne adgang er begrænset til kundeorganisationer og deres brugere.

Dette giver også mindre organisationer mulighed for at udnytte HDS, da nøgleadministrationsservice og sikkerhedsinfrastruktur såsom datacentre ejes af den betroede lokale partner.

Sådan giver hybriddatasikkerhed med flere lejere datasuverænitet og datakontrol

  • Brugergenereret indhold er beskyttet mod ekstern adgang, f.eks. cloudtjenesteudbydere.
  • Lokale betroede partnere administrerer krypteringsnøglerne for kunder, som de allerede har et etableret forhold til.
  • Valgmulighed for lokal teknisk support, hvis den leveres af partneren.
  • Understøtter indhold i møder, meddelelser og opkald.

Dette dokument er beregnet til at hjælpe partnerorganisationer med at opsætte og administrere kunder under et hybrid-datasikkerhedssystem med flere lejere.

Begrænsninger for hybrid-datasikkerhed for flere lejere

  • Partnerorganisationer må ikke have nogen eksisterende HDS-udrulning aktiv i Control Hub.
  • Lejer- eller kundeorganisationer, der ønsker at blive administreret af en partner, må ikke have nogen eksisterende HDS-udrulning i Control Hub.
  • Når multilejer-HDS er installeret af partneren, begynder alle brugere i kundeorganisationer samt brugere i partnerorganisationen at bruge multilejer-HDS til deres krypteringstjenester.

    Partnerorganisationen og kundeorganisationer, som de administrerer, vil være på den samme HDS-udrulning med flere lejere.

    Partnerorganisationen vil ikke længere bruge cloud-KMS, når multi-tenant-HDS er installeret.

  • Der er ingen mekanisme til at flytte nøgler tilbage til Cloud-KMS efter en HDS-installation.
  • I øjeblikket kan hver HDS-installation med flere lejere kun have én klynge med flere knudepunkter under den.
  • Administratorroller har visse begrænsninger. Se afsnittet nedenfor for at få flere oplysninger.

Roller i hybrid-datasikkerhed for flere lejere

  • Partneradministrator med fulde rettigheder – kan administrere indstillinger for alle kunder, som partneren administrerer. Kan også tildele administratorroller til eksisterende brugere i organisationen og tildele specifikke kunder, der skal administreres af partneradministratorer.
  • Partneradministrator – kan administrere indstillinger for kunder, som administratoren klargjorde, eller som er blevet tildelt brugeren.
  • Fuld administrator – administrator for partnerorganisationen, der er autoriseret til at udføre opgaver såsom at ændre organisationsindstillinger, administrere licenser og tildele roller.
  • Opsætning og administration af HDS med flere lejere fra slutpunkt til slutpunkt for alle kundeorganisationer – fuld administrator og fulde administratorrettigheder er påkrævet.
  • Administration af tildelte lejerorganisationer – partneradministrator og fulde administratorrettigheder er påkrævet.

Arkitektur for sikkerhedsdomæne

Webex Cloud-arkitekturen opdeler forskellige typer tjenester i separate domæner eller tillidsdomæner, som vist nedenfor.

Områder for adskillelse (uden hybrid-datasikkerhed)

For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-områder. Identitetstjenesten, som er det eneste sted, hvor brugere kan være direkte korreleret med deres personlige oplysninger såsom e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsdomænet i datacenter B. Begge er adskilt fra det domæne, hvor krypteret indhold i sidste ende gemmes, i datacenter C.

I dette diagram kører klienten Webex-appen på en brugers bærbare computer og er godkendt med identitetstjenesten. Når brugeren opretter en meddelelse, der skal sendes til et rum, udføres følgende trin:

  1. Klienten opretter en sikker forbindelse til KMS (key management service) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

  2. Meddelelsen krypteres, før den forlader klienten. Klienten sender det til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe fremtidige søgninger efter indholdet.

  3. Den krypterede meddelelse sendes til overholdelsestjenesten for overensstemmelseskontrol.

  4. Den krypterede meddelelse gemmes i lagerdomænet.

Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsressourcefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitets- og indholdslagring), forbliver i Ciscos domæner.

Samarbejde med andre organisationer

Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi det blev oprettet af en af dine brugere), sender dit KMS nøglen til klienten over en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, sender din KMS anmodningen ud til Webex Cloud via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

Den KMS-tjeneste, der kører på organisation A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for oplysninger om generering af et x.509-certifikat til brug med din multi-tenant hybrid-datasikkerhedsudrulning.

Forventninger til implementering af hybrid-datasikkerhed

En hybrid-datasikkerhedsudrulning kræver betydelig engagement og opmærksomhed om de risici, der følger med at eje krypteringsnøgler.

For at implementere hybrid-datasikkerhed skal du angive:

Komplet tab af enten den konfigurations-ISO, du opretter til hybrid-datasikkerhed, eller den database, du leverer, vil medføre tab af nøgler. Tabet af nøgler forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du oprette en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

  • Administrer sikkerhedskopiering og gendannelse af databasen og konfigurations-ISO.

  • Vær forberedt på at udføre hurtig katastrofegenoprettelse, hvis der opstår en katastrofe, såsom databasediskfejl eller datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætningen og administrationen af en multi-tenant hybrid-datasikkerhedsudrulning:

  • Opsæt hybrid-datasikkerhed – dette omfatter forberedelse af nødvendig infrastruktur og installation af hybrid-datasikkerhedssoftware, opbygning af en HDS-klynge, tilføjelse af lejerorganisationer til klyngen og administration af deres kundehovednøgler (CMK'er). Dette gør det muligt for alle brugere i dine kundeorganisationer at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

    Opsætnings-, aktiverings- og administrationsfaserne er beskrevet i detaljer i de næste tre kapitler.

  • Vedligehold din hybrid-datasikkerhedsudrulning – Webex Cloud leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde support på niveau et for denne udrulning og bruge Cisco-support efter behov. Du kan bruge underretninger på skærmen og opsætte e-mailbaserede varsler i Partner Hub.

  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du oplever problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og bilaget Kendte problemer hjælpe dig med at finde og løse problemet.

Udrulningsmodel for hybrid-datasikkerhed

I dit virksomhedsdatacenter installerer du hybrid-datasikkerhed som en enkelt klynge af noder på separate virtuelle værter. Noderne kommunikerer med Webex Cloud via sikre websockets og sikker HTTP.

Under installationsprocessen giver vi dig OVA-filen til at konfigurere den virtuelle enhed på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugertilpasset ISO-fil til klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din angivne Syslogd-server- og PostgreSQL- eller Microsoft SQL-serverdatabase. (Du kan konfigurere oplysninger om Syslogd og databaseforbindelse i HDS-opsætningsværktøjet).

Udrulningsmodel for hybrid-datasikkerhed

Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre pr. klynge. At have flere knudepunkter sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex Cloud opgraderer kun én knude ad gangen).

Alle knuder i en klynge har adgang til det samme nøgledatalager og logaktivitet til den samme syslog-server. Noderne er i sig selv statsløse og håndterer vigtige anmodninger på round-robin-måde, som dirigeret af skyen.

Knudepunkter bliver aktive, når du tilmelder dem i Partner Hub. Hvis du vil tage en individuel knude ud af drift, kan du framelde den og senere registrere den igen, hvis det er nødvendigt.

Standby-datacenter til gendannelse efter nedbrud

Under installationen konfigurerer du et sikkert standbydatacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standby-datacenteret.

Før failover har datacenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-database, mens B har en kopi af ISO-filen med yderligere konfigurationer, VM'er, der er registreret i organisationen, og en standbydatabase. Efter failover har datacenter B aktive HDS-noder og den primære database, mens A har ikke-registrerede VM'er og en kopi af ISO-filen, og databasen er i standbytilstand.
Manuel failover til standby-datacenter

Databaserne for de aktive datacentre og standby-datacentre er synkroniseret, hvilket minimerer den tid, det tager at udføre failover.

De aktive hybrid-datasikkerhedstjeneste skal altid være i det samme datacenter som den aktive databaseserver.

Proxy-support

Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.

Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:

  • Ingen proxy – standard, hvis du ikke bruger HDS-nodens konfiguration af tillidslager og proxykonfiguration til at integrere en proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig ikke-kontrollerende proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve ændringer for at fungere med en ikke-kontrollerende proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig tunneling eller inspektion af proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

  • Eksplicit proxy – Med eksplicit proxy fortæller du HDS-knuderne, hvilken proxyserver og godkendelsesplan de skal bruge. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

      • HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.

      • HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

Eksempel på hybrid-data sikkerheds knuder og proxy

Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.

Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.

Forbered dit miljø

Krav til hybrid-datasikkerhed for flere lejere

Cisco Webex-licenskrav

Sådan udrulles hybriddatasikkerhed for flere lejere:

  • Partnerorganisationer: Kontakt din Cisco-partner eller kontoadministrator, og sørg for, at funktionen med flere lejere er aktiveret.

  • Lejerorganisationer: Du skal have Pro Pack til Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker Desktop

Før du installerer dine HDS-knuder, skal du bruge Docker Desktop til at køre et opsætningsprogram. Docker har for nylig opdateret sin licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".

X.509 Certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 Certifikatkrav til hybrid-datasikkerhedsudrulning

Krav

Detaljer

  • Underskrevet af et pålideligt nøglecenter (CA)

Som standard stoler vi på nøglecentererne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et CN-domænenavn (Common Name), der identificerer din hybrid-datasikkerhedsudrulning

  • Er ikke et jokertegn

CN behøver ikke at kunne kontaktes eller være en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

CN må ikke indeholde et * (jokertegn).

CN bruges til at bekræfte hybrid-datasikkerhedsknuderne for Webex-appklienter. Alle hybrid-datasikkerhedstjeneste noder i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

Når du har registreret en node med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet.

  • Ikke-SHA1-signatur

KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

  • Brug det venlige navn på kms-private-key til at tagge certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal uploades.

Du kan bruge en konverter såsom OpenSSL til at ændre certifikatets format.

Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

KMS-softwaren håndhæver ikke nøglebrug eller udvidede begrænsninger for nøglebrug. Nogle certifikatmyndigheder kræver, at der anvendes udvidede begrænsninger for nøglebrug for hvert certifikat, f.eks. servergodkendelse. Det er i orden at bruge servergodkendelse eller andre indstillinger.

Krav til virtuel vært

De virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste noder i din klynge, har følgende krav:

  • Mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter

  • VMware ESXi 7.0 (eller nyere) installeret og kører.

    Du skal opgradere, hvis du har en tidligere version af ESXi.

  • Mindst 4 vCPU'er, 8 GB primær hukommelse, 30 GB lokal harddiskplads pr. server

Krav til databaseserver

Opret en ny database til nøglelager. Brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene til hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installeret og kører.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installeret.

    SQL Server 2016 kræver Service Pack 2 og kumulativ opdatering 2 eller nyere.

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

JDBC-driver 4.6 til SQL Server

Denne driverversion understøtter SQL Server altid slået til ( Altid på failover-klyngeforekomster og Altid på tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse i forhold til Microsoft SQL Server

Hvis du ønsker, at HDS-noder skal bruge Windows-godkendelse til at få adgang til din keystore-database på Microsoft SQL Server, skal du bruge følgende konfiguration i dit miljø:

  • HDS-knuderne, Active Directory-infrastrukturen og MS SQL Server skal alle synkroniseres med NTP.

  • Den Windows-konto, du angiver til HDS-noder, skal have læse-/skriveadgang til databasen.

  • De DNS-servere, du angiver til HDS-noder, skal kunne løse dit Key Distribution Center (KDC).

  • Du kan registrere HDS-databaseforekomsten på din Microsoft SQL Server som et Service Principal Name (SPN) i din Active Directory. Se Registrer et tjenestehovednavn for Kerberos-forbindelser.

    HDS-opsætningsværktøjet, HDS-startfunktionen og lokal KMS skal alle bruge Windows-godkendelse til at få adgang til nøglelagerdatabasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når der anmodes om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelser for HDS-programmerne:

Applikation

Protokol

Port

Retning fra appen

Destination

Hybrid-datasikkerhedstjeneste

TCP

443

Udgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-værter

  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser til Webex Hybrid-tjenester med Netværkskrav til Webex-tjenester

HDS-opsætningsværktøj

TCP

443

Udgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-værter

  • hub.docker.com

Hybrid-datasikkerhedstjeneste fungerer med NAT (network access translation) eller bag en firewall, så længe NAT eller firewall tillader de påkrævede udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går indgående til hybrid-datasikkerhedstjeneste, må ingen porte være synlige fra internettet. I dit datacenter skal klienter have adgang til hybrid-datasikkerhedsknuderne på TCP-portene 443 og 22 af administrative årsager.

URL-adresser til Common Identity (CI)-værter er områdespecifikke. Disse er de aktuelle CI-værter:

Område

URL-adresser til fælles identitet

Nord-, Mellem- og Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

EU

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Forenede Arabiske Emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy server krav

  • Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.

    • Gennemsigtig proxy – Cisco web Security-Appliance (WSA).

    • Eksplicit proxy-squid.

      Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket-forbindelser (wss:). Hvis du vil undgå dette problem, kan du se Konfigurer Squid-proxyer til hybrid-datasikkerhed.

  • Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:

    • Ingen godkendelse med HTTP eller HTTPS

    • Grundlæggende godkendelse med HTTP eller HTTPS

    • Samlet godkendelse kun med HTTPS

  • For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.

  • Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

  • Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil tilsidesættelse af trafik til wbx2.com og ciscospark.com løse problemet.

Udfyld forudsætningerne for hybrid-datasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
1

Sørg for, at din partnerorganisation har multilejer-HDS-funktionen aktiveret, og få legitimationsoplysningerne for en konto med partnerfuld administrator og fulde administratorrettigheder. Sørg for, at din Webex-kundeorganisation er aktiveret til Pro Pack til Cisco Webex Control Hub. Kontakt din Cisco-partner eller -kontoadministrator for at få hjælp til denne proces.

Kundeorganisationer bør ikke have nogen eksisterende HDS-udrulning.

2

Vælg et domænenavn til din HDS-udrulning (for eksempel hds.company.com), og få en certifikatkæde, der indeholder et X.509-certifikat, en privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 Certifikatkrav.

3

Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste i din klynge. Du skal bruge mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter, som opfylder kravene i Krav til virtuel vært.

4

Forbered den databaseserver, der vil fungere som nøgledatalageret for klyngen i henhold til kravene til databaseserver. Databaseserveren skal være placeret i det sikre datacenter med de virtuelle værter.

  1. Opret en database til nøglelager. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.)

  2. Indsaml de oplysninger, som noderne skal bruge til at kommunikere med databaseserveren:

    • værtsnavnet eller IP-adressen (vært) og porten

    • navnet på databasen (dbname) til nøglelagring

    • brugernavnet og adgangskoden for en bruger med alle privilegier på nøglelagerdatabasen

5

For hurtig katastrofegenoprettelse skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Sikkerhedskopieringsmiljøet afspejler produktionsmiljøet for VM'er og en sikkerhedskopieret databaseserver. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er.

6

Konfigurer en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Hent dens netværksadresse og syslog-port (standard er UDP 514).

7

Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedstjeneste, databaseserveren og syslog-værten. For at forhindre, at der ikke kan genoprettes tab af data, skal du som minimum sikkerhedskopiere databasen og konfigurationsfilen, der er genereret til hybrid-datasikkerhedstjeneste.

Da hybrid-datasikkerhedstjeneste gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operativ installation medføre UOPRETTELIG TAB af dette indhold.

Webex-appklienter cachelagrer deres nøgler, så et udfald vil muligvis ikke blive bemærket med det samme, men vil blive tydeligt med tiden. Selv om midlertidige afbrydelser ikke kan forhindres, kan de genoprettes. Men komplet tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller konfigurationsfilen vil resultere i, at kundedata ikke kan genoprettes. Operatørerne af hybrid-datasikkerhedstjeneste forventes at opretholde hyppige sikkerhedskopieringer af databasen og ISO-konfigurationsfilen og være forberedt på at genopbygge hybrid-datasikkerhedstjeneste-datacenteret, hvis der opstår en katastrofal fejl.

8

Sørg for, at din firewall-konfiguration tillader tilslutning til dine hybrid-datasikkerhedsknuder som beskrevet i Krav til ekstern tilslutning.

9

Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

Du kan bruge Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opretter de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedstjeneste. Du skal muligvis have en Docker Desktop-licens. Se Krav til Docker-desktop for yderligere oplysninger.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have forbindelsen beskrevet i Krav til ekstern forbindelse.

10

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder kravene til proxyserver.

Opsæt en hybrid-datasikkerhedsklynge

Opgavestrøm til installation af hybrid-datasikkerhed

Før du begynder

1

Udfør indledende opsætning og download installationsfiler

Download OVA-filen til din lokale maskine til senere brug.

2

Opret en konfigurations-ISO for HDS-værter

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedstjeneste.

3

Installer HDS-værts-OVA

Opret en virtuel maskine fra OVA-filen, og udfør indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

4

Opsæt VM for hybrid-datasikkerhed

Log på VM-konsollen, og indstil logonlegitimationsoplysningerne. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

5

Overfør og monter HDS-konfigurations-ISO

Konfigurer VM'en fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

6

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og føje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

7

Tilmeld den første knude i klyngen

Tilmeld VM'en med Cisco Webex Cloud som en hybrid-datasikkerhedstjeneste.

8

Opret og tilmeld flere knudepunkter

Fuldfør klyngeopsætningen.

9

Aktivér HDS med flere lejere på Partner Hub.

Aktivér HDS, og administrer lejerorganisationer i Partner Hub.

Udfør indledende opsætning og download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du har konfigureret som hybrid-datasikkerhedsknuder). Du bruger denne fil senere i installationsprocessen.

1

Log ind på Partner Hub, og klik derefter på Tjenester.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og derefter klikke på Opsæt.

Klik på Opsæt i Partner Hub er afgørende for installationsprocessen. Fortsæt ikke med installationen uden at fuldføre dette trin.

3

Klik på Tilføj en ressource , og klik på Download .OVA-fil på kortet Installer og konfigurer software .

Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan medføre problemer under opgradering af applikationen. Sørg for at downloade den seneste version af OVA-filen.

Du kan også downloade OVA'en når som helst fra afsnittet Hjælp . Klik på Indstillinger > Hjælp > Download hybrid-datasikkerhedssoftware.

OVA-filen begynder automatisk at blive downloadet. Gem filen på en placering på din maskine.
4

Du kan også klikke på Se udrulningsvejledning til hybrid-datasikkerhed for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder
1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import har du følgende valgmuligheder:

  • Nej – Hvis du opretter din første HDS-node, har du ikke en ISO-fil, der skal uploades.
  • Ja – Hvis du allerede har oprettet HDS-noder, så vælger du din ISO-fil i browseren og overfører den.
10

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkrav.

  • Hvis du aldrig har overført et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
  • Hvis dit certifikat er ok, skal du klikke på Fortsæt.
  • Hvis dit certifikat er udløbet, eller du vil udskifte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Overfør et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
11

Indtast databaseadressen og -kontoen for HDS for at få adgang til dit nøgledatalager:

  1. Vælg din databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du vælger Microsoft SQL Server, får du et felt til godkendelsestype.

  2. (Kun Microsoft SQL Server ) Vælg din godkendelsestype:

    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL Server-kontonavn i feltet Brugernavn .

    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet brugernavn@DOMÆNE i feltet Brugernavn .

  3. Indtast databaseserveradressen i formatet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at fortolke værtsnavnet.

    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

  4. Indtast databasenavnet.

  5. Indtast Brugernavn og Adgangskode for en bruger med alle privilegier på nøglelagerdatabasen.

12

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretræk TLS (standardvalgmulighed)

HDS-noder kræver ikke TLS for at tilslutte til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræv TLS

HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

Kræv TLS, og bekræft certifikatcertifikatstegner

Denne tilstand gælder ikke for SQL Server-databaser.

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Kræv TLS, og bekræft certifikatvært og værtsnavn

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og -port . Navnene skal passe præcist, ellers vil knudepunktet falde i forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Når du overfører rodcertifikatet (om nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis etablere TLS-forbindelsen, selvom maskinen til HDS-opsætningsværktøjet ikke kan teste den).

13

På siden Systemlogfiler skal du konfigurere din Syslogd-server:

  1. Indtast URL-adressen til syslog-serveren.

    Hvis serveren ikke kan DNS-løses fra noderne til din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse såsom tcp://10.92.43.23:514.

  3. Fra rullegardinmenuen Vælg afslutning af syslog-post skal du vælge den relevante indstilling for din ISO-fil: Vælg, eller linjeskift bruges til Graylog og Rsyslog TCP

    • Ingen byte -- \x00

    • Nylinje -- \n– Vælg denne valgmulighed for Graylog og Rsyslog TCP.

  4. Klik på Fortsæt.

14

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klik på Fortsæt på skærmen Nulstil tjenestekontoadgangskode .

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder er ved at udløbe, eller du vil nulstille dem til at ugyldiggøre tidligere ISO-filer.

16

Klik på Download ISO-fil. Gem filen på en placering, der er nem at finde.

17

Lav en sikkerhedskopi af ISO-filen på dit lokale system.

Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

18

For at lukke opsætningsværktøjet skal du taste CTRL+C.

Næste trin

Sikkerhedskopier ISO-konfigurationsfilen. Du skal bruge den til at oprette flere knudepunkter til genoprettelse eller til at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din PostgreSQL- eller Microsoft SQL Server-database.

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værts-OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært.

2

Vælg Fil > Implementer OVF-skabelon.

3

I guiden skal du angive placeringen af OVA-filen, som du downloadede tidligere, og derefter klikke på Næste.

4

På siden Vælg et navn og en mappe skal du indtaste et virtuelt maskinnavn for noden (for eksempel "HDS_Node_1"), vælge en placering, hvor udrulningen af noden til den virtuelle maskine kan ligge, og derefter klikke på Næste.

5

På siden Vælg en beregningsressource skal du vælge destinationsberegningsressourcen og derefter klikke på Næste.

En valideringskontrol kører. Når den er færdig, vises skabelonoplysningerne.

6

Bekræft skabelonoplysningerne, og klik derefter på Næste.

7

Hvis du bliver bedt om at vælge ressourcekonfiguration på siden Konfiguration , skal du klikke på 4 CPU og derefter klikke på Næste.

8

På siden Vælg lagerplads skal du klikke på Næste for at acceptere standarddiskformatet og VM-lagerpolitikken.

9

På siden Vælg netværk skal du vælge netværksvalgmuligheden fra listen med poster for at levere den ønskede forbindelse til VM'en.

10

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

  • Værtsnavn – indtast FQDN (værtsnavn og domæne) eller et enkelt ordværtsnavn for noden.

    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

    • For at sikre en vellykket registrering til skyen skal du kun bruge små bogstaver i det FQDN eller værtsnavn, som du har indstillet for noden. Store bogstaver understøttes ikke på dette tidspunkt.

    • Den samlede længde på FQDN må ikke overstige 64 tegn.

  • IP-adresse– Indtast IP-adressen for nodens interne grænseflade.

    Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

  • Maske – indtast undernetmaskens adresse i prik-decimal notation. For eksempel 255.255.255.0.
  • Gateway – indtast gateway-IP-adressen. En gateway er en netværksknude, der fungerer som et adgangspunkt til et andet netværk.
  • DNS-servere – Indtast en kommasepareret liste over DNS-servere, som håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
  • NTP-servere – Indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. Standard-NTP-servere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at angive flere NTP-servere.

  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan kontaktes fra klienter i dit netværk af administrative årsager.

Hvis du foretrækker det, kan du springe konfigurationen af netværksindstillingerne over og følge trinnene i Opsæt hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

11

Højreklik på noden VM, og vælg derefter Tænd > Tænd.

Hybrid-datasikkerhedssoftwaren installeres som gæst på VM-værten. Du er nu klar til at logge på konsollen og konfigurere noden.

Fejlfindingstip

Du kan opleve en forsinkelse på nogle få minutter, før knudebeholderne dukker op. Der vises en meddelelse om broens firewall på konsollen under den første start, hvor du ikke kan logge ind.

Opsæt VM for hybrid-datasikkerhed

Brug denne procedure til at logge på hybrid-datasikkerhedstjeneste VM-konsollen for første gang og indstille logonlegitimationsoplysningerne. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

1

I VMware vSphere-klienten skal du vælge din hybrid-datasikkerhedstjeneste og vælge fanen Konsol .

VM'en starter, og der vises en loginmeddelelse. Hvis loginprompten ikke vises, skal du trykke på Enter.
2

Brug følgende standardlogin og -adgangskode til at logge på og ændre legitimationsoplysningerne:

  1. Login: Administrator

  2. Adgangskode: Cisco

Da du logger ind på din VM for første gang, skal du ændre administratoradgangskoden.

3

Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, skal du springe resten af denne procedure over. Ellers skal du vælge valgmuligheden Rediger konfiguration i hovedmenuen.

4

Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

5

(Valgfri) Skift værtsnavnet, domænet eller NTP-serveren/-serverne, hvis det er nødvendigt for at matche din netværkspolitik.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

6

Gem netværkskonfigurationen, og genstart VM'en, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Da ISO-filen indeholder hovednøglen, bør den kun udstilles på et "need to know"-grundlag for adgang for hybrid-datasikkerhed-VM'er og alle administratorer, der kan få brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til datalageret.

1

Overfør ISO-filen fra din computer:

  1. I VMware vSphere-klientens venstre navigationsrude skal du klikke på ESXi-serveren.

  2. På fanen Konfiguration skal du klikke på Lager.

  3. På listen Datalagre skal du højreklikke på datalagret for dine VM'er og klikke på Søg i datalagre.

  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

  5. Gå til placeringen, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

  6. Klik på Ja for at acceptere advarslen om upload/download-handling, og luk datalagerdialogboksen.

2

Monter ISO-filen:

  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsmuligheder.

  3. Klik på CD/DVD-drev 1, vælg valgmuligheden for at montere fra en ISO-fil fra et datalager, og gå til placeringen, hvor du overførte ISO-konfigurationsfilen.

  4. Markér Tilsluttet og Tilslut ved tænding.

  5. Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Hvis din it-politik kræver det, kan du vælge at afmontere ISO-filen, når alle dine knudepunkter har hentet konfigurationsændringerne. Se (Valgfrit) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.

Før du begynder

1

Indtast URL-adresse til opsætning af HDS-knude https://[HDS knude IP eller FQDN]/Setup i en webbrowser, Indtast administratorens legitimationsoplysninger, som du opsætter for knudepunktet, og klik derefter på Log ind.

2

Gå til Trust store & proxy, og vælg derefter en valgmulighed:

  • Ingen proxy – standardvalgmuligheden, før du integrerer en proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig ikke-inspicerende proxy – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve nogen ændringer for at fungere med en ikke-inspicerende proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig proxy til inspektion – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-data sikkerhed, men HDS-knuder skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
  • Eksplicit proxy – Med eksplicit proxy fortæller du klienten (HDS-noder), hvilken proxyserver der skal bruges, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad dine proxyserver understøtter.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig for HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy.

3

Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen.

Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen.

4

Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen.

Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. Hvis du mener, at dette er en fejl, skal du udføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

5

Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft.

6

Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar.

Knuden genstarter inden for et par minutter.

7

Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status.

Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen.

Tilmeld den første knude i klyngen

Denne opgave tager den generiske node, som du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-cloud og omdanner den til en hybrid-datasikkerhedstjeneste.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knudepunkter, der er installeret for at give redundans.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Opsæt.

4

Klik på Tilføj en ressource på siden, der åbnes.

5

I det første felt på kortet Tilføj en knude skal du indtaste et navn på den klynge, som du vil tildele din hybrid-datasikkerhedstjeneste.

Vi anbefaler, at du navngiver en klynge ud fra, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node og klikke på Tilføj nederst på skærmen.

Denne IP-adresse eller FQDN skal svare til den IP-adresse eller værtsnavn og domæne, du brugte i Opsæt hybrid-datasikkerhed VM.

Der vises en meddelelse, der angiver, at du kan tilmelde din node til Webex.
7

Klik på Gå til knude.

Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din Webex-organisation til at få adgang til din node.

8

Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
9

Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den node, du har tilmeldt, under fanen Ressourcer . Noden vil automatisk downloade den nyeste software fra skyen.

Opret og tilmeld flere knudepunkter

For at tilføje yderligere noder til din klynge skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Opret en ny virtuel maskine fra OVA, og gentag trinnene i Installer HDS-vært-OVA.

2

Opsæt den indledende konfiguration på den nye VM, og gentag trinnene i Opsæt hybrid datasikkerhed VM.

3

På den nye VM skal du gentage trinnene i Overfør og monter HDS-konfigurations-ISO.

4

Hvis du opsætter en proxy for din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

5

Tilmeld knudepunktet.

  1. I https://admin.webex.com skal du vælge Tjenester fra menuen i venstre side af skærmen.

  2. I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Vis alle.

    Siden Hybrid-datasikkerhedsressourcer vises.

  3. Den nyoprettede klynge vises på siden Ressourcer .

  4. Klik på klyngen for at få vist de knudepunkter, der er tildelt klyngen.

  5. Klik på Tilføj en node i højre side af skærmen.

  6. Indtast den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node, og klik på Tilføj.

    Der åbnes en side med en meddelelse, der angiver, at du kan tilmelde din node til Webex-skyen. Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din organisation til at få adgang til din node.

  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.

  8. Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

    Node tilføjet pop op-meddelelse vises også nederst på skærmen i Partner Hub.

    Din knude er registreret.

Administrer lejerorganisationer om hybrid-datasikkerhed for flere lejere

Aktivér HDS med flere lejere på Partner Hub

Denne opgave sikrer, at alle brugere i kundeorganisationerne kan begynde at bruge HDS til lokale krypteringsnøgler og andre sikkerhedstjenester.

Før du begynder

Sørg for, at du har fuldført opsætningen af din HDS-klynge med flere lejere med det påkrævede antal knudepunkter.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

4

Klik på Aktivér HDSHDS-statuskortet .

Tilføj lejerorganisationer i Partner Hub

I denne opgave tildeler du kundeorganisationer til din hybrid-datasikkerhedsklynge.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

Klik på den klynge, som du vil have en kunde tildelt.

5

Gå til fanen Tildelte kunder .

6

Klik på Tilføj kunder.

7

Vælg den kunde, du vil tilføje, fra rullemenuen.

8

Klik på Tilføj. Kunden vil blive føjet til klyngen.

9

Gentag trin 6 til 8 for at føje flere kunder til din klynge.

10

Klik på Udført nederst på skærmen, når du har tilføjet kunderne.

Næste trin

Kør HDS-opsætningsværktøjet som beskrevet i Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen.

Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet

Før du begynder

Tildel kunder til den relevante klynge som beskrevet i Tilføj lejerorganisationer i Partner Hub. Kør HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen for de nyligt tilføjede kundeorganisationer.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

Sørg for, at der er forbindelse til din database for at udføre CMK-administration.
11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Opret CMK for alle organisationer eller Opret CMK – klik på denne knap på banneret øverst på skærmen for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Opret CMK'er for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på… nær CMK-administration under behandling for en bestemt organisation i tabellen, og klik på Opret CMK for at oprette CMK for den pågældende organisation.
12

Når CMK-oprettelse er gennemført, ændres statussen i tabellen fra CMK-administration under behandling til CMK-administration.

13

Hvis CMK-oprettelse ikke lykkes, vises en fejl.

Fjern lejerorganisationer

Før du begynder

Når brugere af kundeorganisationer er fjernet, kan de ikke udnytte HDS til deres krypteringsbehov og vil miste alle eksisterende rum. Før du fjerner kundeorganisationer, skal du kontakte din Cisco-partner eller -kontoadministrator.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

I fanen Ressourcer skal du klikke på den klynge, som du vil fjerne kundeorganisationer fra.

5

På siden, der åbnes, skal du klikke på Tildelte kunder.

6

Fra listen over kundeorganisationer, der vises, skal du klikke på ... i højre side af den kundeorganisation, du vil fjerne, og klikke på Fjern fra klynge.

Næste trin

Fuldfør fjernelsesprocessen ved at tilbagekalde kundeorganisationernes CMK'er som beskrevet i Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Før du begynder

Fjern kunder fra den relevante klynge som beskrevet i Fjern lejerorganisationer. Kør HDS-opsætningsværktøjet for at fuldføre fjernelsesprocessen for de kundeorganisationer, der blev fjernet.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Tilbagekald CMK for alle organisationer eller Tilbagekald CMK – klik på denne knap på banneret øverst på skærmen for at tilbagekalde CMK'er for alle organisationer, der blev fjernet.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Tilbagekald CMK'er for at tilbagekalde CMK'er fra alle organisationer, der blev fjernet.
  • Klik på nær CMK for at blive tilbagekaldt for en bestemt organisation i tabellen, og klik på Tilbagekald CMK for at tilbagekalde CMK for den specifikke organisation.
12

Når tilbagekaldelsen af CMK er gennemført, vises kundeorganisationen ikke længere i tabellen.

13

Hvis CMK-tilbagekaldelse ikke lykkes, vises en fejl.

Test din udrulning af hybrid-datasikkerhed

Test din udrulning af hybrid-datasikkerhed

Brug denne procedure til at teste scenarier for kryptering af datasikkerhed med flere lejere.

Før du begynder

  • Opsæt din datasikkerhedsudrulning for flere lejere.

  • Sørg for, at du har adgang til syslog'en for at bekræfte, at vigtige anmodninger overføres til din multi-tenant hybrid-datasikkerhedsudrulning.

1

Taster for et givet rum indstilles af opretteren af rummet. Log ind på Webex-appen som en af brugerne i kundeorganisationen, og opret derefter et rum.

Hvis du deaktiverer hybrid-datasikkerhedsudrulningen, er indhold i rum, som brugere opretter, ikke længere tilgængeligt, når de klientcachelagrede kopier af krypteringsnøglerne erstattes.

2

Send meddelelser til det nye rum.

3

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne sendes til din hybrid-datasikkerhedsudrulning.

  1. For at kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du skal finde en post som f.eks. følgende (identifikatorer forkortes for læsbarhed):
    2020-07-21 17:35:34.562 (+0000) OPLYSNINGER KMS [pool-14-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheBarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. For at kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finde en post såsom:
    2020-07-21 17:44:19.889 (+0000) OPLYSNINGER KMS [pool-14-tråd-31] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. For at kontrollere, om der er en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finde en post såsom:
    2020-07-21 17:44:21.975 (+0000) OPLYSNINGER KMS [pool-14-tråd-33] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. For at søge efter en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere efter kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finde en post såsom: 
    2020-07-21 17:44:22.808 (+0000) OPLYSNINGER KMS [pool-15-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg sundheden for hybrid-datasikkerhed

En statusindikator i Partner Hub viser dig, om alt er godt med implementeringen af hybriddatasikkerhed for flere lejere. Hvis du vil have mere proaktive varsler, skal du tilmelde dig e-mailunderretninger. Du får besked, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
1

I Partner Hub skal du vælge Tjenester i menuen til venstre på skærmen.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

Siden Indstillinger for hybrid-datasikkerhed vises.
3

I afsnittet E-mailmeddelelser skal du skrive en eller flere e-mailadresser adskilt af kommaer, og trykke på Enter.

Administrer din HDS-installation

Administrer HDS-udrulning

Brug de opgaver, der er beskrevet her, til at administrere din udrulning af hybrid-datasikkerhed.

Indstil tidsplan for klyngeopgradering

Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan indstille en specifik opgraderingsplan eller bruge standardplanen 3:00 AM Daily i USA: Amerika/Los Angeles. Du kan også vælge at udskyde en kommende opgradering, hvis det er nødvendigt.

Sådan opsættes opgraderingsplanen:

1

Log ind på Partner Hub.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt

4

Vælg klyngen på siden Hybrid-datasikkerhedsressourcer.

5

Klik på fanen Klyngeindstillinger .

6

Vælg tidspunkt og tidszone for opgraderingsplanen på siden Klyngeindstillinger under Opgraderingsplan.

Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -klokkeslæt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt med 24 timer.

Skift nodekonfigurationen

Det kan være nødvendigt at ændre konfigurationen af din Hybrid-datasikkerhedsknude af en årsag, såsom:

  • Ændring af x.509-certifikater pga. udløb eller andre årsager.

    Vi understøtter ikke ændring af CN-domænenavnet for et certifikat. Domænet skal passe med det oprindelige domæne, der bruges til at registrere klyngen.

  • Opdatering af databaseindstillinger for at ændre til en replik af PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi understøtter ikke overflytning af data fra PostgreSQL til Microsoft SQL Server, eller hvordan det kan lade sig gøre. For at skifte databasemiljøet skal du starte en ny udrulning af Hybrid-datasikkerhed.

  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Derudover bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i ni måneder. Når HDS-opsætningsværktøjet genererer disse adgangskoder, implementeres de for hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden for din maskinkonto. (E-mailen indeholder teksten "Brug maskinkonto-API'en til at opdatere adgangskoden.") Hvis dine adgangskoder endnu ikke er udløbet, giver værktøjet dig to valgmuligheder:

  • Blød nulstilling – de gamle og nye adgangskoder fungerer begge i op til 10 dage. Brug denne periode til at erstatte ISO-filen på knudepunkterne gradvist.

  • Hård nulstilling – de gamle adgangskoder holder op med at fungere med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, der kræver øjeblikkelig hard reset og udskiftning af ISO-filen på alle knudepunkter.

Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.

Før du begynder

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med partnerfulde administratorrettigheder.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når Docker-beholderen vises i 1.e. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder masternøglen, der krypterer PostgreSQL eller Microsoft SQL Server-databasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

1

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

  1. Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

    I almindelige miljøer:

    docker rmi ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

  2. For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

    docker login -u hdscustomersro

  3. I adgangskodeanmodningen skal du indtaste denne hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Download det seneste stabilt billede til dit miljø:

    I almindelige miljøer:

    docker træk ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker træk ciscocitg/hds-setup-fedramp:stabil

    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 har ikke skærmbilleder til nulstilling af adgangskode.

  5. Når træk er fuldført, indtast den relevante kommando for dit miljø:

    • I almindelige miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I FedRAMP-miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når beholderen kører, ser du "Express-serveren lytter på port 8080."

  6. Brug en browser til at tilslutte til localhost, http://127.0.0.1:8080.

    Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

  7. Når du bliver bedt om det, skal du indtaste legitimationsoplysningerne for din Partner Hub-kunde og derefter klikke på Acceptér for at fortsætte.

  8. Importér den aktuelle ISO-konfigurationsfil.

  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

    For at lukke opsætningsværktøjet skal du taste CTRL+C.

  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

2

Hvis du kun har én HDS-knude kørende, skal du oprette en ny hybrid-datasikkerhedstjeneste og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. For mere detaljerede vejledninger, se Opret og tilmeld flere knudepunkter.

  1. Installer HDS-hosten OVA.

  2. Opsæt HDS-VM'en.

  3. Tilslut den opdaterede konfigurationsfil.

  4. Tilmeld den nye knude i Partner Hub.

3

For eksisterende HDS-noder, der kører den ældre konfigurationsfil, skal du tilslutte ISO-filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, inden du slår den næste knude fra:

  1. Slå den virtuelle maskine fra.

  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  3. Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

  4. Markér Forbind med tilsluttet strøm.

  5. Gem dine ændringer, og tænd for den virtuelle maskine.

4

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Slå blokeret ekstern DNS-opløsnings tilstand fra

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. Hvis knudens DNS-server ikke kan løse offentlige DNS-navne, går knuden automatisk i blokeret ekstern DNS-opløsnings tilstand.

Hvis dine knuder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du slå denne tilstand fra ved at køre proxy forbindelsestesten igen på hver knude.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine knuder kan kommunikere med dem.
1

I en webbrowser skal du åbne hybrid-datasikkerhedstjeneste nodegrænsefladen (f.eks. IP-adresse/opsætning, https://192.0.2.0/setup), indtaste administratorlegitimationsoplysningerne, du opsætter for noden, og derefter klikke på Log ind.

2

Gå til Oversigt (standardsiden).

Når den er aktiveret, er blokeret ekstern DNS-opløsning indstillet til Ja.

3

Gå til siden Trust store & proxy .

4

Klik på Kontroller proxy forbindelse.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke blev gennemført, var knuden ikke i stand til at nå DNS-serveren og vil forblive i denne tilstand. Ellers skal blokerede ekstern DNS-opløsning indstilles til Nej, når du genstarter knuden og går tilbage til oversigtssiden.

Næste trin

Gentag proxy forbindelsestesten på hver knude i din hybrid-datasikkerheds gruppe.

Fjern et knudepunkt

Brug denne procedure til at fjerne en hybrid-datasikkerhedstjeneste fra Webex Cloud. Når du fjerner noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært og slukke for den virtuelle maskine.

2

Fjern knuden:

  1. Log ind på Partner Hub, og vælg derefter Tjenester.

  2. På hybrid-datasikkerhedskortet skal du klikke på Se alle for at få vist siden Hybrid-datasikkerhedsressourcer.

  3. Vælg din klynge for at få vist oversigtspanelet.

  4. Klik på den node, du vil fjerne.

  5. Klik på Fjern registrering af denne node på panelet, der vises til højre

  6. Du kan også afmelde noden ved at klikke… på højre side af noden og vælge Fjern denne node.

3

Slet VM'en i vSphere-klienten. (Højreklik på VM'en i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM'en, skal du huske at afmontere konfigurations-ISO-filen. Uden ISO-filen kan du ikke bruge VM'en til at få adgang til dine sikkerhedsdata.

Katastrofegendannelse ved hjælp af standby-datacenter

Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye anmodninger om nøgleoprettelse til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den har oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

Da klyngen udfører den kritiske funktion med at levere disse nøgler, er det afgørende, at klyngen fortsat kører, og at der opretholdes korrekte sikkerhedskopieringer. Tab af hybrid-datasikkerhedsdatabasen eller af den konfigurations-ISO, der bruges til skemaet, vil medføre tab AF KUNDEINDHOLD, der ikke kan genoprettes. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter ikke er tilgængelig, skal du følge denne procedure for manuelt at foretage failover til standby-datacenteret.

Før du begynder

Fjern registreringen af alle knuder fra Partner Hub som nævnt i Fjern en knude. Brug den seneste ISO-fil, der blev konfigureret i forhold til noderne for den klynge, der tidligere var aktiv, til at udføre den failover-procedure, der er nævnt nedenfor.
1

Start HDS-opsætningsværktøjet, og følg trinene nævnt i Opret en konfigurations-ISO for HDS-værter.

2

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

3

Lav en sikkerhedskopi af ISO-filen på dit lokale system. Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

4

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

5

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg ISO-fil i datalagring.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knudepunkterne er startet.

6

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

7

Tilmeld knuden i Partner Hub. Se Tilmeld den første node i klyngen.

8

Gentag processen for hver node i standby-datacenteret.

Næste trin

Hvis det primære datacenter efter failover bliver aktivt igen, skal du fjerne registreringen af noderne i standby-datacenteret og gentage processen med at konfigurere ISO og registrere noder i det primære datacenter som nævnt ovenfor.

(Valgfrit) Afmonter ISO efter HDS-konfiguration

Standard-HDS-konfigurationen kører med ISO monteret. Men nogle kunder foretrækker ikke at lade ISO-filer være monteret kontinuerligt. Du kan afmontere ISO-filen, når alle HDS-knuder henter den nye konfiguration.

Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine knudepunkter har hentet konfigurationsændringerne, kan du afmontere ISO'en igen med denne procedure.

Før du begynder

Opgrader alle dine HDS-knuder til version 2021.01.22.4720 eller nyere.

1

Luk en af dine HDS-knudepunkter.

2

Vælg HDS-noden i vCenter-serverenheden.

3

Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af ISO-fil i datalagring.

4

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 20 minutter.

5

Gentag for hver HDS-knude ad gangen.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

En hybrid-datasikkerhedsudrulning anses for ikke at være tilgængelig, hvis alle knuder i klyngen er utilgængelige, eller klyngen arbejder så langsomt, at anmodninger om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

  • Nye rum kan ikke oprettes (nye nøgler kan ikke oprettes)

  • Meddelelser og rumtitler kan ikke dekrypteres for:

    • Nye brugere føjet til et rum (kunne ikke hente tasterne)

    • Eksisterende brugere i et rum, der bruger en ny klient (kan ikke hente tasterne)

  • Eksisterende brugere i et rum fortsætter med at køre, så længe deres klienter har en cache med krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og adresserer eventuelle advarsler med det samme for at undgå afbrydelse af tjenesten.

Varsler

Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Partner Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varsler dækker mange almindelige scenarier.

Tabel 1. Almindelige problemer og trin til at løse dem

Varsel

Handling

Fejl ved lokal databaseadgang.

Kontrollér, om der er databasefejl eller problemer med lokale netværk.

Fejl i forbindelse med lokal database.

Kontrollér, at databaseserveren er tilgængelig, og at de rigtige tjenestekontolegitimationsoplysninger blev brugt i nodekonfigurationen.

Fejl i adgang til cloudtjeneste.

Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i Krav til ekstern forbindelse.

Fornyelse af registrering af cloudtjeneste.

Tilmelding til cloudtjenester blev afbrudt. Fornyelse af registrering er i gang.

Registrering af cloudtjeneste blev afbrudt.

Tilmelding til cloudtjenester blev afsluttet. Tjenesten er ved at lukke.

Tjenesten er endnu ikke aktiveret.

Aktivér HDS i Partner Hub.

Det konfigurerede domæne stemmer ikke overens med servercertifikatet.

Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den indledende opsætning.

Kunne ikke godkende cloudtjenester.

Kontrollér nøjagtigheden og mulig udløb af legitimationsoplysninger for tjenestekontoen.

Kunne ikke åbne fil med lokal nøglelager.

Kontrollér, om der er integritet og adgangskodenøjagtighed i den lokale nøglecenterfil.

Lokalt servercertifikat er ugyldigt.

Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en pålidelig certifikatmyndighed.

Kan ikke sende målinger.

Kontrollér lokal netværksadgang til eksterne cloudtjenester.

/media/configdrive/hds-mappen findes ikke.

Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at blive monteret ved genstart, og at den monteres korrekt.

Opsætning af lejerorganisation er ikke fuldført for de tilføjede organisationer

Fuldfør opsætningen ved at oprette CMK'er for nyligt tilføjede lejerorganisationer ved hjælp af HDS-opsætningsværktøjet.

Opsætning af lejerorganisation er ikke fuldført for de fjernede organisationer

Fuldfør opsætningen ved at tilbagekalde CMK'er for lejerorganisationer, der blev fjernet ved hjælp af HDS-opsætningsværktøjet.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybrid-datasikkerhed.
1

Gennemgå Partner Hub for eventuelle varsler, og ret eventuelle elementer, du finder der. Se billedet nedenfor for reference.

2

Gennemgå syslog-serverens output for aktivitet fra hybrid-datasikkerhedsudrulningen. Filtrer efter ord som "Advarsel" og "Fejl" for at hjælpe med fejlfinding.

3

Kontakt Cisco-support.

Andre bemærkninger

Kendte problemer med hybrid-datasikkerhed

  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Partner Hub eller ved at lukke alle knudepunkter), mister din konfigurations-ISO-fil eller mister adgang til nøglelagerdatabasen, kan Webex-appbrugere i kundeorganisationer ikke længere bruge rum på deres personliste, der blev oprettet med nøgler fra din KMS. Vi har ikke en løsning eller løsning på dette problem i øjeblikket og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, opretholder denne forbindelse i en tidsperiode (sandsynligvis en time).

Brug OpenSSL til at generere en PKCS12-fil

Før du begynder

  • OpenSSL er et værktøj, der kan bruges til at gøre PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre dette på, og vi støtter ikke eller fremmer ikke den ene vej frem for den anden.

  • Hvis du vælger at bruge OpenSSL, leverer vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509-certifikatkravene i X.509-certifikatkrav. Forstå disse krav, før du fortsætter.

  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for softwaren og dokumentationen.

  • Opret en privat nøgle.

  • Start denne procedure, når du modtager servercertifikatet fra dit CA.

1

Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

2

Vis certifikatet som tekst, og bekræft detaljerne.

openssl x509 -tekst -noout -i hdsnode.pem

3

Brug et tekstredigeringsprogram til at oprette en certifikatbundle-fil, der hedder hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rod-CA-certifikaterne i nedenstående format:

-----begynd certifikat------ ### Servercertifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Mellemliggende CA-certifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Rodnøglecentercertifikat. ### -----afslut certifikat------

4

Opret .p12-filen med det venlige navn kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollér servercertifikatoplysningerne.

  1. openssl pkcs12 - i hdsnode.p12

  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den vises i outputtet. Bekræft derefter, at den private nøgle og det første certifikat indeholder linjerne friendlyName: kms-private-nøgle.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Indtast importadgangskode: MAC-verificerede OK-taskeattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøgleattributter:  Indtast PEM-adgangsfrase: Bekræftelse – indtast PEM-adgangsfrase: -----BEGYND KRYPTERET PRIVAT NØGLE-----  -----END KRYPTERET PRIVAT NØGLE----- Poseattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Poseattributter friendlyName: CN=Lad os kryptere myndighed X3,O=Lad os kryptere,C=US subject=/C=US/O=Lad os kryptere myndighed X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT-----  -----END CERTIFIKAT-----

Næste trin

Vend tilbage til Fuldfør forudsætningerne for hybrid-datasikkerhed. Du skal bruge filen hdsnode.p12 og adgangskoden, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-noderne og skyen

Trafik for indsamling af udgående målinger

Hybrid-datasikkerhedstjeneste sender visse målinger til Webex Cloud. Disse omfatter systemmålinger for maks. heap, brugt heap, CPU-belastning og trådtælling, målinger på synkroniserede og asynkrone tråde, målinger på varsler, der involverer en tærskel for krypteringsforbindelser, ventetid eller længde på en anmodningskø, målinger på datalageret og målinger af krypteringsforbindelser. Knuderne sender krypteret nøglemateriale over en ikke-båndkanal (adskilt fra anmodningen).

Indgående trafik

Hybrid-datasikkerhedstjeneste noder modtager følgende typer indgående trafik fra Webex-cloud:

  • Krypteringsanmodninger fra klienter, som distribueres af krypteringstjenesten

  • Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer for hybrid-data sikkerhed

WebSocket kan ikke oprette forbindelse via Squid-Proxy

Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:)-forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af squid til at ignorere WSS: trafik til korrekt funktion af tjenesterne.

Squid 4 og 5

Føj on_unsupported_protocol direktivet til squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi har testet hybrid-data sikkerhed med følgende regler tilføjet til squid. conf. Disse regler er underlagt ændringer, når vi udviklerfunktioner og opdaterer Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kviksølv-forbindelse ssl_bump splitte wssMercuryConnection acl trin1 at_step SslBump1 acl trin2 at_step SslBump2 acl trin3 at_step SslBump3 ssl_bump smugkig trin1 alle ssl_bump kig trin2 alle ssl_bump bump trin3 alle

Nye og ændrede oplysninger

Nye og ændrede oplysninger

Denne tabel dækker nye funktioner eller funktionalitet, ændringer af eksisterende indhold og eventuelle større fejl, der blev rettet i Udrulningsvejledningen for datasikkerhed med flere lejere.

Dato

Der er foretaget ændringer

30. januar 2025

Tilføjede SQL-serverversion 2022 til listen over understøttede SQL-servere i Krav til databaseserver.

15. januar 2025

Tilføjede begrænsninger for hybrid-datasikkerhed for flere lejere.

8. januar 2025

Tilføjede en bemærkning i Udfør indledende opsætning og download installationsfiler , der angiver, at klik på Opsætning på HDS-kortet i Partner Hub er et vigtigt trin i installationsprocessen.

7. januar 2025

Opdaterede krav til virtuel vært, opgavestrøm til implementering af hybrid-datasikkerhed og installer HDS-vært OVA for at vise nye krav til ESXi 7.0.

13. december 2024

Første gang udgivet.

Deaktiver hybrid-datasikkerhed for flere lejere

Opgavestrøm til deaktivering af HDS med flere lejere

Følg disse trin for at deaktivere HDS med flere lejere fuldstændigt.

Før du begynder

Denne opgave bør kun udføres af en partneradministrator med alle rettigheder.
1

Fjern alle kunder fra alle dine klynger, som nævnt i Fjern lejerorganisationer.

2

Tilbagekald alle kunders CMK'er som nævnt i Tilbagekald CMK'er for lejere, der er fjernet fra HDS..

3

Fjern alle knuder fra alle dine klynger, som nævnt i Fjern en knude.

4

Slet alle dine klynger fra Partner Hub ved hjælp af en af følgende to metoder.

  • Klik på den klynge, du vil slette, og vælg Slet denne klynge i øverste højre hjørne af oversigtssiden.
  • På siden Ressourcer skal du klikke på… i højre side af en klynge og vælge Fjern klynge.
5

Klik på fanen Indstillinger på oversigtssiden for hybrid-datasikkerhed, og klik på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybrid-datasikkerhed for flere lejere

Oversigt over hybrid-datasikkerhed for flere lejere

Fra første dag har datasikkerhed været det primære fokus i designet af Webex-appen. Hjørnestenen i denne sikkerhed er slutpunkt-til-slutpunkt-kryptering af indhold, der er aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

Som standard får alle Webex-appkunder kryptering fra slutpunkt-til-slutpunkt med dynamiske nøgler, der er gemt i Cloud KMS i Ciscos sikkerhedsdomæne. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.

Multi-tenant hybrid-datasikkerhed gør det muligt for organisationer at udnytte HDS via en betroet lokal partner, der kan fungere som tjenesteudbyder og administrere kryptering på stedet og andre sikkerhedstjenester. Denne opsætning giver partnerorganisationen mulighed for at have fuld kontrol over installation og administration af krypteringsnøgler og sikrer, at brugerdata i kundeorganisationer er sikre mod ekstern adgang. Partnerorganisationer konfigurerer HDS-forekomster og opretter HDS-klynger efter behov. Hver forekomst kan understøtte flere kundeorganisationer i modsætning til en almindelig HDS-udrulning, der er begrænset til en enkelt organisation.

Selvom partnerorganisationer har kontrol over installation og administration, har de ikke adgang til data og indhold, der er genereret af kunder. Denne adgang er begrænset til kundeorganisationer og deres brugere.

Dette giver også mindre organisationer mulighed for at udnytte HDS, da nøgleadministrationsservice og sikkerhedsinfrastruktur såsom datacentre ejes af den betroede lokale partner.

Sådan giver hybriddatasikkerhed med flere lejere datasuverænitet og datakontrol

  • Brugergenereret indhold er beskyttet mod ekstern adgang, f.eks. cloudtjenesteudbydere.
  • Lokale betroede partnere administrerer krypteringsnøglerne for kunder, som de allerede har et etableret forhold til.
  • Valgmulighed for lokal teknisk support, hvis den leveres af partneren.
  • Understøtter indhold i møder, meddelelser og opkald.

Dette dokument er beregnet til at hjælpe partnerorganisationer med at opsætte og administrere kunder under et hybrid-datasikkerhedssystem med flere lejere.

Begrænsninger for hybrid-datasikkerhed for flere lejere

  • Partnerorganisationer må ikke have nogen eksisterende HDS-udrulning aktiv i Control Hub.
  • Lejer- eller kundeorganisationer, der ønsker at blive administreret af en partner, må ikke have nogen eksisterende HDS-udrulning i Control Hub.
  • Når multilejer-HDS er installeret af partneren, begynder alle brugere i kundeorganisationer samt brugere i partnerorganisationen at bruge multilejer-HDS til deres krypteringstjenester.

    Partnerorganisationen og kundeorganisationer, som de administrerer, vil være på den samme HDS-udrulning med flere lejere.

    Partnerorganisationen vil ikke længere bruge cloud-KMS, når multi-tenant-HDS er installeret.

  • Der er ingen mekanisme til at flytte nøgler tilbage til Cloud-KMS efter en HDS-installation.
  • I øjeblikket kan hver HDS-installation med flere lejere kun have én klynge med flere knudepunkter under den.
  • Administratorroller har visse begrænsninger. Se afsnittet nedenfor for at få flere oplysninger.

Roller i hybrid-datasikkerhed for flere lejere

  • Partneradministrator med fulde rettigheder – kan administrere indstillinger for alle kunder, som partneren administrerer. Kan også tildele administratorroller til eksisterende brugere i organisationen og tildele specifikke kunder, der skal administreres af partneradministratorer.
  • Partneradministrator – kan administrere indstillinger for kunder, som administratoren klargjorde, eller som er blevet tildelt brugeren.
  • Fuld administrator – administrator for partnerorganisationen, der er autoriseret til at udføre opgaver såsom at ændre organisationsindstillinger, administrere licenser og tildele roller.
  • Opsætning og administration af HDS med flere lejere fra slutpunkt til slutpunkt for alle kundeorganisationer – fuld administrator og fulde administratorrettigheder er påkrævet.
  • Administration af tildelte lejerorganisationer – partneradministrator og fulde administratorrettigheder er påkrævet.

Arkitektur for sikkerhedsdomæne

Webex Cloud-arkitekturen opdeler forskellige typer tjenester i separate domæner eller tillidsdomæner, som vist nedenfor.

Områder for adskillelse (uden hybrid-datasikkerhed)

For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-områder. Identitetstjenesten, som er det eneste sted, hvor brugere kan være direkte korreleret med deres personlige oplysninger såsom e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsdomænet i datacenter B. Begge er adskilt fra det domæne, hvor krypteret indhold i sidste ende gemmes, i datacenter C.

I dette diagram kører klienten Webex-appen på en brugers bærbare computer og er godkendt med identitetstjenesten. Når brugeren opretter en meddelelse, der skal sendes til et rum, udføres følgende trin:

  1. Klienten opretter en sikker forbindelse til KMS (key management service) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

  2. Meddelelsen krypteres, før den forlader klienten. Klienten sender det til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe fremtidige søgninger efter indholdet.

  3. Den krypterede meddelelse sendes til overholdelsestjenesten for overensstemmelseskontrol.

  4. Den krypterede meddelelse gemmes i lagerdomænet.

Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsressourcefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitets- og indholdslagring), forbliver i Ciscos domæner.

Samarbejde med andre organisationer

Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi det blev oprettet af en af dine brugere), sender dit KMS nøglen til klienten over en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, sender din KMS anmodningen ud til Webex Cloud via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

Den KMS-tjeneste, der kører på organisation A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for oplysninger om generering af et x.509-certifikat til brug med din multi-tenant hybrid-datasikkerhedsudrulning.

Forventninger til implementering af hybrid-datasikkerhed

En hybrid-datasikkerhedsudrulning kræver betydelig engagement og opmærksomhed om de risici, der følger med at eje krypteringsnøgler.

For at implementere hybrid-datasikkerhed skal du angive:

Komplet tab af enten den konfigurations-ISO, du opretter til hybrid-datasikkerhed, eller den database, du leverer, vil medføre tab af nøgler. Tabet af nøgler forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du oprette en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

  • Administrer sikkerhedskopiering og gendannelse af databasen og konfigurations-ISO.

  • Vær forberedt på at udføre hurtig katastrofegenoprettelse, hvis der opstår en katastrofe, såsom databasediskfejl eller datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætningen og administrationen af en multi-tenant hybrid-datasikkerhedsudrulning:

  • Opsæt hybrid-datasikkerhed – dette omfatter forberedelse af nødvendig infrastruktur og installation af hybrid-datasikkerhedssoftware, opbygning af en HDS-klynge, tilføjelse af lejerorganisationer til klyngen og administration af deres kundehovednøgler (CMK'er). Dette gør det muligt for alle brugere i dine kundeorganisationer at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

    Opsætnings-, aktiverings- og administrationsfaserne er beskrevet i detaljer i de næste tre kapitler.

  • Vedligehold din hybrid-datasikkerhedsudrulning – Webex Cloud leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde support på niveau et for denne udrulning og bruge Cisco-support efter behov. Du kan bruge underretninger på skærmen og opsætte e-mailbaserede varsler i Partner Hub.

  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du oplever problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og bilaget Kendte problemer hjælpe dig med at finde og løse problemet.

Udrulningsmodel for hybrid-datasikkerhed

I dit virksomhedsdatacenter installerer du hybrid-datasikkerhed som en enkelt klynge af noder på separate virtuelle værter. Noderne kommunikerer med Webex Cloud via sikre websockets og sikker HTTP.

Under installationsprocessen giver vi dig OVA-filen til at konfigurere den virtuelle enhed på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugertilpasset ISO-fil til klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din angivne Syslogd-server- og PostgreSQL- eller Microsoft SQL-serverdatabase. (Du kan konfigurere oplysninger om Syslogd og databaseforbindelse i HDS-opsætningsværktøjet).

Udrulningsmodel for hybrid-datasikkerhed

Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre pr. klynge. At have flere knudepunkter sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex Cloud opgraderer kun én knude ad gangen).

Alle knuder i en klynge har adgang til det samme nøgledatalager og logaktivitet til den samme syslog-server. Noderne er i sig selv statsløse og håndterer vigtige anmodninger på round-robin-måde, som dirigeret af skyen.

Knudepunkter bliver aktive, når du tilmelder dem i Partner Hub. Hvis du vil tage en individuel knude ud af drift, kan du framelde den og senere registrere den igen, hvis det er nødvendigt.

Standby-datacenter til gendannelse efter nedbrud

Under installationen konfigurerer du et sikkert standbydatacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standby-datacenteret.

Før failover har datacenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-database, mens B har en kopi af ISO-filen med yderligere konfigurationer, VM'er, der er registreret i organisationen, og en standbydatabase. Efter failover har datacenter B aktive HDS-noder og den primære database, mens A har ikke-registrerede VM'er og en kopi af ISO-filen, og databasen er i standbytilstand.
Manuel failover til standby-datacenter

Databaserne for de aktive datacentre og standby-datacentre er synkroniseret, hvilket minimerer den tid, det tager at udføre failover.

De aktive hybrid-datasikkerhedstjeneste skal altid være i det samme datacenter som den aktive databaseserver.

Proxy-support

Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.

Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:

  • Ingen proxy – standard, hvis du ikke bruger HDS-nodens konfiguration af tillidslager og proxykonfiguration til at integrere en proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig ikke-kontrollerende proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve ændringer for at fungere med en ikke-kontrollerende proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig tunneling eller inspektion af proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

  • Eksplicit proxy – Med eksplicit proxy fortæller du HDS-knuderne, hvilken proxyserver og godkendelsesplan de skal bruge. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

      • HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.

      • HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

Eksempel på hybrid-data sikkerheds knuder og proxy

Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.

Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.

Forbered dit miljø

Krav til hybrid-datasikkerhed for flere lejere

Cisco Webex-licenskrav

Sådan udrulles hybriddatasikkerhed for flere lejere:

  • Partnerorganisationer: Kontakt din Cisco-partner eller kontoadministrator, og sørg for, at funktionen med flere lejere er aktiveret.

  • Lejerorganisationer: Du skal have Pro Pack til Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker Desktop

Før du installerer dine HDS-knuder, skal du bruge Docker Desktop til at køre et opsætningsprogram. Docker har for nylig opdateret sin licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".

X.509 Certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 Certifikatkrav til hybrid-datasikkerhedsudrulning

Krav

Detaljer

  • Underskrevet af et pålideligt nøglecenter (CA)

Som standard stoler vi på nøglecentererne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et CN-domænenavn (Common Name), der identificerer din hybrid-datasikkerhedsudrulning

  • Er ikke et jokertegn

CN behøver ikke at kunne kontaktes eller være en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

CN må ikke indeholde et * (jokertegn).

CN bruges til at bekræfte hybrid-datasikkerhedsknuderne for Webex-appklienter. Alle hybrid-datasikkerhedstjeneste noder i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

Når du har registreret en node med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet.

  • Ikke-SHA1-signatur

KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

  • Brug det venlige navn på kms-private-key til at tagge certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal uploades.

Du kan bruge en konverter såsom OpenSSL til at ændre certifikatets format.

Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

KMS-softwaren håndhæver ikke nøglebrug eller udvidede begrænsninger for nøglebrug. Nogle certifikatmyndigheder kræver, at der anvendes udvidede begrænsninger for nøglebrug for hvert certifikat, f.eks. servergodkendelse. Det er i orden at bruge servergodkendelse eller andre indstillinger.

Krav til virtuel vært

De virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste noder i din klynge, har følgende krav:

  • Mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter

  • VMware ESXi 7.0 (eller nyere) installeret og kører.

    Du skal opgradere, hvis du har en tidligere version af ESXi.

  • Mindst 4 vCPU'er, 8 GB primær hukommelse, 30 GB lokal harddiskplads pr. server

Krav til databaseserver

Opret en ny database til nøglelager. Brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene til hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installeret og kører.

  • SQL Server 2016, 2017, 2019 eller 2022 (Enterprise eller Standard) installeret.

    SQL Server 2016 kræver Service Pack 2 og kumulativ opdatering 2 eller nyere.

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

JDBC-driver 4.6 til SQL Server

Denne driverversion understøtter SQL Server altid slået til ( Altid på failover-klyngeforekomster og Altid på tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse i forhold til Microsoft SQL Server

Hvis du ønsker, at HDS-noder skal bruge Windows-godkendelse til at få adgang til din keystore-database på Microsoft SQL Server, skal du bruge følgende konfiguration i dit miljø:

  • HDS-knuderne, Active Directory-infrastrukturen og MS SQL Server skal alle synkroniseres med NTP.

  • Den Windows-konto, du angiver til HDS-noder, skal have læse-/skriveadgang til databasen.

  • De DNS-servere, du angiver til HDS-noder, skal kunne løse dit Key Distribution Center (KDC).

  • Du kan registrere HDS-databaseforekomsten på din Microsoft SQL Server som et Service Principal Name (SPN) i din Active Directory. Se Registrer et tjenestehovednavn for Kerberos-forbindelser.

    HDS-opsætningsværktøjet, HDS-startfunktionen og lokal KMS skal alle bruge Windows-godkendelse til at få adgang til nøglelagerdatabasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når der anmodes om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelser for HDS-programmerne:

Applikation

Protokol

Port

Retning fra appen

Destination

Hybrid-datasikkerhedstjeneste

TCP

443

Udgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-værter

  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser til Webex Hybrid-tjenester med Netværkskrav til Webex-tjenester

HDS-opsætningsværktøj

TCP

443

Udgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-værter

  • hub.docker.com

Hybrid-datasikkerhedstjeneste fungerer med NAT (network access translation) eller bag en firewall, så længe NAT eller firewall tillader de påkrævede udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går indgående til hybrid-datasikkerhedstjeneste, må ingen porte være synlige fra internettet. I dit datacenter skal klienter have adgang til hybrid-datasikkerhedsknuderne på TCP-portene 443 og 22 af administrative årsager.

URL-adresser til Common Identity (CI)-værter er områdespecifikke. Disse er de aktuelle CI-værter:

Område

URL-adresser til fælles identitet

Nord-, Mellem- og Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

EU

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Forenede Arabiske Emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy server krav

  • Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.

    • Gennemsigtig proxy – Cisco web Security-Appliance (WSA).

    • Eksplicit proxy-squid.

      Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket-forbindelser (wss:). Hvis du vil undgå dette problem, kan du se Konfigurer Squid-proxyer til hybrid-datasikkerhed.

  • Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:

    • Ingen godkendelse med HTTP eller HTTPS

    • Grundlæggende godkendelse med HTTP eller HTTPS

    • Samlet godkendelse kun med HTTPS

  • For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.

  • Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

  • Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil tilsidesættelse af trafik til wbx2.com og ciscospark.com løse problemet.

Udfyld forudsætningerne for hybrid-datasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
1

Sørg for, at din partnerorganisation har multilejer-HDS-funktionen aktiveret, og få legitimationsoplysningerne for en konto med partnerfuld administrator og fulde administratorrettigheder. Sørg for, at din Webex-kundeorganisation er aktiveret til Pro Pack til Cisco Webex Control Hub. Kontakt din Cisco-partner eller -kontoadministrator for at få hjælp til denne proces.

Kundeorganisationer bør ikke have nogen eksisterende HDS-udrulning.

2

Vælg et domænenavn til din HDS-udrulning (for eksempel hds.company.com), og få en certifikatkæde, der indeholder et X.509-certifikat, en privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 Certifikatkrav.

3

Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste i din klynge. Du skal bruge mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter, som opfylder kravene i Krav til virtuel vært.

4

Forbered den databaseserver, der vil fungere som nøgledatalageret for klyngen i henhold til kravene til databaseserver. Databaseserveren skal være placeret i det sikre datacenter med de virtuelle værter.

  1. Opret en database til nøglelager. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.)

  2. Indsaml de oplysninger, som noderne skal bruge til at kommunikere med databaseserveren:

    • værtsnavnet eller IP-adressen (vært) og porten

    • navnet på databasen (dbname) til nøglelagring

    • brugernavnet og adgangskoden for en bruger med alle privilegier på nøglelagerdatabasen

5

For hurtig katastrofegenoprettelse skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Sikkerhedskopieringsmiljøet afspejler produktionsmiljøet for VM'er og en sikkerhedskopieret databaseserver. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er.

6

Konfigurer en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Hent dens netværksadresse og syslog-port (standard er UDP 514).

7

Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedstjeneste, databaseserveren og syslog-værten. For at forhindre, at der ikke kan genoprettes tab af data, skal du som minimum sikkerhedskopiere databasen og konfigurationsfilen, der er genereret til hybrid-datasikkerhedstjeneste.

Da hybrid-datasikkerhedstjeneste gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operativ installation medføre UOPRETTELIG TAB af dette indhold.

Webex-appklienter cachelagrer deres nøgler, så et udfald vil muligvis ikke blive bemærket med det samme, men vil blive tydeligt med tiden. Selv om midlertidige afbrydelser ikke kan forhindres, kan de genoprettes. Men komplet tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller konfigurationsfilen vil resultere i, at kundedata ikke kan genoprettes. Operatørerne af hybrid-datasikkerhedstjeneste forventes at opretholde hyppige sikkerhedskopieringer af databasen og ISO-konfigurationsfilen og være forberedt på at genopbygge hybrid-datasikkerhedstjeneste-datacenteret, hvis der opstår en katastrofal fejl.

8

Sørg for, at din firewall-konfiguration tillader tilslutning til dine hybrid-datasikkerhedsknuder som beskrevet i Krav til ekstern tilslutning.

9

Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

Du kan bruge Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opretter de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedstjeneste. Du skal muligvis have en Docker Desktop-licens. Se Krav til Docker-desktop for yderligere oplysninger.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have forbindelsen beskrevet i Krav til ekstern forbindelse.

10

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder kravene til proxyserver.

Opsæt en hybrid-datasikkerhedsklynge

Opgavestrøm til installation af hybrid-datasikkerhed

Før du begynder

1

Udfør indledende opsætning og download installationsfiler

Download OVA-filen til din lokale maskine til senere brug.

2

Opret en konfigurations-ISO for HDS-værter

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedstjeneste.

3

Installer HDS-værts-OVA

Opret en virtuel maskine fra OVA-filen, og udfør indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

4

Opsæt VM for hybrid-datasikkerhed

Log på VM-konsollen, og indstil logonlegitimationsoplysningerne. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

5

Overfør og monter HDS-konfigurations-ISO

Konfigurer VM'en fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

6

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og føje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

7

Tilmeld den første knude i klyngen

Tilmeld VM'en med Cisco Webex Cloud som en hybrid-datasikkerhedstjeneste.

8

Opret og tilmeld flere knudepunkter

Fuldfør klyngeopsætningen.

9

Aktivér HDS med flere lejere på Partner Hub.

Aktivér HDS, og administrer lejerorganisationer i Partner Hub.

Udfør indledende opsætning og download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du har konfigureret som hybrid-datasikkerhedsknuder). Du bruger denne fil senere i installationsprocessen.

1

Log ind på Partner Hub, og klik derefter på Tjenester.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og derefter klikke på Opsæt.

Klik på Opsæt i Partner Hub er afgørende for installationsprocessen. Fortsæt ikke med installationen uden at fuldføre dette trin.

3

Klik på Tilføj en ressource , og klik på Download .OVA-fil på kortet Installer og konfigurer software .

Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan medføre problemer under opgradering af applikationen. Sørg for at downloade den seneste version af OVA-filen.

Du kan også downloade OVA'en når som helst fra afsnittet Hjælp . Klik på Indstillinger > Hjælp > Download hybrid-datasikkerhedssoftware.

OVA-filen begynder automatisk at blive downloadet. Gem filen på en placering på din maskine.
4

Du kan også klikke på Se udrulningsvejledning til hybrid-datasikkerhed for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder
1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import har du følgende valgmuligheder:

  • Nej – Hvis du opretter din første HDS-node, har du ikke en ISO-fil, der skal uploades.
  • Ja – Hvis du allerede har oprettet HDS-noder, så vælger du din ISO-fil i browseren og overfører den.
10

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkrav.

  • Hvis du aldrig har overført et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
  • Hvis dit certifikat er ok, skal du klikke på Fortsæt.
  • Hvis dit certifikat er udløbet, eller du vil udskifte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Overfør et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
11

Indtast databaseadressen og -kontoen for HDS for at få adgang til dit nøgledatalager:

  1. Vælg din databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du vælger Microsoft SQL Server, får du et felt til godkendelsestype.

  2. (Kun Microsoft SQL Server ) Vælg din godkendelsestype:

    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL Server-kontonavn i feltet Brugernavn .

    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet brugernavn@DOMÆNE i feltet Brugernavn .

  3. Indtast databaseserveradressen i formatet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at fortolke værtsnavnet.

    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

  4. Indtast databasenavnet.

  5. Indtast Brugernavn og Adgangskode for en bruger med alle privilegier på nøglelagerdatabasen.

12

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretræk TLS (standardvalgmulighed)

HDS-noder kræver ikke TLS for at tilslutte til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræv TLS

HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

Kræv TLS, og bekræft certifikatcertifikatstegner

Denne tilstand gælder ikke for SQL Server-databaser.

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Kræv TLS, og bekræft certifikatvært og værtsnavn

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og -port . Navnene skal passe præcist, ellers vil knudepunktet falde i forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Når du overfører rodcertifikatet (om nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis etablere TLS-forbindelsen, selvom maskinen til HDS-opsætningsværktøjet ikke kan teste den).

13

På siden Systemlogfiler skal du konfigurere din Syslogd-server:

  1. Indtast URL-adressen til syslog-serveren.

    Hvis serveren ikke kan DNS-løses fra noderne til din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse såsom tcp://10.92.43.23:514.

  3. Fra rullegardinmenuen Vælg afslutning af syslog-post skal du vælge den relevante indstilling for din ISO-fil: Vælg, eller linjeskift bruges til Graylog og Rsyslog TCP

    • Ingen byte -- \x00

    • Nylinje -- \n– Vælg denne valgmulighed for Graylog og Rsyslog TCP.

  4. Klik på Fortsæt.

14

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klik på Fortsæt på skærmen Nulstil tjenestekontoadgangskode .

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder er ved at udløbe, eller du vil nulstille dem til at ugyldiggøre tidligere ISO-filer.

16

Klik på Download ISO-fil. Gem filen på en placering, der er nem at finde.

17

Lav en sikkerhedskopi af ISO-filen på dit lokale system.

Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

18

For at lukke opsætningsværktøjet skal du taste CTRL+C.

Næste trin

Sikkerhedskopier ISO-konfigurationsfilen. Du skal bruge den til at oprette flere knudepunkter til genoprettelse eller til at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din PostgreSQL- eller Microsoft SQL Server-database.

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værts-OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært.

2

Vælg Fil > Implementer OVF-skabelon.

3

I guiden skal du angive placeringen af OVA-filen, som du downloadede tidligere, og derefter klikke på Næste.

4

På siden Vælg et navn og en mappe skal du indtaste et virtuelt maskinnavn for noden (for eksempel "HDS_Node_1"), vælge en placering, hvor udrulningen af noden til den virtuelle maskine kan ligge, og derefter klikke på Næste.

5

På siden Vælg en beregningsressource skal du vælge destinationsberegningsressourcen og derefter klikke på Næste.

En valideringskontrol kører. Når den er færdig, vises skabelonoplysningerne.

6

Bekræft skabelonoplysningerne, og klik derefter på Næste.

7

Hvis du bliver bedt om at vælge ressourcekonfiguration på siden Konfiguration , skal du klikke på 4 CPU og derefter klikke på Næste.

8

På siden Vælg lagerplads skal du klikke på Næste for at acceptere standarddiskformatet og VM-lagerpolitikken.

9

På siden Vælg netværk skal du vælge netværksvalgmuligheden fra listen med poster for at levere den ønskede forbindelse til VM'en.

10

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

  • Værtsnavn – indtast FQDN (værtsnavn og domæne) eller et enkelt ordværtsnavn for noden.

    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

    • For at sikre en vellykket registrering til skyen skal du kun bruge små bogstaver i det FQDN eller værtsnavn, som du har indstillet for noden. Store bogstaver understøttes ikke på dette tidspunkt.

    • Den samlede længde på FQDN må ikke overstige 64 tegn.

  • IP-adresse– Indtast IP-adressen for nodens interne grænseflade.

    Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

  • Maske – indtast undernetmaskens adresse i prik-decimal notation. For eksempel 255.255.255.0.
  • Gateway – indtast gateway-IP-adressen. En gateway er en netværksknude, der fungerer som et adgangspunkt til et andet netværk.
  • DNS-servere – Indtast en kommasepareret liste over DNS-servere, som håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
  • NTP-servere – Indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. Standard-NTP-servere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at angive flere NTP-servere.

  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan kontaktes fra klienter i dit netværk af administrative årsager.

Hvis du foretrækker det, kan du springe konfigurationen af netværksindstillingerne over og følge trinnene i Opsæt hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

11

Højreklik på noden VM, og vælg derefter Tænd > Tænd.

Hybrid-datasikkerhedssoftwaren installeres som gæst på VM-værten. Du er nu klar til at logge på konsollen og konfigurere noden.

Fejlfindingstip

Du kan opleve en forsinkelse på nogle få minutter, før knudebeholderne dukker op. Der vises en meddelelse om broens firewall på konsollen under den første start, hvor du ikke kan logge ind.

Opsæt VM for hybrid-datasikkerhed

Brug denne procedure til at logge på hybrid-datasikkerhedstjeneste VM-konsollen for første gang og indstille logonlegitimationsoplysningerne. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

1

I VMware vSphere-klienten skal du vælge din hybrid-datasikkerhedstjeneste og vælge fanen Konsol .

VM'en starter, og der vises en loginmeddelelse. Hvis loginprompten ikke vises, skal du trykke på Enter.
2

Brug følgende standardlogin og -adgangskode til at logge på og ændre legitimationsoplysningerne:

  1. Login: Administrator

  2. Adgangskode: Cisco

Da du logger ind på din VM for første gang, skal du ændre administratoradgangskoden.

3

Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, skal du springe resten af denne procedure over. Ellers skal du vælge valgmuligheden Rediger konfiguration i hovedmenuen.

4

Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

5

(Valgfri) Skift værtsnavnet, domænet eller NTP-serveren/-serverne, hvis det er nødvendigt for at matche din netværkspolitik.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

6

Gem netværkskonfigurationen, og genstart VM'en, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Da ISO-filen indeholder hovednøglen, bør den kun udstilles på et "need to know"-grundlag for adgang for hybrid-datasikkerhed-VM'er og alle administratorer, der kan få brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til datalageret.

1

Overfør ISO-filen fra din computer:

  1. I VMware vSphere-klientens venstre navigationsrude skal du klikke på ESXi-serveren.

  2. På fanen Konfiguration skal du klikke på Lager.

  3. På listen Datalagre skal du højreklikke på datalagret for dine VM'er og klikke på Søg i datalagre.

  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

  5. Gå til placeringen, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

  6. Klik på Ja for at acceptere advarslen om upload/download-handling, og luk datalagerdialogboksen.

2

Monter ISO-filen:

  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsmuligheder.

  3. Klik på CD/DVD-drev 1, vælg valgmuligheden for at montere fra en ISO-fil fra et datalager, og gå til placeringen, hvor du overførte ISO-konfigurationsfilen.

  4. Markér Tilsluttet og Tilslut ved tænding.

  5. Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Hvis din it-politik kræver det, kan du vælge at afmontere ISO-filen, når alle dine knudepunkter har hentet konfigurationsændringerne. Se (Valgfrit) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.

Før du begynder

1

Indtast URL-adresse til opsætning af HDS-knude https://[HDS knude IP eller FQDN]/Setup i en webbrowser, Indtast administratorens legitimationsoplysninger, som du opsætter for knudepunktet, og klik derefter på Log ind.

2

Gå til Trust store & proxy, og vælg derefter en valgmulighed:

  • Ingen proxy – standardvalgmuligheden, før du integrerer en proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig ikke-inspicerende proxy – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve nogen ændringer for at fungere med en ikke-inspicerende proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig proxy til inspektion – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-data sikkerhed, men HDS-knuder skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
  • Eksplicit proxy – Med eksplicit proxy fortæller du klienten (HDS-noder), hvilken proxyserver der skal bruges, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad dine proxyserver understøtter.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig for HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy.

3

Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen.

Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen.

4

Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen.

Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. Hvis du mener, at dette er en fejl, skal du udføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

5

Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft.

6

Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar.

Knuden genstarter inden for et par minutter.

7

Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status.

Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen.

Tilmeld den første knude i klyngen

Denne opgave tager den generiske node, som du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-cloud og omdanner den til en hybrid-datasikkerhedstjeneste.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knudepunkter, der er installeret for at give redundans.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Opsæt.

4

Klik på Tilføj en ressource på siden, der åbnes.

5

I det første felt på kortet Tilføj en knude skal du indtaste et navn på den klynge, som du vil tildele din hybrid-datasikkerhedstjeneste.

Vi anbefaler, at du navngiver en klynge ud fra, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node og klikke på Tilføj nederst på skærmen.

Denne IP-adresse eller FQDN skal svare til den IP-adresse eller værtsnavn og domæne, du brugte i Opsæt hybrid-datasikkerhed VM.

Der vises en meddelelse, der angiver, at du kan tilmelde din node til Webex.
7

Klik på Gå til knude.

Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din Webex-organisation til at få adgang til din node.

8

Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
9

Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den node, du har tilmeldt, under fanen Ressourcer . Noden vil automatisk downloade den nyeste software fra skyen.

Opret og tilmeld flere knudepunkter

For at tilføje yderligere noder til din klynge skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Opret en ny virtuel maskine fra OVA, og gentag trinnene i Installer HDS-vært-OVA.

2

Opsæt den indledende konfiguration på den nye VM, og gentag trinnene i Opsæt hybrid datasikkerhed VM.

3

På den nye VM skal du gentage trinnene i Overfør og monter HDS-konfigurations-ISO.

4

Hvis du opsætter en proxy for din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

5

Tilmeld knudepunktet.

  1. I https://admin.webex.com skal du vælge Tjenester fra menuen i venstre side af skærmen.

  2. I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Vis alle.

    Siden Hybrid-datasikkerhedsressourcer vises.

  3. Den nyoprettede klynge vises på siden Ressourcer .

  4. Klik på klyngen for at få vist de knudepunkter, der er tildelt klyngen.

  5. Klik på Tilføj en node i højre side af skærmen.

  6. Indtast den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node, og klik på Tilføj.

    Der åbnes en side med en meddelelse, der angiver, at du kan tilmelde din node til Webex-skyen. Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din organisation til at få adgang til din node.

  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.

  8. Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

    Node tilføjet pop op-meddelelse vises også nederst på skærmen i Partner Hub.

    Din knude er registreret.

Administrer lejerorganisationer om hybrid-datasikkerhed for flere lejere

Aktivér HDS med flere lejere på Partner Hub

Denne opgave sikrer, at alle brugere i kundeorganisationerne kan begynde at bruge HDS til lokale krypteringsnøgler og andre sikkerhedstjenester.

Før du begynder

Sørg for, at du har fuldført opsætningen af din HDS-klynge med flere lejere med det påkrævede antal knudepunkter.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

4

Klik på Aktivér HDSHDS-statuskortet .

Tilføj lejerorganisationer i Partner Hub

I denne opgave tildeler du kundeorganisationer til din hybrid-datasikkerhedsklynge.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

Klik på den klynge, som du vil have en kunde tildelt.

5

Gå til fanen Tildelte kunder .

6

Klik på Tilføj kunder.

7

Vælg den kunde, du vil tilføje, fra rullemenuen.

8

Klik på Tilføj. Kunden vil blive føjet til klyngen.

9

Gentag trin 6 til 8 for at føje flere kunder til din klynge.

10

Klik på Udført nederst på skærmen, når du har tilføjet kunderne.

Næste trin

Kør HDS-opsætningsværktøjet som beskrevet i Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen.

Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet

Før du begynder

Tildel kunder til den relevante klynge som beskrevet i Tilføj lejerorganisationer i Partner Hub. Kør HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen for de nyligt tilføjede kundeorganisationer.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

Sørg for, at der er forbindelse til din database for at udføre CMK-administration.
11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Opret CMK for alle organisationer eller Opret CMK – klik på denne knap på banneret øverst på skærmen for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Opret CMK'er for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på… nær CMK-administration under behandling for en bestemt organisation i tabellen, og klik på Opret CMK for at oprette CMK for den pågældende organisation.
12

Når CMK-oprettelse er gennemført, ændres statussen i tabellen fra CMK-administration under behandling til CMK-administration.

13

Hvis CMK-oprettelse ikke lykkes, vises en fejl.

Fjern lejerorganisationer

Før du begynder

Når brugere af kundeorganisationer er fjernet, kan de ikke udnytte HDS til deres krypteringsbehov og vil miste alle eksisterende rum. Før du fjerner kundeorganisationer, skal du kontakte din Cisco-partner eller -kontoadministrator.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

I fanen Ressourcer skal du klikke på den klynge, som du vil fjerne kundeorganisationer fra.

5

På siden, der åbnes, skal du klikke på Tildelte kunder.

6

Fra listen over kundeorganisationer, der vises, skal du klikke på ... i højre side af den kundeorganisation, du vil fjerne, og klikke på Fjern fra klynge.

Næste trin

Fuldfør fjernelsesprocessen ved at tilbagekalde kundeorganisationernes CMK'er som beskrevet i Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Før du begynder

Fjern kunder fra den relevante klynge som beskrevet i Fjern lejerorganisationer. Kør HDS-opsætningsværktøjet for at fuldføre fjernelsesprocessen for de kundeorganisationer, der blev fjernet.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Tilbagekald CMK for alle organisationer eller Tilbagekald CMK – klik på denne knap på banneret øverst på skærmen for at tilbagekalde CMK'er for alle organisationer, der blev fjernet.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Tilbagekald CMK'er for at tilbagekalde CMK'er fra alle organisationer, der blev fjernet.
  • Klik på nær CMK for at blive tilbagekaldt for en bestemt organisation i tabellen, og klik på Tilbagekald CMK for at tilbagekalde CMK for den specifikke organisation.
12

Når tilbagekaldelsen af CMK er gennemført, vises kundeorganisationen ikke længere i tabellen.

13

Hvis CMK-tilbagekaldelse ikke lykkes, vises en fejl.

Test din udrulning af hybrid-datasikkerhed

Test din udrulning af hybrid-datasikkerhed

Brug denne procedure til at teste scenarier for kryptering af datasikkerhed med flere lejere.

Før du begynder

  • Opsæt din datasikkerhedsudrulning for flere lejere.

  • Sørg for, at du har adgang til syslog'en for at bekræfte, at vigtige anmodninger overføres til din multi-tenant hybrid-datasikkerhedsudrulning.

1

Taster for et givet rum indstilles af opretteren af rummet. Log ind på Webex-appen som en af brugerne i kundeorganisationen, og opret derefter et rum.

Hvis du deaktiverer hybrid-datasikkerhedsudrulningen, er indhold i rum, som brugere opretter, ikke længere tilgængeligt, når de klientcachelagrede kopier af krypteringsnøglerne erstattes.

2

Send meddelelser til det nye rum.

3

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne sendes til din hybrid-datasikkerhedsudrulning.

  1. For at kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du skal finde en post som f.eks. følgende (identifikatorer forkortes for læsbarhed):
    2020-07-21 17:35:34.562 (+0000) OPLYSNINGER KMS [pool-14-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheBarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. For at kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finde en post såsom:
    2020-07-21 17:44:19.889 (+0000) OPLYSNINGER KMS [pool-14-tråd-31] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. For at kontrollere, om der er en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finde en post såsom:
    2020-07-21 17:44:21.975 (+0000) OPLYSNINGER KMS [pool-14-tråd-33] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. For at søge efter en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere efter kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finde en post såsom: 
    2020-07-21 17:44:22.808 (+0000) OPLYSNINGER KMS [pool-15-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg sundheden for hybrid-datasikkerhed

En statusindikator i Partner Hub viser dig, om alt er godt med implementeringen af hybriddatasikkerhed for flere lejere. Hvis du vil have mere proaktive varsler, skal du tilmelde dig e-mailunderretninger. Du får besked, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
1

I Partner Hub skal du vælge Tjenester i menuen til venstre på skærmen.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

Siden Indstillinger for hybrid-datasikkerhed vises.
3

I afsnittet E-mailmeddelelser skal du skrive en eller flere e-mailadresser adskilt af kommaer, og trykke på Enter.

Administrer din HDS-installation

Administrer HDS-udrulning

Brug de opgaver, der er beskrevet her, til at administrere din udrulning af hybrid-datasikkerhed.

Indstil tidsplan for klyngeopgradering

Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan indstille en specifik opgraderingsplan eller bruge standardplanen 3:00 AM Daily i USA: Amerika/Los Angeles. Du kan også vælge at udskyde en kommende opgradering, hvis det er nødvendigt.

Sådan opsættes opgraderingsplanen:

1

Log ind på Partner Hub.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt

4

Vælg klyngen på siden Hybrid-datasikkerhedsressourcer.

5

Klik på fanen Klyngeindstillinger .

6

Vælg tidspunkt og tidszone for opgraderingsplanen på siden Klyngeindstillinger under Opgraderingsplan.

Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -klokkeslæt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt med 24 timer.

Skift nodekonfigurationen

Det kan være nødvendigt at ændre konfigurationen af din Hybrid-datasikkerhedsknude af en årsag, såsom:

  • Ændring af x.509-certifikater pga. udløb eller andre årsager.

    Vi understøtter ikke ændring af CN-domænenavnet for et certifikat. Domænet skal passe med det oprindelige domæne, der bruges til at registrere klyngen.

  • Opdatering af databaseindstillinger for at ændre til en replik af PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi understøtter ikke overflytning af data fra PostgreSQL til Microsoft SQL Server, eller hvordan det kan lade sig gøre. For at skifte databasemiljøet skal du starte en ny udrulning af Hybrid-datasikkerhed.

  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Derudover bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i ni måneder. Når HDS-opsætningsværktøjet genererer disse adgangskoder, implementeres de for hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden for din maskinkonto. (E-mailen indeholder teksten "Brug maskinkonto-API'en til at opdatere adgangskoden.") Hvis dine adgangskoder endnu ikke er udløbet, giver værktøjet dig to valgmuligheder:

  • Blød nulstilling – de gamle og nye adgangskoder fungerer begge i op til 10 dage. Brug denne periode til at erstatte ISO-filen på knudepunkterne gradvist.

  • Hård nulstilling – de gamle adgangskoder holder op med at fungere med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, der kræver øjeblikkelig hard reset og udskiftning af ISO-filen på alle knudepunkter.

Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.

Før du begynder

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med partnerfulde administratorrettigheder.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når Docker-beholderen vises i 1.e. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder masternøglen, der krypterer PostgreSQL eller Microsoft SQL Server-databasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

1

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

  1. Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

    I almindelige miljøer:

    docker rmi ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

  2. For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

    docker login -u hdscustomersro

  3. I adgangskodeanmodningen skal du indtaste denne hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Download det seneste stabilt billede til dit miljø:

    I almindelige miljøer:

    docker træk ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker træk ciscocitg/hds-setup-fedramp:stabil

    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 har ikke skærmbilleder til nulstilling af adgangskode.

  5. Når træk er fuldført, indtast den relevante kommando for dit miljø:

    • I almindelige miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I FedRAMP-miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når beholderen kører, ser du "Express-serveren lytter på port 8080."

  6. Brug en browser til at tilslutte til localhost, http://127.0.0.1:8080.

    Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

  7. Når du bliver bedt om det, skal du indtaste legitimationsoplysningerne for din Partner Hub-kunde og derefter klikke på Acceptér for at fortsætte.

  8. Importér den aktuelle ISO-konfigurationsfil.

  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

    For at lukke opsætningsværktøjet skal du taste CTRL+C.

  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

2

Hvis du kun har én HDS-knude kørende, skal du oprette en ny hybrid-datasikkerhedstjeneste og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. For mere detaljerede vejledninger, se Opret og tilmeld flere knudepunkter.

  1. Installer HDS-hosten OVA.

  2. Opsæt HDS-VM'en.

  3. Tilslut den opdaterede konfigurationsfil.

  4. Tilmeld den nye knude i Partner Hub.

3

For eksisterende HDS-noder, der kører den ældre konfigurationsfil, skal du tilslutte ISO-filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, inden du slår den næste knude fra:

  1. Slå den virtuelle maskine fra.

  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  3. Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

  4. Markér Forbind med tilsluttet strøm.

  5. Gem dine ændringer, og tænd for den virtuelle maskine.

4

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Slå blokeret ekstern DNS-opløsnings tilstand fra

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. Hvis knudens DNS-server ikke kan løse offentlige DNS-navne, går knuden automatisk i blokeret ekstern DNS-opløsnings tilstand.

Hvis dine knuder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du slå denne tilstand fra ved at køre proxy forbindelsestesten igen på hver knude.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine knuder kan kommunikere med dem.
1

I en webbrowser skal du åbne hybrid-datasikkerhedstjeneste nodegrænsefladen (f.eks. IP-adresse/opsætning, https://192.0.2.0/setup), indtaste administratorlegitimationsoplysningerne, du opsætter for noden, og derefter klikke på Log ind.

2

Gå til Oversigt (standardsiden).

Når den er aktiveret, er blokeret ekstern DNS-opløsning indstillet til Ja.

3

Gå til siden Trust store & proxy .

4

Klik på Kontroller proxy forbindelse.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke blev gennemført, var knuden ikke i stand til at nå DNS-serveren og vil forblive i denne tilstand. Ellers skal blokerede ekstern DNS-opløsning indstilles til Nej, når du genstarter knuden og går tilbage til oversigtssiden.

Næste trin

Gentag proxy forbindelsestesten på hver knude i din hybrid-datasikkerheds gruppe.

Fjern et knudepunkt

Brug denne procedure til at fjerne en hybrid-datasikkerhedstjeneste fra Webex Cloud. Når du fjerner noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært og slukke for den virtuelle maskine.

2

Fjern knuden:

  1. Log ind på Partner Hub, og vælg derefter Tjenester.

  2. På hybrid-datasikkerhedskortet skal du klikke på Se alle for at få vist siden Hybrid-datasikkerhedsressourcer.

  3. Vælg din klynge for at få vist oversigtspanelet.

  4. Klik på den node, du vil fjerne.

  5. Klik på Fjern registrering af denne node på panelet, der vises til højre

  6. Du kan også afmelde noden ved at klikke… på højre side af noden og vælge Fjern denne node.

3

Slet VM'en i vSphere-klienten. (Højreklik på VM'en i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM'en, skal du huske at afmontere konfigurations-ISO-filen. Uden ISO-filen kan du ikke bruge VM'en til at få adgang til dine sikkerhedsdata.

Katastrofegendannelse ved hjælp af standby-datacenter

Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye anmodninger om nøgleoprettelse til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den har oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

Da klyngen udfører den kritiske funktion med at levere disse nøgler, er det afgørende, at klyngen fortsat kører, og at der opretholdes korrekte sikkerhedskopieringer. Tab af hybrid-datasikkerhedsdatabasen eller af den konfigurations-ISO, der bruges til skemaet, vil medføre tab AF KUNDEINDHOLD, der ikke kan genoprettes. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter ikke er tilgængelig, skal du følge denne procedure for manuelt at foretage failover til standby-datacenteret.

Før du begynder

Fjern registreringen af alle knuder fra Partner Hub som nævnt i Fjern en knude. Brug den seneste ISO-fil, der blev konfigureret i forhold til noderne for den klynge, der tidligere var aktiv, til at udføre den failover-procedure, der er nævnt nedenfor.
1

Start HDS-opsætningsværktøjet, og følg trinene nævnt i Opret en konfigurations-ISO for HDS-værter.

2

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

3

Lav en sikkerhedskopi af ISO-filen på dit lokale system. Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

4

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

5

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg ISO-fil i datalagring.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knudepunkterne er startet.

6

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

7

Tilmeld knuden i Partner Hub. Se Tilmeld den første node i klyngen.

8

Gentag processen for hver node i standby-datacenteret.

Næste trin

Hvis det primære datacenter efter failover bliver aktivt igen, skal du fjerne registreringen af noderne i standby-datacenteret og gentage processen med at konfigurere ISO og registrere noder i det primære datacenter som nævnt ovenfor.

(Valgfrit) Afmonter ISO efter HDS-konfiguration

Standard-HDS-konfigurationen kører med ISO monteret. Men nogle kunder foretrækker ikke at lade ISO-filer være monteret kontinuerligt. Du kan afmontere ISO-filen, når alle HDS-knuder henter den nye konfiguration.

Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine knudepunkter har hentet konfigurationsændringerne, kan du afmontere ISO'en igen med denne procedure.

Før du begynder

Opgrader alle dine HDS-knuder til version 2021.01.22.4720 eller nyere.

1

Luk en af dine HDS-knudepunkter.

2

Vælg HDS-noden i vCenter-serverenheden.

3

Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af ISO-fil i datalagring.

4

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 20 minutter.

5

Gentag for hver HDS-knude ad gangen.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

En hybrid-datasikkerhedsudrulning anses for ikke at være tilgængelig, hvis alle knuder i klyngen er utilgængelige, eller klyngen arbejder så langsomt, at anmodninger om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

  • Nye rum kan ikke oprettes (nye nøgler kan ikke oprettes)

  • Meddelelser og rumtitler kan ikke dekrypteres for:

    • Nye brugere føjet til et rum (kunne ikke hente tasterne)

    • Eksisterende brugere i et rum, der bruger en ny klient (kan ikke hente tasterne)

  • Eksisterende brugere i et rum fortsætter med at køre, så længe deres klienter har en cache med krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og adresserer eventuelle advarsler med det samme for at undgå afbrydelse af tjenesten.

Varsler

Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Partner Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varsler dækker mange almindelige scenarier.

Tabel 1. Almindelige problemer og trin til at løse dem

Varsel

Handling

Fejl ved lokal databaseadgang.

Kontrollér, om der er databasefejl eller problemer med lokale netværk.

Fejl i forbindelse med lokal database.

Kontrollér, at databaseserveren er tilgængelig, og at de rigtige tjenestekontolegitimationsoplysninger blev brugt i nodekonfigurationen.

Fejl i adgang til cloudtjeneste.

Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i Krav til ekstern forbindelse.

Fornyelse af registrering af cloudtjeneste.

Tilmelding til cloudtjenester blev afbrudt. Fornyelse af registrering er i gang.

Registrering af cloudtjeneste blev afbrudt.

Tilmelding til cloudtjenester blev afsluttet. Tjenesten er ved at lukke.

Tjenesten er endnu ikke aktiveret.

Aktivér HDS i Partner Hub.

Det konfigurerede domæne stemmer ikke overens med servercertifikatet.

Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den indledende opsætning.

Kunne ikke godkende cloudtjenester.

Kontrollér nøjagtigheden og mulig udløb af legitimationsoplysninger for tjenestekontoen.

Kunne ikke åbne fil med lokal nøglelager.

Kontrollér, om der er integritet og adgangskodenøjagtighed i den lokale nøglecenterfil.

Lokalt servercertifikat er ugyldigt.

Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en pålidelig certifikatmyndighed.

Kan ikke sende målinger.

Kontrollér lokal netværksadgang til eksterne cloudtjenester.

/media/configdrive/hds-mappen findes ikke.

Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at blive monteret ved genstart, og at den monteres korrekt.

Opsætning af lejerorganisation er ikke fuldført for de tilføjede organisationer

Fuldfør opsætningen ved at oprette CMK'er for nyligt tilføjede lejerorganisationer ved hjælp af HDS-opsætningsværktøjet.

Opsætning af lejerorganisation er ikke fuldført for de fjernede organisationer

Fuldfør opsætningen ved at tilbagekalde CMK'er for lejerorganisationer, der blev fjernet ved hjælp af HDS-opsætningsværktøjet.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybrid-datasikkerhed.
1

Gennemgå Partner Hub for eventuelle varsler, og ret eventuelle elementer, du finder der. Se billedet nedenfor for reference.

2

Gennemgå syslog-serverens output for aktivitet fra hybrid-datasikkerhedsudrulningen. Filtrer efter ord som "Advarsel" og "Fejl" for at hjælpe med fejlfinding.

3

Kontakt Cisco-support.

Andre bemærkninger

Kendte problemer med hybrid-datasikkerhed

  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Partner Hub eller ved at lukke alle knudepunkter), mister din konfigurations-ISO-fil eller mister adgang til nøglelagerdatabasen, kan Webex-appbrugere i kundeorganisationer ikke længere bruge rum på deres personliste, der blev oprettet med nøgler fra din KMS. Vi har ikke en løsning eller løsning på dette problem i øjeblikket og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, opretholder denne forbindelse i en tidsperiode (sandsynligvis en time).

Brug OpenSSL til at generere en PKCS12-fil

Før du begynder

  • OpenSSL er et værktøj, der kan bruges til at gøre PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre dette på, og vi støtter ikke eller fremmer ikke den ene vej frem for den anden.

  • Hvis du vælger at bruge OpenSSL, leverer vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509-certifikatkravene i X.509-certifikatkrav. Forstå disse krav, før du fortsætter.

  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for softwaren og dokumentationen.

  • Opret en privat nøgle.

  • Start denne procedure, når du modtager servercertifikatet fra dit CA.

1

Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

2

Vis certifikatet som tekst, og bekræft detaljerne.

openssl x509 -tekst -noout -i hdsnode.pem

3

Brug et tekstredigeringsprogram til at oprette en certifikatbundle-fil, der hedder hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rod-CA-certifikaterne i nedenstående format:

-----begynd certifikat------ ### Servercertifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Mellemliggende CA-certifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Rodnøglecentercertifikat. ### -----afslut certifikat------

4

Opret .p12-filen med det venlige navn kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollér servercertifikatoplysningerne.

  1. openssl pkcs12 - i hdsnode.p12

  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den vises i outputtet. Bekræft derefter, at den private nøgle og det første certifikat indeholder linjerne friendlyName: kms-private-nøgle.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Indtast importadgangskode: MAC-verificerede OK-taskeattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøgleattributter:  Indtast PEM-adgangsfrase: Bekræftelse – indtast PEM-adgangsfrase: -----BEGYND KRYPTERET PRIVAT NØGLE-----  -----END KRYPTERET PRIVAT NØGLE----- Poseattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Poseattributter friendlyName: CN=Lad os kryptere myndighed X3,O=Lad os kryptere,C=US subject=/C=US/O=Lad os kryptere myndighed X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT-----  -----END CERTIFIKAT-----

Næste trin

Vend tilbage til Fuldfør forudsætningerne for hybrid-datasikkerhed. Du skal bruge filen hdsnode.p12 og adgangskoden, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-noderne og skyen

Trafik for indsamling af udgående målinger

Hybrid-datasikkerhedstjeneste sender visse målinger til Webex Cloud. Disse omfatter systemmålinger for maks. heap, brugt heap, CPU-belastning og trådtælling, målinger på synkroniserede og asynkrone tråde, målinger på varsler, der involverer en tærskel for krypteringsforbindelser, ventetid eller længde på en anmodningskø, målinger på datalageret og målinger af krypteringsforbindelser. Knuderne sender krypteret nøglemateriale over en ikke-båndkanal (adskilt fra anmodningen).

Indgående trafik

Hybrid-datasikkerhedstjeneste noder modtager følgende typer indgående trafik fra Webex-cloud:

  • Krypteringsanmodninger fra klienter, som distribueres af krypteringstjenesten

  • Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer for hybrid-data sikkerhed

WebSocket kan ikke oprette forbindelse via Squid-Proxy

Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:)-forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af squid til at ignorere WSS: trafik til korrekt funktion af tjenesterne.

Squid 4 og 5

Føj on_unsupported_protocol direktivet til squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi har testet hybrid-data sikkerhed med følgende regler tilføjet til squid. conf. Disse regler er underlagt ændringer, når vi udviklerfunktioner og opdaterer Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kviksølv-forbindelse ssl_bump splitte wssMercuryConnection acl trin1 at_step SslBump1 acl trin2 at_step SslBump2 acl trin3 at_step SslBump3 ssl_bump smugkig trin1 alle ssl_bump kig trin2 alle ssl_bump bump trin3 alle

Nye og ændrede oplysninger

Nye og ændrede oplysninger

Denne tabel dækker nye funktioner eller funktionalitet, ændringer af eksisterende indhold og eventuelle større fejl, der blev rettet i Udrulningsvejledningen for datasikkerhed med flere lejere.

Dato

Der er foretaget ændringer

30. januar 2025

Tilføjede SQL-serverversion 2022 til listen over understøttede SQL-servere i Krav til databaseserver.

15. januar 2025

Tilføjede begrænsninger for hybrid-datasikkerhed for flere lejere.

8. januar 2025

Tilføjede en bemærkning i Udfør indledende opsætning og download installationsfiler , der angiver, at klik på Opsætning på HDS-kortet i Partner Hub er et vigtigt trin i installationsprocessen.

7. januar 2025

Opdaterede krav til virtuel vært, opgavestrøm til implementering af hybrid-datasikkerhed og installer HDS-vært OVA for at vise nye krav til ESXi 7.0.

13. december 2024

Første gang udgivet.

Deaktiver hybrid-datasikkerhed for flere lejere

Opgavestrøm til deaktivering af HDS med flere lejere

Følg disse trin for at deaktivere HDS med flere lejere fuldstændigt.

Før du begynder

Denne opgave bør kun udføres af en partneradministrator med alle rettigheder.
1

Fjern alle kunder fra alle dine klynger, som nævnt i Fjern lejerorganisationer.

2

Tilbagekald alle kunders CMK'er som nævnt i Tilbagekald CMK'er for lejere, der er fjernet fra HDS..

3

Fjern alle knuder fra alle dine klynger, som nævnt i Fjern en knude.

4

Slet alle dine klynger fra Partner Hub ved hjælp af en af følgende to metoder.

  • Klik på den klynge, du vil slette, og vælg Slet denne klynge i øverste højre hjørne af oversigtssiden.
  • På siden Ressourcer skal du klikke på… i højre side af en klynge og vælge Fjern klynge.
5

Klik på fanen Indstillinger på oversigtssiden for hybrid-datasikkerhed, og klik på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybrid-datasikkerhed for flere lejere

Oversigt over hybrid-datasikkerhed for flere lejere

Fra første dag har datasikkerhed været det primære fokus i designet af Webex-appen. Hjørnestenen i denne sikkerhed er slutpunkt-til-slutpunkt-kryptering af indhold, der er aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

Som standard får alle Webex-appkunder kryptering fra slutpunkt-til-slutpunkt med dynamiske nøgler, der er gemt i Cloud KMS i Ciscos sikkerhedsdomæne. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.

Multi-tenant hybrid-datasikkerhed gør det muligt for organisationer at udnytte HDS via en betroet lokal partner, der kan fungere som tjenesteudbyder og administrere kryptering på stedet og andre sikkerhedstjenester. Denne opsætning giver partnerorganisationen mulighed for at have fuld kontrol over installation og administration af krypteringsnøgler og sikrer, at brugerdata i kundeorganisationer er sikre mod ekstern adgang. Partnerorganisationer konfigurerer HDS-forekomster og opretter HDS-klynger efter behov. Hver forekomst kan understøtte flere kundeorganisationer i modsætning til en almindelig HDS-udrulning, der er begrænset til en enkelt organisation.

Selvom partnerorganisationer har kontrol over installation og administration, har de ikke adgang til data og indhold, der er genereret af kunder. Denne adgang er begrænset til kundeorganisationer og deres brugere.

Dette giver også mindre organisationer mulighed for at udnytte HDS, da nøgleadministrationsservice og sikkerhedsinfrastruktur såsom datacentre ejes af den betroede lokale partner.

Sådan giver hybriddatasikkerhed med flere lejere datasuverænitet og datakontrol

  • Brugergenereret indhold er beskyttet mod ekstern adgang, f.eks. cloudtjenesteudbydere.
  • Lokale betroede partnere administrerer krypteringsnøglerne for kunder, som de allerede har et etableret forhold til.
  • Valgmulighed for lokal teknisk support, hvis den leveres af partneren.
  • Understøtter indhold i møder, meddelelser og opkald.

Dette dokument er beregnet til at hjælpe partnerorganisationer med at opsætte og administrere kunder under et hybrid-datasikkerhedssystem med flere lejere.

Begrænsninger for hybrid-datasikkerhed for flere lejere

  • Partnerorganisationer må ikke have nogen eksisterende HDS-udrulning aktiv i Control Hub.
  • Lejer- eller kundeorganisationer, der ønsker at blive administreret af en partner, må ikke have nogen eksisterende HDS-udrulning i Control Hub.
  • Når multilejer-HDS er installeret af partneren, begynder alle brugere i kundeorganisationer samt brugere i partnerorganisationen at bruge multilejer-HDS til deres krypteringstjenester.

    Partnerorganisationen og kundeorganisationer, som de administrerer, vil være på den samme HDS-udrulning med flere lejere.

    Partnerorganisationen vil ikke længere bruge cloud-KMS, når multi-tenant-HDS er installeret.

  • Der er ingen mekanisme til at flytte nøgler tilbage til Cloud-KMS efter en HDS-installation.
  • I øjeblikket kan hver HDS-installation med flere lejere kun have én klynge med flere knudepunkter under den.
  • Administratorroller har visse begrænsninger. Se afsnittet nedenfor for at få flere oplysninger.

Roller i hybrid-datasikkerhed for flere lejere

  • Partneradministrator med fulde rettigheder – kan administrere indstillinger for alle kunder, som partneren administrerer. Kan også tildele administratorroller til eksisterende brugere i organisationen og tildele specifikke kunder, der skal administreres af partneradministratorer.
  • Partneradministrator – kan administrere indstillinger for kunder, som administratoren klargjorde, eller som er blevet tildelt brugeren.
  • Fuld administrator – administrator for partnerorganisationen, der er autoriseret til at udføre opgaver såsom at ændre organisationsindstillinger, administrere licenser og tildele roller.
  • Opsætning og administration af HDS med flere lejere fra slutpunkt til slutpunkt for alle kundeorganisationer – fuld administrator og fulde administratorrettigheder er påkrævet.
  • Administration af tildelte lejerorganisationer – partneradministrator og fulde administratorrettigheder er påkrævet.

Arkitektur for sikkerhedsdomæne

Webex Cloud-arkitekturen opdeler forskellige typer tjenester i separate domæner eller tillidsdomæner, som vist nedenfor.

Områder for adskillelse (uden hybrid-datasikkerhed)

For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-områder. Identitetstjenesten, som er det eneste sted, hvor brugere kan være direkte korreleret med deres personlige oplysninger såsom e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsdomænet i datacenter B. Begge er adskilt fra det domæne, hvor krypteret indhold i sidste ende gemmes, i datacenter C.

I dette diagram kører klienten Webex-appen på en brugers bærbare computer og er godkendt med identitetstjenesten. Når brugeren opretter en meddelelse, der skal sendes til et rum, udføres følgende trin:

  1. Klienten opretter en sikker forbindelse til KMS (key management service) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

  2. Meddelelsen krypteres, før den forlader klienten. Klienten sender det til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe fremtidige søgninger efter indholdet.

  3. Den krypterede meddelelse sendes til overholdelsestjenesten for overensstemmelseskontrol.

  4. Den krypterede meddelelse gemmes i lagerdomænet.

Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsressourcefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitets- og indholdslagring), forbliver i Ciscos domæner.

Samarbejde med andre organisationer

Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi det blev oprettet af en af dine brugere), sender dit KMS nøglen til klienten over en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, sender din KMS anmodningen ud til Webex Cloud via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

Den KMS-tjeneste, der kører på organisation A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for oplysninger om generering af et x.509-certifikat til brug med din multi-tenant hybrid-datasikkerhedsudrulning.

Forventninger til implementering af hybrid-datasikkerhed

En hybrid-datasikkerhedsudrulning kræver betydelig engagement og opmærksomhed om de risici, der følger med at eje krypteringsnøgler.

For at implementere hybrid-datasikkerhed skal du angive:

Komplet tab af enten den konfigurations-ISO, du opretter til hybrid-datasikkerhed, eller den database, du leverer, vil medføre tab af nøgler. Tabet af nøgler forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du oprette en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

  • Administrer sikkerhedskopiering og gendannelse af databasen og konfigurations-ISO.

  • Vær forberedt på at udføre hurtig katastrofegenoprettelse, hvis der opstår en katastrofe, såsom databasediskfejl eller datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætningen og administrationen af en multi-tenant hybrid-datasikkerhedsudrulning:

  • Opsæt hybrid-datasikkerhed – dette omfatter forberedelse af nødvendig infrastruktur og installation af hybrid-datasikkerhedssoftware, opbygning af en HDS-klynge, tilføjelse af lejerorganisationer til klyngen og administration af deres kundehovednøgler (CMK'er). Dette gør det muligt for alle brugere i dine kundeorganisationer at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

    Opsætnings-, aktiverings- og administrationsfaserne er beskrevet i detaljer i de næste tre kapitler.

  • Vedligehold din hybrid-datasikkerhedsudrulning – Webex Cloud leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde support på niveau et for denne udrulning og bruge Cisco-support efter behov. Du kan bruge underretninger på skærmen og opsætte e-mailbaserede varsler i Partner Hub.

  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du oplever problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og bilaget Kendte problemer hjælpe dig med at finde og løse problemet.

Udrulningsmodel for hybrid-datasikkerhed

I dit virksomhedsdatacenter installerer du hybrid-datasikkerhed som en enkelt klynge af noder på separate virtuelle værter. Noderne kommunikerer med Webex Cloud via sikre websockets og sikker HTTP.

Under installationsprocessen giver vi dig OVA-filen til at konfigurere den virtuelle enhed på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugertilpasset ISO-fil til klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din angivne Syslogd-server- og PostgreSQL- eller Microsoft SQL-serverdatabase. (Du kan konfigurere oplysninger om Syslogd og databaseforbindelse i HDS-opsætningsværktøjet).

Udrulningsmodel for hybrid-datasikkerhed

Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre pr. klynge. At have flere knudepunkter sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex Cloud opgraderer kun én knude ad gangen).

Alle knuder i en klynge har adgang til det samme nøgledatalager og logaktivitet til den samme syslog-server. Noderne er i sig selv statsløse og håndterer vigtige anmodninger på round-robin-måde, som dirigeret af skyen.

Knudepunkter bliver aktive, når du tilmelder dem i Partner Hub. Hvis du vil tage en individuel knude ud af drift, kan du framelde den og senere registrere den igen, hvis det er nødvendigt.

Standby-datacenter til gendannelse efter nedbrud

Under installationen konfigurerer du et sikkert standbydatacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standby-datacenteret.

Før failover har datacenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-database, mens B har en kopi af ISO-filen med yderligere konfigurationer, VM'er, der er registreret i organisationen, og en standbydatabase. Efter failover har datacenter B aktive HDS-noder og den primære database, mens A har ikke-registrerede VM'er og en kopi af ISO-filen, og databasen er i standbytilstand.
Manuel failover til standby-datacenter

Databaserne for de aktive datacentre og standby-datacentre er synkroniseret, hvilket minimerer den tid, det tager at udføre failover.

De aktive hybrid-datasikkerhedstjeneste skal altid være i det samme datacenter som den aktive databaseserver.

Proxy-support

Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.

Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:

  • Ingen proxy – standard, hvis du ikke bruger HDS-nodens konfiguration af tillidslager og proxykonfiguration til at integrere en proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig ikke-kontrollerende proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve ændringer for at fungere med en ikke-kontrollerende proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig tunneling eller inspektion af proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

  • Eksplicit proxy – Med eksplicit proxy fortæller du HDS-knuderne, hvilken proxyserver og godkendelsesplan de skal bruge. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

      • HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.

      • HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

Eksempel på hybrid-data sikkerheds knuder og proxy

Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.

Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.

Forbered dit miljø

Krav til hybrid-datasikkerhed for flere lejere

Cisco Webex-licenskrav

Sådan udrulles hybriddatasikkerhed for flere lejere:

  • Partnerorganisationer: Kontakt din Cisco-partner eller kontoadministrator, og sørg for, at funktionen med flere lejere er aktiveret.

  • Lejerorganisationer: Du skal have Pro Pack til Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker Desktop

Før du installerer dine HDS-knuder, skal du bruge Docker Desktop til at køre et opsætningsprogram. Docker har for nylig opdateret sin licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".

X.509 Certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 Certifikatkrav til hybrid-datasikkerhedsudrulning

Krav

Detaljer

  • Underskrevet af et pålideligt nøglecenter (CA)

Som standard stoler vi på nøglecentererne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et CN-domænenavn (Common Name), der identificerer din hybrid-datasikkerhedsudrulning

  • Er ikke et jokertegn

CN behøver ikke at kunne kontaktes eller være en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

CN må ikke indeholde et * (jokertegn).

CN bruges til at bekræfte hybrid-datasikkerhedsknuderne for Webex-appklienter. Alle hybrid-datasikkerhedstjeneste noder i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

Når du har registreret en node med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet.

  • Ikke-SHA1-signatur

KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

  • Brug det venlige navn på kms-private-key til at tagge certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal uploades.

Du kan bruge en konverter såsom OpenSSL til at ændre certifikatets format.

Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

KMS-softwaren håndhæver ikke nøglebrug eller udvidede begrænsninger for nøglebrug. Nogle certifikatmyndigheder kræver, at der anvendes udvidede begrænsninger for nøglebrug for hvert certifikat, f.eks. servergodkendelse. Det er i orden at bruge servergodkendelse eller andre indstillinger.

Krav til virtuel vært

De virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste noder i din klynge, har følgende krav:

  • Mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter

  • VMware ESXi 7.0 (eller nyere) installeret og kører.

    Du skal opgradere, hvis du har en tidligere version af ESXi.

  • Mindst 4 vCPU'er, 8 GB primær hukommelse, 30 GB lokal harddiskplads pr. server

Krav til databaseserver

Opret en ny database til nøglelager. Brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene til hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installeret og kører.

  • SQL Server 2016, 2017, 2019 eller 2022 (Enterprise eller Standard) installeret.

    SQL Server 2016 kræver Service Pack 2 og kumulativ opdatering 2 eller nyere.

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

JDBC-driver 4.6 til SQL Server

Denne driverversion understøtter SQL Server altid slået til ( Altid på failover-klyngeforekomster og Altid på tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse i forhold til Microsoft SQL Server

Hvis du ønsker, at HDS-noder skal bruge Windows-godkendelse til at få adgang til din keystore-database på Microsoft SQL Server, skal du bruge følgende konfiguration i dit miljø:

  • HDS-knuderne, Active Directory-infrastrukturen og MS SQL Server skal alle synkroniseres med NTP.

  • Den Windows-konto, du angiver til HDS-noder, skal have læse-/skriveadgang til databasen.

  • De DNS-servere, du angiver til HDS-noder, skal kunne løse dit Key Distribution Center (KDC).

  • Du kan registrere HDS-databaseforekomsten på din Microsoft SQL Server som et Service Principal Name (SPN) i din Active Directory. Se Registrer et tjenestehovednavn for Kerberos-forbindelser.

    HDS-opsætningsværktøjet, HDS-startfunktionen og lokal KMS skal alle bruge Windows-godkendelse til at få adgang til nøglelagerdatabasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når der anmodes om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelser for HDS-programmerne:

Applikation

Protokol

Port

Retning fra appen

Destination

Hybrid-datasikkerhedstjeneste

TCP

443

Udgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-værter

  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser til Webex Hybrid-tjenester med Netværkskrav til Webex-tjenester

HDS-opsætningsværktøj

TCP

443

Udgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-værter

  • hub.docker.com

Hybrid-datasikkerhedstjeneste fungerer med NAT (network access translation) eller bag en firewall, så længe NAT eller firewall tillader de påkrævede udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går indgående til hybrid-datasikkerhedstjeneste, må ingen porte være synlige fra internettet. I dit datacenter skal klienter have adgang til hybrid-datasikkerhedsknuderne på TCP-portene 443 og 22 af administrative årsager.

URL-adresser til Common Identity (CI)-værter er områdespecifikke. Disse er de aktuelle CI-værter:

Område

URL-adresser til fælles identitet

Nord-, Mellem- og Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

EU

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Forenede Arabiske Emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy server krav

  • Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.

    • Gennemsigtig proxy – Cisco web Security-Appliance (WSA).

    • Eksplicit proxy-squid.

      Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket-forbindelser (wss:). Hvis du vil undgå dette problem, kan du se Konfigurer Squid-proxyer til hybrid-datasikkerhed.

  • Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:

    • Ingen godkendelse med HTTP eller HTTPS

    • Grundlæggende godkendelse med HTTP eller HTTPS

    • Samlet godkendelse kun med HTTPS

  • For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.

  • Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

  • Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil tilsidesættelse af trafik til wbx2.com og ciscospark.com løse problemet.

Udfyld forudsætningerne for hybrid-datasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
1

Sørg for, at din partnerorganisation har multilejer-HDS-funktionen aktiveret, og få legitimationsoplysningerne for en konto med partnerfuld administrator og fulde administratorrettigheder. Sørg for, at din Webex-kundeorganisation er aktiveret til Pro Pack til Cisco Webex Control Hub. Kontakt din Cisco-partner eller -kontoadministrator for at få hjælp til denne proces.

Kundeorganisationer bør ikke have nogen eksisterende HDS-udrulning.

2

Vælg et domænenavn til din HDS-udrulning (for eksempel hds.company.com), og få en certifikatkæde, der indeholder et X.509-certifikat, en privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 Certifikatkrav.

3

Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste i din klynge. Du skal bruge mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter, som opfylder kravene i Krav til virtuel vært.

4

Forbered den databaseserver, der vil fungere som nøgledatalageret for klyngen i henhold til kravene til databaseserver. Databaseserveren skal være placeret i det sikre datacenter med de virtuelle værter.

  1. Opret en database til nøglelager. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.)

  2. Indsaml de oplysninger, som noderne skal bruge til at kommunikere med databaseserveren:

    • værtsnavnet eller IP-adressen (vært) og porten

    • navnet på databasen (dbname) til nøglelagring

    • brugernavnet og adgangskoden for en bruger med alle privilegier på nøglelagerdatabasen

5

For hurtig katastrofegenoprettelse skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Sikkerhedskopieringsmiljøet afspejler produktionsmiljøet for VM'er og en sikkerhedskopieret databaseserver. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er.

6

Konfigurer en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Hent dens netværksadresse og syslog-port (standard er UDP 514).

7

Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedstjeneste, databaseserveren og syslog-værten. For at forhindre, at der ikke kan genoprettes tab af data, skal du som minimum sikkerhedskopiere databasen og konfigurationsfilen, der er genereret til hybrid-datasikkerhedstjeneste.

Da hybrid-datasikkerhedstjeneste gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operativ installation medføre UOPRETTELIG TAB af dette indhold.

Webex-appklienter cachelagrer deres nøgler, så et udfald vil muligvis ikke blive bemærket med det samme, men vil blive tydeligt med tiden. Selv om midlertidige afbrydelser ikke kan forhindres, kan de genoprettes. Men komplet tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller konfigurationsfilen vil resultere i, at kundedata ikke kan genoprettes. Operatørerne af hybrid-datasikkerhedstjeneste forventes at opretholde hyppige sikkerhedskopieringer af databasen og ISO-konfigurationsfilen og være forberedt på at genopbygge hybrid-datasikkerhedstjeneste-datacenteret, hvis der opstår en katastrofal fejl.

8

Sørg for, at din firewall-konfiguration tillader tilslutning til dine hybrid-datasikkerhedsknuder som beskrevet i Krav til ekstern tilslutning.

9

Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

Du kan bruge Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opretter de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedstjeneste. Du skal muligvis have en Docker Desktop-licens. Se Krav til Docker-desktop for yderligere oplysninger.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have forbindelsen beskrevet i Krav til ekstern forbindelse.

10

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder kravene til proxyserver.

Opsæt en hybrid-datasikkerhedsklynge

Opgavestrøm til installation af hybrid-datasikkerhed

Før du begynder

1

Udfør indledende opsætning og download installationsfiler

Download OVA-filen til din lokale maskine til senere brug.

2

Opret en konfigurations-ISO for HDS-værter

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedstjeneste.

3

Installer HDS-værts-OVA

Opret en virtuel maskine fra OVA-filen, og udfør indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

4

Opsæt VM for hybrid-datasikkerhed

Log på VM-konsollen, og indstil logonlegitimationsoplysningerne. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

5

Overfør og monter HDS-konfigurations-ISO

Konfigurer VM'en fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

6

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og føje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

7

Tilmeld den første knude i klyngen

Tilmeld VM'en med Cisco Webex Cloud som en hybrid-datasikkerhedstjeneste.

8

Opret og tilmeld flere knudepunkter

Fuldfør klyngeopsætningen.

9

Aktivér HDS med flere lejere på Partner Hub.

Aktivér HDS, og administrer lejerorganisationer i Partner Hub.

Udfør indledende opsætning og download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du har konfigureret som hybrid-datasikkerhedsknuder). Du bruger denne fil senere i installationsprocessen.

1

Log ind på Partner Hub, og klik derefter på Tjenester.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og derefter klikke på Opsæt.

Klik på Opsæt i Partner Hub er afgørende for installationsprocessen. Fortsæt ikke med installationen uden at fuldføre dette trin.

3

Klik på Tilføj en ressource , og klik på Download .OVA-fil på kortet Installer og konfigurer software .

Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan medføre problemer under opgradering af applikationen. Sørg for at downloade den seneste version af OVA-filen.

Du kan også downloade OVA'en når som helst fra afsnittet Hjælp . Klik på Indstillinger > Hjælp > Download hybrid-datasikkerhedssoftware.

OVA-filen begynder automatisk at blive downloadet. Gem filen på en placering på din maskine.
4

Du kan også klikke på Se udrulningsvejledning til hybrid-datasikkerhed for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder
1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import har du følgende valgmuligheder:

  • Nej – Hvis du opretter din første HDS-node, har du ikke en ISO-fil, der skal uploades.
  • Ja – Hvis du allerede har oprettet HDS-noder, så vælger du din ISO-fil i browseren og overfører den.
10

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkrav.

  • Hvis du aldrig har overført et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
  • Hvis dit certifikat er ok, skal du klikke på Fortsæt.
  • Hvis dit certifikat er udløbet, eller du vil udskifte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Overfør et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
11

Indtast databaseadressen og -kontoen for HDS for at få adgang til dit nøgledatalager:

  1. Vælg din databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du vælger Microsoft SQL Server, får du et felt til godkendelsestype.

  2. (Kun Microsoft SQL Server ) Vælg din godkendelsestype:

    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL Server-kontonavn i feltet Brugernavn .

    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet brugernavn@DOMÆNE i feltet Brugernavn .

  3. Indtast databaseserveradressen i formatet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at fortolke værtsnavnet.

    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

  4. Indtast databasenavnet.

  5. Indtast Brugernavn og Adgangskode for en bruger med alle privilegier på nøglelagerdatabasen.

12

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretræk TLS (standardvalgmulighed)

HDS-noder kræver ikke TLS for at tilslutte til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræv TLS

HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

Kræv TLS, og bekræft certifikatcertifikatstegner

Denne tilstand gælder ikke for SQL Server-databaser.

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Kræv TLS, og bekræft certifikatvært og værtsnavn

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og -port . Navnene skal passe præcist, ellers vil knudepunktet falde i forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Når du overfører rodcertifikatet (om nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis etablere TLS-forbindelsen, selvom maskinen til HDS-opsætningsværktøjet ikke kan teste den).

13

På siden Systemlogfiler skal du konfigurere din Syslogd-server:

  1. Indtast URL-adressen til syslog-serveren.

    Hvis serveren ikke kan DNS-løses fra noderne til din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse såsom tcp://10.92.43.23:514.

  3. Fra rullegardinmenuen Vælg afslutning af syslog-post skal du vælge den relevante indstilling for din ISO-fil: Vælg, eller linjeskift bruges til Graylog og Rsyslog TCP

    • Ingen byte -- \x00

    • Nylinje -- \n– Vælg denne valgmulighed for Graylog og Rsyslog TCP.

  4. Klik på Fortsæt.

14

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klik på Fortsæt på skærmen Nulstil tjenestekontoadgangskode .

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder er ved at udløbe, eller du vil nulstille dem til at ugyldiggøre tidligere ISO-filer.

16

Klik på Download ISO-fil. Gem filen på en placering, der er nem at finde.

17

Lav en sikkerhedskopi af ISO-filen på dit lokale system.

Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

18

For at lukke opsætningsværktøjet skal du taste CTRL+C.

Næste trin

Sikkerhedskopier ISO-konfigurationsfilen. Du skal bruge den til at oprette flere knudepunkter til genoprettelse eller til at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din PostgreSQL- eller Microsoft SQL Server-database.

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værts-OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært.

2

Vælg Fil > Implementer OVF-skabelon.

3

I guiden skal du angive placeringen af OVA-filen, som du downloadede tidligere, og derefter klikke på Næste.

4

På siden Vælg et navn og en mappe skal du indtaste et virtuelt maskinnavn for noden (for eksempel "HDS_Node_1"), vælge en placering, hvor udrulningen af noden til den virtuelle maskine kan ligge, og derefter klikke på Næste.

5

På siden Vælg en beregningsressource skal du vælge destinationsberegningsressourcen og derefter klikke på Næste.

En valideringskontrol kører. Når den er færdig, vises skabelonoplysningerne.

6

Bekræft skabelonoplysningerne, og klik derefter på Næste.

7

Hvis du bliver bedt om at vælge ressourcekonfiguration på siden Konfiguration , skal du klikke på 4 CPU og derefter klikke på Næste.

8

På siden Vælg lagerplads skal du klikke på Næste for at acceptere standarddiskformatet og VM-lagerpolitikken.

9

På siden Vælg netværk skal du vælge netværksvalgmuligheden fra listen med poster for at levere den ønskede forbindelse til VM'en.

10

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

  • Værtsnavn – indtast FQDN (værtsnavn og domæne) eller et enkelt ordværtsnavn for noden.

    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

    • For at sikre en vellykket registrering til skyen skal du kun bruge små bogstaver i det FQDN eller værtsnavn, som du har indstillet for noden. Store bogstaver understøttes ikke på dette tidspunkt.

    • Den samlede længde på FQDN må ikke overstige 64 tegn.

  • IP-adresse– Indtast IP-adressen for nodens interne grænseflade.

    Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

  • Maske – indtast undernetmaskens adresse i prik-decimal notation. For eksempel 255.255.255.0.
  • Gateway – indtast gateway-IP-adressen. En gateway er en netværksknude, der fungerer som et adgangspunkt til et andet netværk.
  • DNS-servere – Indtast en kommasepareret liste over DNS-servere, som håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
  • NTP-servere – Indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. Standard-NTP-servere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at angive flere NTP-servere.

  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan kontaktes fra klienter i dit netværk af administrative årsager.

Hvis du foretrækker det, kan du springe konfigurationen af netværksindstillingerne over og følge trinnene i Opsæt hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

11

Højreklik på noden VM, og vælg derefter Tænd > Tænd.

Hybrid-datasikkerhedssoftwaren installeres som gæst på VM-værten. Du er nu klar til at logge på konsollen og konfigurere noden.

Fejlfindingstip

Du kan opleve en forsinkelse på nogle få minutter, før knudebeholderne dukker op. Der vises en meddelelse om broens firewall på konsollen under den første start, hvor du ikke kan logge ind.

Opsæt VM for hybrid-datasikkerhed

Brug denne procedure til at logge på hybrid-datasikkerhedstjeneste VM-konsollen for første gang og indstille logonlegitimationsoplysningerne. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

1

I VMware vSphere-klienten skal du vælge din hybrid-datasikkerhedstjeneste og vælge fanen Konsol .

VM'en starter, og der vises en loginmeddelelse. Hvis loginprompten ikke vises, skal du trykke på Enter.
2

Brug følgende standardlogin og -adgangskode til at logge på og ændre legitimationsoplysningerne:

  1. Login: Administrator

  2. Adgangskode: Cisco

Da du logger ind på din VM for første gang, skal du ændre administratoradgangskoden.

3

Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, skal du springe resten af denne procedure over. Ellers skal du vælge valgmuligheden Rediger konfiguration i hovedmenuen.

4

Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

5

(Valgfri) Skift værtsnavnet, domænet eller NTP-serveren/-serverne, hvis det er nødvendigt for at matche din netværkspolitik.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

6

Gem netværkskonfigurationen, og genstart VM'en, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Da ISO-filen indeholder hovednøglen, bør den kun udstilles på et "need to know"-grundlag for adgang for hybrid-datasikkerhed-VM'er og alle administratorer, der kan få brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til datalageret.

1

Overfør ISO-filen fra din computer:

  1. I VMware vSphere-klientens venstre navigationsrude skal du klikke på ESXi-serveren.

  2. På fanen Konfiguration skal du klikke på Lager.

  3. På listen Datalagre skal du højreklikke på datalagret for dine VM'er og klikke på Søg i datalagre.

  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

  5. Gå til placeringen, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

  6. Klik på Ja for at acceptere advarslen om upload/download-handling, og luk datalagerdialogboksen.

2

Monter ISO-filen:

  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsmuligheder.

  3. Klik på CD/DVD-drev 1, vælg valgmuligheden for at montere fra en ISO-fil fra et datalager, og gå til placeringen, hvor du overførte ISO-konfigurationsfilen.

  4. Markér Tilsluttet og Tilslut ved tænding.

  5. Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Hvis din it-politik kræver det, kan du vælge at afmontere ISO-filen, når alle dine knudepunkter har hentet konfigurationsændringerne. Se (Valgfrit) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.

Før du begynder

1

Indtast URL-adresse til opsætning af HDS-knude https://[HDS knude IP eller FQDN]/Setup i en webbrowser, Indtast administratorens legitimationsoplysninger, som du opsætter for knudepunktet, og klik derefter på Log ind.

2

Gå til Trust store & proxy, og vælg derefter en valgmulighed:

  • Ingen proxy – standardvalgmuligheden, før du integrerer en proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig ikke-inspicerende proxy – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve nogen ændringer for at fungere med en ikke-inspicerende proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig proxy til inspektion – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-data sikkerhed, men HDS-knuder skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
  • Eksplicit proxy – Med eksplicit proxy fortæller du klienten (HDS-noder), hvilken proxyserver der skal bruges, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad dine proxyserver understøtter.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig for HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy.

3

Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen.

Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen.

4

Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen.

Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. Hvis du mener, at dette er en fejl, skal du udføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

5

Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft.

6

Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar.

Knuden genstarter inden for et par minutter.

7

Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status.

Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen.

Tilmeld den første knude i klyngen

Denne opgave tager den generiske node, som du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-cloud og omdanner den til en hybrid-datasikkerhedstjeneste.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knudepunkter, der er installeret for at give redundans.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Opsæt.

4

Klik på Tilføj en ressource på siden, der åbnes.

5

I det første felt på kortet Tilføj en knude skal du indtaste et navn på den klynge, som du vil tildele din hybrid-datasikkerhedstjeneste.

Vi anbefaler, at du navngiver en klynge ud fra, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node og klikke på Tilføj nederst på skærmen.

Denne IP-adresse eller FQDN skal svare til den IP-adresse eller værtsnavn og domæne, du brugte i Opsæt hybrid-datasikkerhed VM.

Der vises en meddelelse, der angiver, at du kan tilmelde din node til Webex.
7

Klik på Gå til knude.

Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din Webex-organisation til at få adgang til din node.

8

Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
9

Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den node, du har tilmeldt, under fanen Ressourcer . Noden vil automatisk downloade den nyeste software fra skyen.

Opret og tilmeld flere knudepunkter

For at tilføje yderligere noder til din klynge skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Opret en ny virtuel maskine fra OVA, og gentag trinnene i Installer HDS-vært-OVA.

2

Opsæt den indledende konfiguration på den nye VM, og gentag trinnene i Opsæt hybrid datasikkerhed VM.

3

På den nye VM skal du gentage trinnene i Overfør og monter HDS-konfigurations-ISO.

4

Hvis du opsætter en proxy for din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

5

Tilmeld knudepunktet.

  1. I https://admin.webex.com skal du vælge Tjenester fra menuen i venstre side af skærmen.

  2. I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Vis alle.

    Siden Hybrid-datasikkerhedsressourcer vises.

  3. Den nyoprettede klynge vises på siden Ressourcer .

  4. Klik på klyngen for at få vist de knudepunkter, der er tildelt klyngen.

  5. Klik på Tilføj en node i højre side af skærmen.

  6. Indtast den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node, og klik på Tilføj.

    Der åbnes en side med en meddelelse, der angiver, at du kan tilmelde din node til Webex-skyen. Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din organisation til at få adgang til din node.

  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.

  8. Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

    Node tilføjet pop op-meddelelse vises også nederst på skærmen i Partner Hub.

    Din knude er registreret.

Administrer lejerorganisationer om hybrid-datasikkerhed for flere lejere

Aktivér HDS med flere lejere på Partner Hub

Denne opgave sikrer, at alle brugere i kundeorganisationerne kan begynde at bruge HDS til lokale krypteringsnøgler og andre sikkerhedstjenester.

Før du begynder

Sørg for, at du har fuldført opsætningen af din HDS-klynge med flere lejere med det påkrævede antal knudepunkter.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

4

Klik på Aktivér HDSHDS-statuskortet .

Tilføj lejerorganisationer i Partner Hub

I denne opgave tildeler du kundeorganisationer til din hybrid-datasikkerhedsklynge.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

Klik på den klynge, som du vil have en kunde tildelt.

5

Gå til fanen Tildelte kunder .

6

Klik på Tilføj kunder.

7

Vælg den kunde, du vil tilføje, fra rullemenuen.

8

Klik på Tilføj. Kunden vil blive føjet til klyngen.

9

Gentag trin 6 til 8 for at føje flere kunder til din klynge.

10

Klik på Udført nederst på skærmen, når du har tilføjet kunderne.

Næste trin

Kør HDS-opsætningsværktøjet som beskrevet i Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen.

Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet

Før du begynder

Tildel kunder til den relevante klynge som beskrevet i Tilføj lejerorganisationer i Partner Hub. Kør HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen for de nyligt tilføjede kundeorganisationer.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

Sørg for, at der er forbindelse til din database for at udføre CMK-administration.
11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Opret CMK for alle organisationer eller Opret CMK – klik på denne knap på banneret øverst på skærmen for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Opret CMK'er for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på… nær CMK-administration under behandling for en bestemt organisation i tabellen, og klik på Opret CMK for at oprette CMK for den pågældende organisation.
12

Når CMK-oprettelse er gennemført, ændres statussen i tabellen fra CMK-administration under behandling til CMK-administration.

13

Hvis CMK-oprettelse ikke lykkes, vises en fejl.

Fjern lejerorganisationer

Før du begynder

Når brugere af kundeorganisationer er fjernet, kan de ikke udnytte HDS til deres krypteringsbehov og vil miste alle eksisterende rum. Før du fjerner kundeorganisationer, skal du kontakte din Cisco-partner eller -kontoadministrator.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

I fanen Ressourcer skal du klikke på den klynge, som du vil fjerne kundeorganisationer fra.

5

På siden, der åbnes, skal du klikke på Tildelte kunder.

6

Fra listen over kundeorganisationer, der vises, skal du klikke på ... i højre side af den kundeorganisation, du vil fjerne, og klikke på Fjern fra klynge.

Næste trin

Fuldfør fjernelsesprocessen ved at tilbagekalde kundeorganisationernes CMK'er som beskrevet i Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Før du begynder

Fjern kunder fra den relevante klynge som beskrevet i Fjern lejerorganisationer. Kør HDS-opsætningsværktøjet for at fuldføre fjernelsesprocessen for de kundeorganisationer, der blev fjernet.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker træk ciscocitg/hds-opsætning:stabil

I FedRAMP-miljøer:

docker træk ciscocitg/hds-setup-fedramp:stabil
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Tilbagekald CMK for alle organisationer eller Tilbagekald CMK – klik på denne knap på banneret øverst på skærmen for at tilbagekalde CMK'er for alle organisationer, der blev fjernet.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Tilbagekald CMK'er for at tilbagekalde CMK'er fra alle organisationer, der blev fjernet.
  • Klik på nær CMK for at blive tilbagekaldt for en bestemt organisation i tabellen, og klik på Tilbagekald CMK for at tilbagekalde CMK for den specifikke organisation.
12

Når tilbagekaldelsen af CMK er gennemført, vises kundeorganisationen ikke længere i tabellen.

13

Hvis CMK-tilbagekaldelse ikke lykkes, vises en fejl.

Test din udrulning af hybrid-datasikkerhed

Test din udrulning af hybrid-datasikkerhed

Brug denne procedure til at teste scenarier for kryptering af datasikkerhed med flere lejere.

Før du begynder

  • Opsæt din datasikkerhedsudrulning for flere lejere.

  • Sørg for, at du har adgang til syslog'en for at bekræfte, at vigtige anmodninger overføres til din multi-tenant hybrid-datasikkerhedsudrulning.

1

Taster for et givet rum indstilles af opretteren af rummet. Log ind på Webex-appen som en af brugerne i kundeorganisationen, og opret derefter et rum.

Hvis du deaktiverer hybrid-datasikkerhedsudrulningen, er indhold i rum, som brugere opretter, ikke længere tilgængeligt, når de klientcachelagrede kopier af krypteringsnøglerne erstattes.

2

Send meddelelser til det nye rum.

3

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne sendes til din hybrid-datasikkerhedsudrulning.

  1. For at kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du skal finde en post som f.eks. følgende (identifikatorer forkortes for læsbarhed):
    2020-07-21 17:35:34.562 (+0000) OPLYSNINGER KMS [pool-14-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheBarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. For at kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finde en post såsom:
    2020-07-21 17:44:19.889 (+0000) OPLYSNINGER KMS [pool-14-tråd-31] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. For at kontrollere, om der er en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finde en post såsom:
    2020-07-21 17:44:21.975 (+0000) OPLYSNINGER KMS [pool-14-tråd-33] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. For at søge efter en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere efter kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finde en post såsom: 
    2020-07-21 17:44:22.808 (+0000) OPLYSNINGER KMS [pool-15-tråd-1] - [KMS:ANMODNING] modtaget, enheds-id: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheBarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg sundheden for hybrid-datasikkerhed

En statusindikator i Partner Hub viser dig, om alt er godt med implementeringen af hybriddatasikkerhed for flere lejere. Hvis du vil have mere proaktive varsler, skal du tilmelde dig e-mailunderretninger. Du får besked, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
1

I Partner Hub skal du vælge Tjenester i menuen til venstre på skærmen.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

Siden Indstillinger for hybrid-datasikkerhed vises.
3

I afsnittet E-mailmeddelelser skal du skrive en eller flere e-mailadresser adskilt af kommaer, og trykke på Enter.

Administrer din HDS-installation

Administrer HDS-udrulning

Brug de opgaver, der er beskrevet her, til at administrere din udrulning af hybrid-datasikkerhed.

Indstil tidsplan for klyngeopgradering

Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan indstille en specifik opgraderingsplan eller bruge standardplanen 3:00 AM Daily i USA: Amerika/Los Angeles. Du kan også vælge at udskyde en kommende opgradering, hvis det er nødvendigt.

Sådan opsættes opgraderingsplanen:

1

Log ind på Partner Hub.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt

4

Vælg klyngen på siden Hybrid-datasikkerhedsressourcer.

5

Klik på fanen Klyngeindstillinger .

6

Vælg tidspunkt og tidszone for opgraderingsplanen på siden Klyngeindstillinger under Opgraderingsplan.

Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -klokkeslæt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt med 24 timer.

Skift nodekonfigurationen

Det kan være nødvendigt at ændre konfigurationen af din Hybrid-datasikkerhedsknude af en årsag, såsom:

  • Ændring af x.509-certifikater pga. udløb eller andre årsager.

    Vi understøtter ikke ændring af CN-domænenavnet for et certifikat. Domænet skal passe med det oprindelige domæne, der bruges til at registrere klyngen.

  • Opdatering af databaseindstillinger for at ændre til en replik af PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi understøtter ikke overflytning af data fra PostgreSQL til Microsoft SQL Server, eller hvordan det kan lade sig gøre. For at skifte databasemiljøet skal du starte en ny udrulning af Hybrid-datasikkerhed.

  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Derudover bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i ni måneder. Når HDS-opsætningsværktøjet genererer disse adgangskoder, implementeres de for hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden for din maskinkonto. (E-mailen indeholder teksten "Brug maskinkonto-API'en til at opdatere adgangskoden.") Hvis dine adgangskoder endnu ikke er udløbet, giver værktøjet dig to valgmuligheder:

  • Blød nulstilling – de gamle og nye adgangskoder fungerer begge i op til 10 dage. Brug denne periode til at erstatte ISO-filen på knudepunkterne gradvist.

  • Hård nulstilling – de gamle adgangskoder holder op med at fungere med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, der kræver øjeblikkelig hard reset og udskiftning af ISO-filen på alle knudepunkter.

Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.

Før du begynder

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med partnerfulde administratorrettigheder.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når Docker-beholderen vises i 1.e. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://BRUGERNAVN:PASSWORD@SERVER_IP:PORT

  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder masternøglen, der krypterer PostgreSQL eller Microsoft SQL Server-databasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

1

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

  1. Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

    I almindelige miljøer:

    docker rmi ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

  2. For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

    docker login -u hdscustomersro

  3. I adgangskodeanmodningen skal du indtaste denne hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Download det seneste stabilt billede til dit miljø:

    I almindelige miljøer:

    docker træk ciscocitg/hds-opsætning:stabil

    I FedRAMP-miljøer:

    docker træk ciscocitg/hds-setup-fedramp:stabil

    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 har ikke skærmbilleder til nulstilling af adgangskode.

  5. Når træk er fuldført, indtast den relevante kommando for dit miljø:

    • I almindelige miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I almindelige miljøer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stabil

    • I FedRAMP-miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://server_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når beholderen kører, ser du "Express-serveren lytter på port 8080."

  6. Brug en browser til at tilslutte til localhost, http://127.0.0.1:8080.

    Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

  7. Når du bliver bedt om det, skal du indtaste legitimationsoplysningerne for din Partner Hub-kunde og derefter klikke på Acceptér for at fortsætte.

  8. Importér den aktuelle ISO-konfigurationsfil.

  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

    For at lukke opsætningsværktøjet skal du taste CTRL+C.

  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

2

Hvis du kun har én HDS-knude kørende, skal du oprette en ny hybrid-datasikkerhedstjeneste og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. For mere detaljerede vejledninger, se Opret og tilmeld flere knudepunkter.

  1. Installer HDS-hosten OVA.

  2. Opsæt HDS-VM'en.

  3. Tilslut den opdaterede konfigurationsfil.

  4. Tilmeld den nye knude i Partner Hub.

3

For eksisterende HDS-noder, der kører den ældre konfigurationsfil, skal du tilslutte ISO-filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, inden du slår den næste knude fra:

  1. Slå den virtuelle maskine fra.

  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  3. Klik på CD/DVD-drev 1, vælg muligheden for at tilslutte fra en ISO-fil, og find placeringen, hvor du gemte den nye ISO-konfigurationsfil.

  4. Markér Forbind med tilsluttet strøm.

  5. Gem dine ændringer, og tænd for den virtuelle maskine.

4

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Slå blokeret ekstern DNS-opløsnings tilstand fra

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. Hvis knudens DNS-server ikke kan løse offentlige DNS-navne, går knuden automatisk i blokeret ekstern DNS-opløsnings tilstand.

Hvis dine knuder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du slå denne tilstand fra ved at køre proxy forbindelsestesten igen på hver knude.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine knuder kan kommunikere med dem.
1

I en webbrowser skal du åbne hybrid-datasikkerhedstjeneste nodegrænsefladen (f.eks. IP-adresse/opsætning, https://192.0.2.0/setup), indtaste administratorlegitimationsoplysningerne, du opsætter for noden, og derefter klikke på Log ind.

2

Gå til Oversigt (standardsiden).

Når den er aktiveret, er blokeret ekstern DNS-opløsning indstillet til Ja.

3

Gå til siden Trust store & proxy .

4

Klik på Kontroller proxy forbindelse.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke blev gennemført, var knuden ikke i stand til at nå DNS-serveren og vil forblive i denne tilstand. Ellers skal blokerede ekstern DNS-opløsning indstilles til Nej, når du genstarter knuden og går tilbage til oversigtssiden.

Næste trin

Gentag proxy forbindelsestesten på hver knude i din hybrid-datasikkerheds gruppe.

Fjern et knudepunkt

Brug denne procedure til at fjerne en hybrid-datasikkerhedstjeneste fra Webex Cloud. Når du fjerner noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært og slukke for den virtuelle maskine.

2

Fjern knuden:

  1. Log ind på Partner Hub, og vælg derefter Tjenester.

  2. På hybrid-datasikkerhedskortet skal du klikke på Se alle for at få vist siden Hybrid-datasikkerhedsressourcer.

  3. Vælg din klynge for at få vist oversigtspanelet.

  4. Klik på den node, du vil fjerne.

  5. Klik på Fjern registrering af denne node på panelet, der vises til højre

  6. Du kan også afmelde noden ved at klikke… på højre side af noden og vælge Fjern denne node.

3

Slet VM'en i vSphere-klienten. (Højreklik på VM'en i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM'en, skal du huske at afmontere konfigurations-ISO-filen. Uden ISO-filen kan du ikke bruge VM'en til at få adgang til dine sikkerhedsdata.

Katastrofegendannelse ved hjælp af standby-datacenter

Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye anmodninger om nøgleoprettelse til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den har oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

Da klyngen udfører den kritiske funktion med at levere disse nøgler, er det afgørende, at klyngen fortsat kører, og at der opretholdes korrekte sikkerhedskopieringer. Tab af hybrid-datasikkerhedsdatabasen eller af den konfigurations-ISO, der bruges til skemaet, vil medføre tab AF KUNDEINDHOLD, der ikke kan genoprettes. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter ikke er tilgængelig, skal du følge denne procedure for manuelt at foretage failover til standby-datacenteret.

Før du begynder

Fjern registreringen af alle knuder fra Partner Hub som nævnt i Fjern en knude. Brug den seneste ISO-fil, der blev konfigureret i forhold til noderne for den klynge, der tidligere var aktiv, til at udføre den failover-procedure, der er nævnt nedenfor.
1

Start HDS-opsætningsværktøjet, og følg trinene nævnt i Opret en konfigurations-ISO for HDS-værter.

2

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

3

Lav en sikkerhedskopi af ISO-filen på dit lokale system. Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

4

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

5

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg ISO-fil i datalagring.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knudepunkterne er startet.

6

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

7

Tilmeld knuden i Partner Hub. Se Tilmeld den første node i klyngen.

8

Gentag processen for hver node i standby-datacenteret.

Næste trin

Hvis det primære datacenter efter failover bliver aktivt igen, skal du fjerne registreringen af noderne i standby-datacenteret og gentage processen med at konfigurere ISO og registrere noder i det primære datacenter som nævnt ovenfor.

(Valgfrit) Afmonter ISO efter HDS-konfiguration

Standard-HDS-konfigurationen kører med ISO monteret. Men nogle kunder foretrækker ikke at lade ISO-filer være monteret kontinuerligt. Du kan afmontere ISO-filen, når alle HDS-knuder henter den nye konfiguration.

Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine knudepunkter har hentet konfigurationsændringerne, kan du afmontere ISO'en igen med denne procedure.

Før du begynder

Opgrader alle dine HDS-knuder til version 2021.01.22.4720 eller nyere.

1

Luk en af dine HDS-knudepunkter.

2

Vælg HDS-noden i vCenter-serverenheden.

3

Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af ISO-fil i datalagring.

4

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 20 minutter.

5

Gentag for hver HDS-knude ad gangen.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

En hybrid-datasikkerhedsudrulning anses for ikke at være tilgængelig, hvis alle knuder i klyngen er utilgængelige, eller klyngen arbejder så langsomt, at anmodninger om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

  • Nye rum kan ikke oprettes (nye nøgler kan ikke oprettes)

  • Meddelelser og rumtitler kan ikke dekrypteres for:

    • Nye brugere føjet til et rum (kunne ikke hente tasterne)

    • Eksisterende brugere i et rum, der bruger en ny klient (kan ikke hente tasterne)

  • Eksisterende brugere i et rum fortsætter med at køre, så længe deres klienter har en cache med krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og adresserer eventuelle advarsler med det samme for at undgå afbrydelse af tjenesten.

Varsler

Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Partner Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varsler dækker mange almindelige scenarier.

Tabel 1. Almindelige problemer og trin til at løse dem

Varsel

Handling

Fejl ved lokal databaseadgang.

Kontrollér, om der er databasefejl eller problemer med lokale netværk.

Fejl i forbindelse med lokal database.

Kontrollér, at databaseserveren er tilgængelig, og at de rigtige tjenestekontolegitimationsoplysninger blev brugt i nodekonfigurationen.

Fejl i adgang til cloudtjeneste.

Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i Krav til ekstern forbindelse.

Fornyelse af registrering af cloudtjeneste.

Tilmelding til cloudtjenester blev afbrudt. Fornyelse af registrering er i gang.

Registrering af cloudtjeneste blev afbrudt.

Tilmelding til cloudtjenester blev afsluttet. Tjenesten er ved at lukke.

Tjenesten er endnu ikke aktiveret.

Aktivér HDS i Partner Hub.

Det konfigurerede domæne stemmer ikke overens med servercertifikatet.

Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den indledende opsætning.

Kunne ikke godkende cloudtjenester.

Kontrollér nøjagtigheden og mulig udløb af legitimationsoplysninger for tjenestekontoen.

Kunne ikke åbne fil med lokal nøglelager.

Kontrollér, om der er integritet og adgangskodenøjagtighed i den lokale nøglecenterfil.

Lokalt servercertifikat er ugyldigt.

Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en pålidelig certifikatmyndighed.

Kan ikke sende målinger.

Kontrollér lokal netværksadgang til eksterne cloudtjenester.

/media/configdrive/hds-mappen findes ikke.

Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at blive monteret ved genstart, og at den monteres korrekt.

Opsætning af lejerorganisation er ikke fuldført for de tilføjede organisationer

Fuldfør opsætningen ved at oprette CMK'er for nyligt tilføjede lejerorganisationer ved hjælp af HDS-opsætningsværktøjet.

Opsætning af lejerorganisation er ikke fuldført for de fjernede organisationer

Fuldfør opsætningen ved at tilbagekalde CMK'er for lejerorganisationer, der blev fjernet ved hjælp af HDS-opsætningsværktøjet.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybrid-datasikkerhed.
1

Gennemgå Partner Hub for eventuelle varsler, og ret eventuelle elementer, du finder der. Se billedet nedenfor for reference.

2

Gennemgå syslog-serverens output for aktivitet fra hybrid-datasikkerhedsudrulningen. Filtrer efter ord som "Advarsel" og "Fejl" for at hjælpe med fejlfinding.

3

Kontakt Cisco-support.

Andre bemærkninger

Kendte problemer med hybrid-datasikkerhed

  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Partner Hub eller ved at lukke alle knudepunkter), mister din konfigurations-ISO-fil eller mister adgang til nøglelagerdatabasen, kan Webex-appbrugere i kundeorganisationer ikke længere bruge rum på deres personliste, der blev oprettet med nøgler fra din KMS. Vi har ikke en løsning eller løsning på dette problem i øjeblikket og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, opretholder denne forbindelse i en tidsperiode (sandsynligvis en time).

Brug OpenSSL til at generere en PKCS12-fil

Før du begynder

  • OpenSSL er et værktøj, der kan bruges til at gøre PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre dette på, og vi støtter ikke eller fremmer ikke den ene vej frem for den anden.

  • Hvis du vælger at bruge OpenSSL, leverer vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509-certifikatkravene i X.509-certifikatkrav. Forstå disse krav, før du fortsætter.

  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for softwaren og dokumentationen.

  • Opret en privat nøgle.

  • Start denne procedure, når du modtager servercertifikatet fra dit CA.

1

Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

2

Vis certifikatet som tekst, og bekræft detaljerne.

openssl x509 -tekst -noout -i hdsnode.pem

3

Brug et tekstredigeringsprogram til at oprette en certifikatbundle-fil, der hedder hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rod-CA-certifikaterne i nedenstående format:

-----begynd certifikat------ ### Servercertifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Mellemliggende CA-certifikat. ### -----afslut certifikat----- -----begynd certifikat----- ### Rodnøglecentercertifikat. ### -----afslut certifikat------

4

Opret .p12-filen med det venlige navn kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollér servercertifikatoplysningerne.

  1. openssl pkcs12 - i hdsnode.p12

  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den vises i outputtet. Bekræft derefter, at den private nøgle og det første certifikat indeholder linjerne friendlyName: kms-private-nøgle.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Indtast importadgangskode: MAC-verificerede OK-taskeattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøgleattributter:  Indtast PEM-adgangsfrase: Bekræftelse – indtast PEM-adgangsfrase: -----BEGYND KRYPTERET PRIVAT NØGLE-----  -----END KRYPTERET PRIVAT NØGLE----- Poseattributter friendlyName: kms-private-nøgle localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Poseattributter friendlyName: CN=Lad os kryptere myndighed X3,O=Lad os kryptere,C=US subject=/C=US/O=Lad os kryptere myndighed X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------BEGIN CERTIFIKAT-----  -----END CERTIFIKAT-----

Næste trin

Vend tilbage til Fuldfør forudsætningerne for hybrid-datasikkerhed. Du skal bruge filen hdsnode.p12 og adgangskoden, du har indstillet til den, i Opret en konfigurations-ISO for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-noderne og skyen

Trafik for indsamling af udgående målinger

Hybrid-datasikkerhedstjeneste sender visse målinger til Webex Cloud. Disse omfatter systemmålinger for maks. heap, brugt heap, CPU-belastning og trådtælling, målinger på synkroniserede og asynkrone tråde, målinger på varsler, der involverer en tærskel for krypteringsforbindelser, ventetid eller længde på en anmodningskø, målinger på datalageret og målinger af krypteringsforbindelser. Knuderne sender krypteret nøglemateriale over en ikke-båndkanal (adskilt fra anmodningen).

Indgående trafik

Hybrid-datasikkerhedstjeneste noder modtager følgende typer indgående trafik fra Webex-cloud:

  • Krypteringsanmodninger fra klienter, som distribueres af krypteringstjenesten

  • Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer for hybrid-data sikkerhed

WebSocket kan ikke oprette forbindelse via Squid-Proxy

Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:)-forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan du konfigurerer forskellige versioner af squid til at ignorere WSS: trafik til korrekt funktion af tjenesterne.

Squid 4 og 5

Føj on_unsupported_protocol direktivet til squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi har testet hybrid-data sikkerhed med følgende regler tilføjet til squid. conf. Disse regler er underlagt ændringer, når vi udviklerfunktioner og opdaterer Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kviksølv-forbindelse ssl_bump splitte wssMercuryConnection acl trin1 at_step SslBump1 acl trin2 at_step SslBump2 acl trin3 at_step SslBump3 ssl_bump smugkig trin1 alle ssl_bump kig trin2 alle ssl_bump bump trin3 alle

Nye og ændrede oplysninger

Nye og ændrede oplysninger

Denne tabel dækker nye funktioner eller funktionalitet, ændringer af eksisterende indhold og eventuelle større fejl, der blev rettet i Udrulningsvejledningen for datasikkerhed med flere lejere.

Dato

Der er foretaget ændringer

04. marts 2025

30. januar 2025

Tilføjede SQL-serverversion 2022 til listen over understøttede SQL-servere i Krav til databaseserver.

15. januar 2025

Tilføjede Begrænsninger for hybrid-datasikkerhed for flere lejere.

8. januar 2025

Tilføjede en bemærkning i Udfør indledende opsætning og download installationsfiler , der angiver, at klik på Opsætning på HDS-kortet i Partner Hub er et vigtigt trin i installationsprocessen.

7. januar 2025

Opdaterede krav til virtuel vært, opgavestrøm til implementering af hybrid-datasikkerhed og installer HDS-vært OVA for at vise nye krav til ESXi 7.0.

13. december 2024

Første gang udgivet.

Deaktiver hybrid-datasikkerhed for flere lejere

Opgavestrøm til deaktivering af HDS med flere lejere

Følg disse trin for at deaktivere HDS med flere lejere fuldstændigt.

Før du begynder

Denne opgave bør kun udføres af en partneradministrator med alle rettigheder.
1

Fjern alle kunder fra alle dine klynger, som nævnt i Fjern lejerorganisationer.

2

Tilbagekald alle kunders CMK'er som nævnt i Tilbagekald CMK'er for lejere, der er fjernet fra HDS..

3

Fjern alle knuder fra alle dine klynger, som nævnt i Fjern en knude.

4

Slet alle dine klynger fra Partner Hub ved hjælp af en af følgende to metoder.

  • Klik på den klynge, du vil slette, og vælg Slet denne klynge i øverste højre hjørne af oversigtssiden.
  • På siden Ressourcer skal du klikke på… i højre side af en klynge og vælge Fjern klynge.
5

Klik på fanen Indstillinger på oversigtssiden for hybrid-datasikkerhed, og klik på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybrid-datasikkerhed for flere lejere

Oversigt over hybrid-datasikkerhed for flere lejere

Fra første dag har datasikkerhed været det primære fokus i designet af Webex-appen. Hjørnestenen i denne sikkerhed er slutpunkt-til-slutpunkt-kryptering af indhold, der er aktiveret af Webex-appklienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

Som standard får alle Webex-appkunder kryptering fra slutpunkt-til-slutpunkt med dynamiske nøgler, der er gemt i Cloud KMS i Ciscos sikkerhedsdomæne. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.

Multi-tenant hybrid-datasikkerhed gør det muligt for organisationer at udnytte HDS via en betroet lokal partner, der kan fungere som tjenesteudbyder og administrere kryptering på stedet og andre sikkerhedstjenester. Denne opsætning giver partnerorganisationen mulighed for at have fuld kontrol over installation og administration af krypteringsnøgler og sikrer, at brugerdata i kundeorganisationer er sikre mod ekstern adgang. Partnerorganisationer konfigurerer HDS-forekomster og opretter HDS-klynger efter behov. Hver forekomst kan understøtte flere kundeorganisationer i modsætning til en almindelig HDS-udrulning, der er begrænset til en enkelt organisation.

Selvom partnerorganisationer har kontrol over installation og administration, har de ikke adgang til data og indhold, der er genereret af kunder. Denne adgang er begrænset til kundeorganisationer og deres brugere.

Dette giver også mindre organisationer mulighed for at udnytte HDS, da nøgleadministrationsservice og sikkerhedsinfrastruktur såsom datacentre ejes af den betroede lokale partner.

Sådan giver hybriddatasikkerhed med flere lejere datasuverænitet og datakontrol

  • Brugergenereret indhold er beskyttet mod ekstern adgang, f.eks. cloudtjenesteudbydere.
  • Lokale betroede partnere administrerer krypteringsnøglerne for kunder, som de allerede har et etableret forhold til.
  • Valgmulighed for lokal teknisk support, hvis den leveres af partneren.
  • Understøtter indhold i møder, meddelelser og opkald.

Dette dokument er beregnet til at hjælpe partnerorganisationer med at opsætte og administrere kunder under et hybrid-datasikkerhedssystem med flere lejere.

Begrænsninger for hybrid-datasikkerhed for flere lejere

  • Partnerorganisationer må ikke have nogen eksisterende HDS-udrulning aktiv i Control Hub.
  • Lejer- eller kundeorganisationer, der ønsker at blive administreret af en partner, må ikke have nogen eksisterende HDS-udrulning i Control Hub.
  • Når multilejer-HDS er installeret af partneren, begynder alle brugere i kundeorganisationer samt brugere i partnerorganisationen at bruge multilejer-HDS til deres krypteringstjenester.

    Partnerorganisationen og kundeorganisationer, som de administrerer, vil være på den samme HDS-udrulning med flere lejere.

    Partnerorganisationen vil ikke længere bruge cloud-KMS, når multi-tenant-HDS er installeret.

  • Der er ingen mekanisme til at flytte nøgler tilbage til Cloud-KMS efter en HDS-installation.
  • I øjeblikket kan hver HDS-installation med flere lejere kun have én klynge med flere knudepunkter under den.
  • Administratorroller har visse begrænsninger. Se afsnittet nedenfor for at få flere oplysninger.

Roller i hybrid-datasikkerhed for flere lejere

  • Partneradministrator med fulde rettigheder – kan administrere indstillinger for alle kunder, som partneren administrerer. Kan også tildele administratorroller til eksisterende brugere i organisationen og tildele specifikke kunder, der skal administreres af partneradministratorer.
  • Partneradministrator – kan administrere indstillinger for kunder, som administratoren klargjorde, eller som er blevet tildelt brugeren.
  • Fuld administrator – administrator for partnerorganisationen, der er autoriseret til at udføre opgaver såsom at ændre organisationsindstillinger, administrere licenser og tildele roller.
  • Opsætning og administration af HDS med flere lejere fra slutpunkt til slutpunkt for alle kundeorganisationer – fuld administrator og fulde administratorrettigheder er påkrævet.
  • Administration af tildelte lejerorganisationer – partneradministrator og fulde administratorrettigheder er påkrævet.

Arkitektur for sikkerhedsdomæne

Webex Cloud-arkitekturen opdeler forskellige typer tjenester i separate domæner eller tillidsdomæner, som vist nedenfor.

Områder for adskillelse (uden hybrid-datasikkerhed)

For yderligere at forstå hybrid-datasikkerhed skal vi først se på denne rene cloud-sag, hvor Cisco leverer alle funktioner i sine cloud-områder. Identitetstjenesten, som er det eneste sted, hvor brugere kan være direkte korreleret med deres personlige oplysninger såsom e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsdomænet i datacenter B. Begge er adskilt fra det domæne, hvor krypteret indhold i sidste ende gemmes, i datacenter C.

I dette diagram kører klienten Webex-appen på en brugers bærbare computer og er godkendt med identitetstjenesten. Når brugeren opretter en meddelelse, der skal sendes til et rum, udføres følgende trin:

  1. Klienten opretter en sikker forbindelse til KMS (key management service) og anmoder derefter om en nøgle for at kryptere meddelelsen. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256-hovednøgle.

  2. Meddelelsen krypteres, før den forlader klienten. Klienten sender det til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe fremtidige søgninger efter indholdet.

  3. Den krypterede meddelelse sendes til overholdelsestjenesten for overensstemmelseskontrol.

  4. Den krypterede meddelelse gemmes i lagerdomænet.

Når du installerer hybrid-datasikkerhed, flytter du sikkerhedsressourcefunktionerne (KMS, indeksering og overholdelse) til dit lokale datacenter. De andre cloudtjenester, der udgør Webex (herunder identitets- og indholdslagring), forbliver i Ciscos domæner.

Samarbejde med andre organisationer

Brugere i din organisation kan regelmæssigt bruge Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et rum, der ejes af din organisation (fordi det blev oprettet af en af dine brugere), sender dit KMS nøglen til klienten over en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, sender din KMS anmodningen ud til Webex Cloud via en separat ECDH-kanal for at få nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

Den KMS-tjeneste, der kører på organisation A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for oplysninger om generering af et x.509-certifikat til brug med din multi-tenant hybrid-datasikkerhedsudrulning.

Forventninger til implementering af hybrid-datasikkerhed

En hybrid-datasikkerhedsudrulning kræver betydelig engagement og opmærksomhed om de risici, der følger med at eje krypteringsnøgler.

For at implementere hybrid-datasikkerhed skal du angive:

Komplet tab af enten den konfigurations-ISO, du opretter til hybrid-datasikkerhed, eller den database, du leverer, vil medføre tab af nøgler. Tabet af nøgler forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du oprette en ny installation, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

  • Administrer sikkerhedskopiering og gendannelse af databasen og konfigurations-ISO.

  • Vær forberedt på at udføre hurtig katastrofegenoprettelse, hvis der opstår en katastrofe, såsom databasediskfejl eller datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-installation.

Opsætningsproces på højt niveau

Dette dokument dækker opsætningen og administrationen af en multi-tenant hybrid-datasikkerhedsudrulning:

  • Opsæt hybrid-datasikkerhed – dette omfatter forberedelse af nødvendig infrastruktur og installation af hybrid-datasikkerhedssoftware, opbygning af en HDS-klynge, tilføjelse af lejerorganisationer til klyngen og administration af deres kundehovednøgler (CMK'er). Dette gør det muligt for alle brugere i dine kundeorganisationer at bruge din hybrid-datasikkerhedsklynge til sikkerhedsfunktioner.

    Opsætnings-, aktiverings- og administrationsfaserne er beskrevet i detaljer i de næste tre kapitler.

  • Vedligehold din hybrid-datasikkerhedsudrulning – Webex Cloud leverer automatisk igangværende opgraderinger. Din it-afdeling kan yde support på niveau et for denne udrulning og bruge Cisco-support efter behov. Du kan bruge underretninger på skærmen og opsætte e-mailbaserede varsler i Partner Hub.

  • Forstå almindelige varsler, fejlfindingstrin og kendte problemer – Hvis du oplever problemer med at installere eller bruge hybrid-datasikkerhed, kan det sidste kapitel i denne vejledning og bilaget Kendte problemer hjælpe dig med at finde og løse problemet.

Udrulningsmodel for hybrid-datasikkerhed

I dit virksomhedsdatacenter installerer du hybrid-datasikkerhed som en enkelt klynge af noder på separate virtuelle værter. Noderne kommunikerer med Webex Cloud via sikre websockets og sikker HTTP.

Under installationsprocessen giver vi dig OVA-filen til at konfigurere den virtuelle enhed på de VM'er, du leverer. Du kan bruge HDS-opsætningsværktøjet til at oprette en brugertilpasset ISO-fil til klyngekonfiguration, som du monterer på hver node. Hybrid-datasikkerhedsklyngen bruger din angivne Syslogd-server- og PostgreSQL- eller Microsoft SQL-serverdatabase. (Du kan konfigurere oplysninger om Syslogd og databaseforbindelse i HDS-opsætningsværktøjet).

Udrulningsmodel for hybrid-datasikkerhed

Det mindste antal knudepunkter, du kan have i en klynge, er to. Vi anbefaler mindst tre pr. klynge. At have flere knudepunkter sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en knude. (Webex Cloud opgraderer kun én knude ad gangen).

Alle knuder i en klynge har adgang til det samme nøgledatalager og logaktivitet til den samme syslog-server. Noderne er i sig selv statsløse og håndterer vigtige anmodninger på round-robin-måde, som dirigeret af skyen.

Knudepunkter bliver aktive, når du tilmelder dem i Partner Hub. Hvis du vil tage en individuel knude ud af drift, kan du framelde den og senere registrere den igen, hvis det er nødvendigt.

Standby-datacenter til gendannelse efter nedbrud

Under installationen konfigurerer du et sikkert standbydatacenter. I tilfælde af en datacenterkatastrofe kan du manuelt mislykkes din installation over til standby-datacenteret.

Før failover har datacenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-database, mens B har en kopi af ISO-filen med yderligere konfigurationer, VM'er, der er registreret i organisationen, og en standbydatabase. Efter failover har datacenter B aktive HDS-noder og den primære database, mens A har ikke-registrerede VM'er og en kopi af ISO-filen, og databasen er i standbytilstand.
Manuel failover til standby-datacenter

Databaserne for de aktive datacentre og standby-datacentre er synkroniseret, hvilket minimerer den tid, det tager at udføre failover.

De aktive hybrid-datasikkerhedstjeneste skal altid være i det samme datacenter som den aktive databaseserver.

Proxy-support

Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.

Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:

  • Ingen proxy – standard, hvis du ikke bruger HDS-nodens konfiguration af tillidslager og proxykonfiguration til at integrere en proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig ikke-kontrollerende proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve ændringer for at fungere med en ikke-kontrollerende proxy. Ingen certifikat opdatering er påkrævet.

  • Gennemsigtig tunneling eller inspektion af proxy – noderne er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

  • Eksplicit proxy – Med eksplicit proxy fortæller du HDS-knuderne, hvilken proxyserver og godkendelsesplan de skal bruge. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – Afhængigt af hvad din proxyserver understøtter, skal du vælge mellem følgende protokoller:

      • HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.

      • HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

Eksempel på hybrid-data sikkerheds knuder og proxy

Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.

Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.

Forbered dit miljø

Krav til hybrid-datasikkerhed for flere lejere

Cisco Webex-licenskrav

Sådan udrulles hybriddatasikkerhed for flere lejere:

  • Partnerorganisationer: Kontakt din Cisco-partner eller kontoadministrator, og sørg for, at funktionen med flere lejere er aktiveret.

  • Lejerorganisationer: Du skal have Pro Pack til Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker Desktop

Før du installerer dine HDS-knuder, skal du bruge Docker Desktop til at køre et opsætningsprogram. Docker har for nylig opdateret sin licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".

Kunder uden en Docker Desktop-licens kan bruge et open source container management værktøj som Podman Desktop til at køre, administrere og oprette containere. Se Kør HDS-opsætningsværktøj ved hjælp af Podman Desktop for yderligere oplysninger.

X.509 Certifikatkrav

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509 Certifikatkrav til hybrid-datasikkerhedsudrulning

Krav

Detaljer

  • Underskrevet af et pålideligt nøglecenter (CA)

Som standard stoler vi på nøglecentererne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et CN-domænenavn (Common Name), der identificerer din hybrid-datasikkerhedsudrulning

  • Er ikke et jokertegn

CN behøver ikke at kunne kontaktes eller være en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, f.eks. hds.company.com.

CN må ikke indeholde et * (jokertegn).

CN bruges til at bekræfte hybrid-datasikkerhedsknuderne for Webex-appklienter. Alle hybrid-datasikkerhedstjeneste noder i din klynge bruger det samme certifikat. Din KMS identificerer sig selv ved hjælp af CN-domænet, ikke et domæne, der er defineret i x.509v3 SAN-felterne.

Når du har registreret en node med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet.

  • Ikke-SHA1-signatur

KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

  • Formateret som en adgangskodebeskyttet PKCS nr. 12-fil

  • Brug det venlige navn på kms-private-key til at tagge certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal uploades.

Du kan bruge en konverter såsom OpenSSL til at ændre certifikatets format.

Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

KMS-softwaren håndhæver ikke nøglebrug eller udvidede begrænsninger for nøglebrug. Nogle certifikatmyndigheder kræver, at der anvendes udvidede begrænsninger for nøglebrug for hvert certifikat, f.eks. servergodkendelse. Det er i orden at bruge servergodkendelse eller andre indstillinger.

Krav til virtuel vært

De virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste noder i din klynge, har følgende krav:

  • Mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter

  • VMware ESXi 7.0 (eller nyere) installeret og kører.

    Du skal opgradere, hvis du har en tidligere version af ESXi.

  • Mindst 4 vCPU'er, 8 GB primær hukommelse, 30 GB lokal harddiskplads pr. server

Krav til databaseserver

Opret en ny database til nøglelager. Brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.

Der er to valgmuligheder for databaseserver. Kravene til hver enkelt er som følger:

Tabel 2. Databaseserverkrav efter databasetype

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 eller 16, installeret og kører.

  • SQL Server 2016, 2017, 2019 eller 2022 (Enterprise eller Standard) installeret.

    SQL Server 2016 kræver Service Pack 2 og kumulativ opdatering 2 eller nyere.

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning til at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i lang tid uden at skulle øge hukommelsen)

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

JDBC-driver 4.6 til SQL Server

Denne driverversion understøtter SQL Server altid slået til ( Altid på failover-klyngeforekomster og Altid på tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse i forhold til Microsoft SQL Server

Hvis du ønsker, at HDS-noder skal bruge Windows-godkendelse til at få adgang til din keystore-database på Microsoft SQL Server, skal du bruge følgende konfiguration i dit miljø:

  • HDS-knuderne, Active Directory-infrastrukturen og MS SQL Server skal alle synkroniseres med NTP.

  • Den Windows-konto, du angiver til HDS-noder, skal have læse-/skriveadgang til databasen.

  • De DNS-servere, du angiver til HDS-noder, skal kunne løse dit Key Distribution Center (KDC).

  • Du kan registrere HDS-databaseforekomsten på din Microsoft SQL Server som et Service Principal Name (SPN) i din Active Directory. Se Registrer et tjenestehovednavn for Kerberos-forbindelser.

    HDS-opsætningsværktøjet, HDS-startfunktionen og lokal KMS skal alle bruge Windows-godkendelse til at få adgang til nøglelagerdatabasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN, når der anmodes om adgang med Kerberos-godkendelse.

Krav til ekstern forbindelse

Konfigurer din firewall til at tillade følgende forbindelser for HDS-programmerne:

Applikation

Protokol

Port

Retning fra appen

Destination

Hybrid-datasikkerhedstjeneste

TCP

443

Udgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-værter

  • Andre URL-adresser, der er angivet for hybrid-datasikkerhed i tabellen Yderligere URL-adresser til Webex Hybrid-tjenester med Netværkskrav til Webex-tjenester

HDS-opsætningsværktøj

TCP

443

Udgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-værter

  • hub.docker.com

Hybrid-datasikkerhedstjeneste fungerer med NAT (network access translation) eller bag en firewall, så længe NAT eller firewall tillader de påkrævede udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går indgående til hybrid-datasikkerhedstjeneste, må ingen porte være synlige fra internettet. I dit datacenter skal klienter have adgang til hybrid-datasikkerhedsknuderne på TCP-portene 443 og 22 af administrative årsager.

URL-adresser til Common Identity (CI)-værter er områdespecifikke. Disse er de aktuelle CI-værter:

Område

URL-adresser til fælles identitet

Nord-, Mellem- og Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

EU

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Forenede Arabiske Emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy server krav

  • Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.

    • Gennemsigtig proxy – Cisco web Security-Appliance (WSA).

    • Eksplicit proxy-squid.

      Squid-proxyer, der undersøger HTTPS-trafik, kan forstyrre oprettelsen af websocket-forbindelser (wss:). Hvis du vil undgå dette problem, kan du se Konfigurer Squid-proxyer til hybrid-datasikkerhed.

  • Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:

    • Ingen godkendelse med HTTP eller HTTPS

    • Grundlæggende godkendelse med HTTP eller HTTPS

    • Samlet godkendelse kun med HTTPS

  • For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.

  • Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

  • Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil omgåelse af (ikke inspicere) trafik til wbx2.com og ciscospark.com løse problemet.

Udfyld forudsætningerne for hybrid-datasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din hybrid-datasikkerhedsklynge.
1

Sørg for, at din partnerorganisation har multilejer-HDS-funktionen aktiveret, og få legitimationsoplysningerne for en konto med partnerfuld administrator og fulde administratorrettigheder. Sørg for, at din Webex-kundeorganisation er aktiveret til Pro Pack til Cisco Webex Control Hub. Kontakt din Cisco-partner eller -kontoadministrator for at få hjælp til denne proces.

Kundeorganisationer bør ikke have nogen eksisterende HDS-udrulning.

2

Vælg et domænenavn til din HDS-udrulning (for eksempel hds.company.com), og få en certifikatkæde, der indeholder et X.509-certifikat, en privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509 Certifikatkrav.

3

Forbered identiske virtuelle værter, som du vil opsætte som hybrid-datasikkerhedstjeneste i din klynge. Du skal bruge mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter, som opfylder kravene i Krav til virtuel vært.

4

Forbered den databaseserver, der vil fungere som nøgledatalageret for klyngen i henhold til kravene til databaseserver. Databaseserveren skal være placeret i det sikre datacenter med de virtuelle værter.

  1. Opret en database til nøglelager. (Du skal oprette denne database – brug ikke standarddatabasen. HDS-programmerne opretter databaseskemaet, når de er installeret.)

  2. Indsaml de oplysninger, som noderne skal bruge til at kommunikere med databaseserveren:

    • værtsnavnet eller IP-adressen (vært) og porten

    • navnet på databasen (dbname) til nøglelagring

    • brugernavnet og adgangskoden for en bruger med alle privilegier på nøglelagerdatabasen

5

For hurtig katastrofegenoprettelse skal du opsætte et sikkerhedskopieringsmiljø i et andet datacenter. Sikkerhedskopieringsmiljøet afspejler produktionsmiljøet for VM'er og en sikkerhedskopieret databaseserver. Hvis produktionen f.eks. har 3 VM'er, der kører HDS-noder, skal sikkerhedskopieringsmiljøet have 3 VM'er.

6

Konfigurer en syslog-vært til at indsamle logfiler fra knuderne i klyngen. Hent dens netværksadresse og syslog-port (standard er UDP 514).

7

Opret en sikker sikkerhedskopieringspolitik for hybrid-datasikkerhedstjeneste, databaseserveren og syslog-værten. For at forhindre, at der ikke kan genoprettes tab af data, skal du som minimum sikkerhedskopiere databasen og konfigurationsfilen, der er genereret til hybrid-datasikkerhedstjeneste.

Da hybrid-datasikkerhedstjeneste gemmer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende vedligeholdelse af en operativ installation medføre UOPRETTELIG TAB af dette indhold.

Webex-appklienter cachelagrer deres nøgler, så et udfald vil muligvis ikke blive bemærket med det samme, men vil blive tydeligt med tiden. Selv om midlertidige afbrydelser ikke kan forhindres, kan de genoprettes. Men komplet tab (ingen tilgængelige sikkerhedskopier) af enten databasen eller konfigurationsfilen vil resultere i, at kundedata ikke kan genoprettes. Operatørerne af hybrid-datasikkerhedstjeneste forventes at opretholde hyppige sikkerhedskopieringer af databasen og ISO-konfigurationsfilen og være forberedt på at genopbygge hybrid-datasikkerhedstjeneste-datacenteret, hvis der opstår en katastrofal fejl.

8

Sørg for, at din firewall-konfiguration tillader tilslutning til dine hybrid-datasikkerhedsknuder som beskrevet i Krav til ekstern tilslutning.

9

Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet OS (Microsoft Windows 10 Professional eller Enterprise 64-bit eller Mac OSX Yosemite 10.10.3 eller derover) med en webbrowser, der kan få adgang til det på http://127.0.0.1:8080.

Du kan bruge Docker-forekomsten til at downloade og køre HDS-opsætningsværktøjet, som opretter de lokale konfigurationsoplysninger for alle hybrid-datasikkerhedstjeneste. Du skal muligvis have en Docker Desktop-licens. Se Krav til Docker-desktop for yderligere oplysninger.

For at installere og køre HDS-opsætningsværktøjet skal den lokale maskine have forbindelsen beskrevet i Krav til ekstern forbindelse.

10

Hvis du integrerer en proxy med hybrid-datasikkerhed, skal du sørge for, at den opfylder kravene til proxyserver.

Opsæt en hybrid-datasikkerhedsklynge

Opgavestrøm til installation af hybrid-datasikkerhed

Før du begynder

1

Udfør indledende opsætning og download installationsfiler

Download OVA-filen til din lokale maskine til senere brug.

2

Opret en konfigurations-ISO for HDS-værter

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til hybrid-datasikkerhedstjeneste.

3

Installer HDS-værts-OVA

Opret en virtuel maskine fra OVA-filen, og udfør indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

4

Opsæt VM for hybrid-datasikkerhed

Log på VM-konsollen, og indstil logonlegitimationsoplysningerne. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

5

Overfør og monter HDS-konfigurations-ISO

Konfigurer VM'en fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

6

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og føje proxycertifikatet til tillidslageret, hvis det er nødvendigt.

7

Tilmeld den første knude i klyngen

Tilmeld VM'en med Cisco Webex Cloud som en hybrid-datasikkerhedstjeneste.

8

Opret og tilmeld flere knudepunkter

Fuldfør klyngeopsætningen.

9

Aktivér HDS med flere lejere på Partner Hub.

Aktivér HDS, og administrer lejerorganisationer i Partner Hub.

Udfør indledende opsætning og download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du har konfigureret som hybrid-datasikkerhedsknuder). Du bruger denne fil senere i installationsprocessen.

1

Log ind på Partner Hub, og klik derefter på Tjenester.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og derefter klikke på Opsæt.

Klik på Opsæt i Partner Hub er afgørende for installationsprocessen. Fortsæt ikke med installationen uden at fuldføre dette trin.

3

Klik på Tilføj en ressource , og klik på Download .OVA-fil på kortet Installer og konfigurer software .

Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste hybrid-datasikkerhedsopgraderinger. Dette kan medføre problemer under opgradering af applikationen. Sørg for at downloade den seneste version af OVA-filen.

Du kan også downloade OVA'en når som helst fra afsnittet Hjælp . Klik på Indstillinger > Hjælp > Download hybrid-datasikkerhedssoftware.

OVA-filen begynder automatisk at blive downloadet. Gem filen på en placering på din maskine.
4

Du kan også klikke på Se udrulningsvejledning til hybrid-datasikkerhed for at kontrollere, om der er en senere version af denne vejledning tilgængelig.

Opret en konfigurations-ISO for HDS-værter

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

Før du begynder
1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import har du følgende valgmuligheder:

  • Nej – Hvis du opretter din første HDS-node, har du ikke en ISO-fil, der skal uploades.
  • Ja – Hvis du allerede har oprettet HDS-noder, så vælger du din ISO-fil i browseren og overfører den.
10

Kontrollér, at dit X.509-certifikat opfylder kravene i X.509-certifikatkrav.

  • Hvis du aldrig har overført et certifikat før, skal du overføre X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
  • Hvis dit certifikat er ok, skal du klikke på Fortsæt.
  • Hvis dit certifikat er udløbet, eller du vil udskifte det, skal du vælge Nej for Fortsæt med at bruge HDS-certifikatkæde og privat nøgle fra tidligere ISO?. Overfør et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
11

Indtast databaseadressen og -kontoen for HDS for at få adgang til dit nøgledatalager:

  1. Vælg din databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du vælger Microsoft SQL Server, får du et felt til godkendelsestype.

  2. (Kun Microsoft SQL Server ) Vælg din godkendelsestype:

    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL Server-kontonavn i feltet Brugernavn .

    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn .

  3. Indtast databaseserveradressen i formularen : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at fortolke værtsnavnet.

    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

  4. Indtast databasenavnet.

  5. Indtast Brugernavn og Adgangskode for en bruger med alle privilegier på nøglelagerdatabasen.

12

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretræk TLS (standardvalgmulighed)

HDS-noder kræver ikke TLS for at tilslutte til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræv TLS

HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

Kræv TLS, og bekræft certifikatcertifikatstegner

Denne tilstand gælder ikke for SQL Server-databaser.

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Kræv TLS, og bekræft certifikatvært og værtsnavn

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter oprettelse af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i databaserodcertifikatet. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

  • Noderne bekræfter også, at værtsnavnet i servercertifikatet stemmer overens med værtsnavnet i feltet Databasevært og -port . Navnene skal passe præcist, ellers vil knudepunktet falde i forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Når du overfører rodcertifikatet (om nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forbindelsesforskelle kan HDS-noderne muligvis etablere TLS-forbindelsen, selvom maskinen til HDS-opsætningsværktøjet ikke kan teste den).

13

På siden Systemlogfiler skal du konfigurere din Syslogd-server:

  1. Indtast URL-adressen til syslog-serveren.

    Hvis serveren ikke kan DNS-løses fra noderne til din HDS-klynge, skal du bruge en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angiver logføring til Syslogd-vært 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL-adresse såsom tcp://10.92.43.23:514.

  3. Fra rullegardinmenuen Vælg afslutning af syslog-post skal du vælge den relevante indstilling for din ISO-fil: Vælg, eller linjeskift bruges til Graylog og Rsyslog TCP

    • Ingen byte -- \x00

    • Nylinje -- \n– Vælg denne valgmulighed for Graylog og Rsyslog TCP.

  4. Klik på Fortsæt.

14

(Valgfri) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du måske vil ændre:

app_datasource_connection_pool_maxSize: 10
15

Klik på Fortsæt på skærmen Nulstil tjenestekontoadgangskode .

Tjenestekontoadgangskoder har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder er ved at udløbe, eller du vil nulstille dem til at ugyldiggøre tidligere ISO-filer.

16

Klik på Download ISO-fil. Gem filen på en placering, der er nem at finde.

17

Lav en sikkerhedskopi af ISO-filen på dit lokale system.

Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

18

For at lukke opsætningsværktøjet skal du skrive CTRL+C.

Næste trin

Sikkerhedskopier ISO-konfigurationsfilen. Du skal bruge den til at oprette flere knudepunkter til genoprettelse eller til at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet hovednøglen. Det er ikke muligt at gendanne nøglerne fra din PostgreSQL- eller Microsoft SQL Server-database.

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS-værts-OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært.

2

Vælg Fil > Implementer OVF-skabelon.

3

I guiden skal du angive placeringen af OVA-filen, som du downloadede tidligere, og derefter klikke på Næste.

4

På siden Vælg et navn og en mappe skal du indtaste et virtuelt maskinnavn for noden (for eksempel "HDS_Node_1"), vælge en placering, hvor udrulningen af noden til den virtuelle maskine kan ligge, og derefter klikke på Næste.

5

På siden Vælg en beregningsressource skal du vælge destinationsberegningsressourcen og derefter klikke på Næste.

En valideringskontrol kører. Når den er færdig, vises skabelonoplysningerne.

6

Bekræft skabelonoplysningerne, og klik derefter på Næste.

7

Hvis du bliver bedt om at vælge ressourcekonfiguration på siden Konfiguration , skal du klikke på 4 CPU og derefter klikke på Næste.

8

På siden Vælg lagerplads skal du klikke på Næste for at acceptere standarddiskformatet og VM-lagerpolitikken.

9

På siden Vælg netværk skal du vælge netværksvalgmuligheden fra listen med poster for at levere den ønskede forbindelse til VM'en.

10

På siden Brugertilpas skabelon skal du konfigurere følgende netværksindstillinger:

  • Værtsnavn – indtast FQDN (værtsnavn og domæne) eller et enkelt ordværtsnavn for noden.

    • Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

    • For at sikre en vellykket registrering til skyen skal du kun bruge små bogstaver i det FQDN eller værtsnavn, som du har indstillet for noden. Store bogstaver understøttes ikke på dette tidspunkt.

    • Den samlede længde på FQDN må ikke overstige 64 tegn.

  • IP-adresse– Indtast IP-adressen for nodens interne grænseflade.

    Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

  • Maske – indtast undernetmaskens adresse i prik-decimal notation. For eksempel 255.255.255.0.
  • Gateway – indtast gateway-IP-adressen. En gateway er en netværksknude, der fungerer som et adgangspunkt til et andet netværk.
  • DNS-servere – Indtast en kommasepareret liste over DNS-servere, som håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
  • NTP-servere – Indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. Standard-NTP-servere fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at angive flere NTP-servere.

  • Installer alle knudepunkterne på det samme undernet eller VLAN, så alle knudepunkter i en klynge kan kontaktes fra klienter i dit netværk af administrative årsager.

Hvis du foretrækker det, kan du springe konfigurationen af netværksindstillingerne over og følge trinnene i Opsæt hybrid-datasikkerhed VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-installation er blevet testet med ESXi 7.0. Valgmuligheden er muligvis ikke tilgængelig i tidligere versioner.

11

Højreklik på noden VM, og vælg derefter Tænd > Tænd.

Hybrid-datasikkerhedssoftwaren installeres som gæst på VM-værten. Du er nu klar til at logge på konsollen og konfigurere noden.

Fejlfindingstip

Du kan opleve en forsinkelse på nogle få minutter, før knudebeholderne dukker op. Der vises en meddelelse om broens firewall på konsollen under den første start, hvor du ikke kan logge ind.

Opsæt VM for hybrid-datasikkerhed

Brug denne procedure til at logge på hybrid-datasikkerhedstjeneste VM-konsollen for første gang og indstille logonlegitimationsoplysningerne. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-installationen.

1

I VMware vSphere-klienten skal du vælge din hybrid-datasikkerhedstjeneste og vælge fanen Konsol .

VM'en starter, og der vises en loginmeddelelse. Hvis loginprompten ikke vises, skal du trykke på Enter.
2

Brug følgende standardlogin og -adgangskode til at logge på og ændre legitimationsoplysningerne:

  1. Login: admin

  2. Adgangskode: cisco

Da du logger ind på din VM for første gang, skal du ændre administratoradgangskoden.

3

Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, skal du springe resten af denne procedure over. Ellers skal du vælge valgmuligheden Rediger konfiguration i hovedmenuen.

4

Konfigurer en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

5

(Valgfri) Skift værtsnavnet, domænet eller NTP-serveren/-serverne, hvis det er nødvendigt for at matche din netværkspolitik.

Du behøver ikke at indstille domænet, så det svarer til det domæne, du brugte til at få X.509-certifikatet.

6

Gem netværkskonfigurationen, og genstart VM'en, så ændringerne træder i kraft.

Overfør og monter HDS-konfigurations-ISO

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Da ISO-filen indeholder hovednøglen, bør den kun udstilles på et "need to know"-grundlag for adgang for hybrid-datasikkerhed-VM'er og alle administratorer, der kan få brug for at foretage ændringer. Sørg for, at det kun er disse administratorer, der kan få adgang til datalageret.

1

Overfør ISO-filen fra din computer:

  1. I VMware vSphere-klientens venstre navigationsrude skal du klikke på ESXi-serveren.

  2. På fanen Konfiguration skal du klikke på Lager.

  3. På listen Datalagre skal du højreklikke på datalagret for dine VM'er og klikke på Søg i datalagre.

  4. Klik på ikonet Overfør filer, og klik derefter på Overfør fil.

  5. Gå til placeringen, hvor du downloadede ISO-filen på din computer, og klik på Åbn.

  6. Klik på Ja for at acceptere advarslen om upload/download-handling, og luk datalagerdialogboksen.

2

Monter ISO-filen:

  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsmuligheder.

  3. Klik på CD/DVD Drive 1, vælg valgmuligheden for at montere fra en ISO-fil fra et datalager, og gå til placeringen, hvor du overførte ISO-konfigurationsfilen.

  4. Markér Tilsluttet og Tilslut ved tænding.

  5. Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Hvis din it-politik kræver det, kan du vælge at afmontere ISO-filen, når alle dine knudepunkter har hentet konfigurationsændringerne. Se (Valgfrit) Fjern ISO efter HDS-konfiguration for at få flere oplysninger.

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.

Før du begynder

1

Indtast URL-adressen til opsætning af HDS-noden https://[HDS Node IP or FQDN]/setup i en webbrowser, indtast administratorlegitimationsoplysningerne, som du opsætter for noden, og klik derefter på Log ind.

2

Gå til Trust store & proxy, og vælg derefter en valgmulighed:

  • Ingen proxy – standardvalgmuligheden, før du integrerer en proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig ikke-inspicerende proxy – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse og bør ikke kræve nogen ændringer for at fungere med en ikke-inspicerende proxy. Ingen certifikat opdatering er påkrævet.
  • Gennemsigtig proxy til inspektion – noder er ikke konfigureret til at bruge en bestemt proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-data sikkerhed, men HDS-knuder skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
  • Eksplicit proxy – Med eksplicit proxy fortæller du klienten (HDS-noder), hvilken proxyserver der skal bruges, og denne valgmulighed understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:

    1. Proxy-IP/FQDN – adresse, der kan bruges til at få adgang til proxymaskinen.

    2. Proxyport – et portnummer, som proxyen bruger til at lytte til proxytrafik.

    3. Proxyprotokol – vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (giver en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad dine proxyserver understøtter.

    4. Godkendelsestype – vælg mellem følgende godkendelsestyper:

      • Ingen – ingen yderligere godkendelse er påkrævet.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

      • Grundlæggende – bruges til en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

      • Digest – bruges til at bekræfte kontoen, før du sender følsomme oplysninger. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig for HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy.

3

Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen.

Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen.

4

Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen.

Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. Hvis du mener, at dette er en fejl, skal du udføre disse trin og derefter se Deaktiver blokeret ekstern DNS-opløsningstilstand.

5

Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft.

6

Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar.

Knuden genstarter inden for et par minutter.

7

Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status.

Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen.

Tilmeld den første knude i klyngen

Denne opgave tager den generiske node, som du oprettede i Opsæt hybrid-datasikkerhed VM, registrerer noden med Webex-cloud og omdanner den til en hybrid-datasikkerhedstjeneste.

Når du tilmelder din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere knudepunkter, der er installeret for at give redundans.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Opsæt.

4

Klik på Tilføj en ressource på siden, der åbnes.

5

I det første felt på kortet Tilføj en knude skal du indtaste et navn på den klynge, som du vil tildele din hybrid-datasikkerhedstjeneste.

Vi anbefaler, at du navngiver en klynge ud fra, hvor klyngens knudepunkter er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node og klikke på Tilføj nederst på skærmen.

Denne IP-adresse eller FQDN skal svare til den IP-adresse eller værtsnavn og domæne, du brugte i Opsæt hybrid-datasikkerhed VM.

Der vises en meddelelse, der angiver, at du kan tilmelde din node til Webex.
7

Klik på Gå til knude.

Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din Webex-organisation til at få adgang til din node.

8

Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.
9

Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

På siden Hybrid-datasikkerhed vises den nye klynge, der indeholder den node, du har tilmeldt, under fanen Ressourcer . Noden vil automatisk downloade den nyeste software fra skyen.

Opret og tilmeld flere knudepunkter

For at tilføje yderligere noder til din klynge skal du blot oprette yderligere VM'er og montere den samme ISO-konfigurationsfil og derefter registrere noden. Vi anbefaler, at du har mindst 3 knudepunkter.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, eller du skal starte forfra.

  • Sørg for, at eventuelle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Opret en ny virtuel maskine fra OVA, og gentag trinnene i Installer HDS-vært-OVA.

2

Opsæt den indledende konfiguration på den nye VM, og gentag trinnene i Opsæt hybrid datasikkerhed VM.

3

På den nye VM skal du gentage trinnene i Overfør og monter HDS-konfigurations-ISO.

4

Hvis du opsætter en proxy for din installation, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

5

Tilmeld knudepunktet.

  1. I https://admin.webex.com skal du vælge Tjenester fra menuen i venstre side af skærmen.

  2. I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhedskortet og klikke på Vis alle.

    Siden Hybrid-datasikkerhedsressourcer vises.

  3. Den nyoprettede klynge vises på siden Ressourcer .

  4. Klik på klyngen for at få vist de knudepunkter, der er tildelt klyngen.

  5. Klik på Tilføj en node i højre side af skærmen.

  6. Indtast den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node, og klik på Tilføj.

    Der åbnes en side med en meddelelse, der angiver, at du kan tilmelde din node til Webex-skyen. Efter et par øjeblikke omdirigeres du til knudeforbindelsestesten for Webex-tjenesteydelser. Hvis alle test lykkes, vises siden Tillad adgang til hybrid-datasikkerhedstjeneste. Der bekræfter du, at du vil give tilladelse til din organisation til at få adgang til din node.

  7. Markér afkrydsningsfeltet Tillad adgang til din hybrid-datasikkerhedstjeneste , og klik derefter på Fortsæt.

    Din konto er valideret, og meddelelsen "Tilmelding fuldført" angiver, at din node nu er registreret i Webex-skyen.

  8. Klik på linket, eller luk fanen for at gå tilbage til siden for Partner Hub-hybrid-datasikkerhed.

    Node tilføjet pop op-meddelelse vises også nederst på skærmen i Partner Hub.

    Din knude er registreret.

Administrer lejerorganisationer om hybrid-datasikkerhed for flere lejere

Aktivér HDS med flere lejere på Partner Hub

Denne opgave sikrer, at alle brugere i kundeorganisationerne kan begynde at bruge HDS til lokale krypteringsnøgler og andre sikkerhedstjenester.

Før du begynder

Sørg for, at du har fuldført opsætningen af din HDS-klynge med flere lejere med det påkrævede antal knudepunkter.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

4

Klik på Aktivér HDSHDS-statuskortet .

Tilføj lejerorganisationer i Partner Hub

I denne opgave tildeler du kundeorganisationer til din hybrid-datasikkerhedsklynge.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

Klik på den klynge, som du vil have en kunde tildelt.

5

Gå til fanen Tildelte kunder .

6

Klik på Tilføj kunder.

7

Vælg den kunde, du vil tilføje, fra rullemenuen.

8

Klik på Tilføj. Kunden vil blive føjet til klyngen.

9

Gentag trin 6 til 8 for at føje flere kunder til din klynge.

10

Klik på Udført nederst på skærmen, når du har tilføjet kunderne.

Næste trin

Kør HDS-opsætningsværktøjet som beskrevet i Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen.

Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet

Før du begynder

Tildel kunder til den relevante klynge som beskrevet i Tilføj lejerorganisationer i Partner Hub. Kør HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen for de nyligt tilføjede kundeorganisationer.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

Sørg for, at der er forbindelse til din database for at udføre CMK-administration.
11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Opret CMK for alle organisationer eller Opret CMK – klik på denne knap på banneret øverst på skærmen for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Opret CMK'er for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på… nær CMK-administration under behandling for en bestemt organisation i tabellen, og klik på Opret CMK for at oprette CMK for den pågældende organisation.
12

Når CMK-oprettelse er gennemført, ændres statussen i tabellen fra CMK-administration under behandling til CMK-administration.

13

Hvis CMK-oprettelse ikke lykkes, vises en fejl.

Fjern lejerorganisationer

Før du begynder

Når brugere af kundeorganisationer er fjernet, kan de ikke udnytte HDS til deres krypteringsbehov og vil miste alle eksisterende rum. Før du fjerner kundeorganisationer, skal du kontakte din Cisco-partner eller -kontoadministrator.

1

Log på https://admin.webex.com.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Vis alle.

4

I fanen Ressourcer skal du klikke på den klynge, som du vil fjerne kundeorganisationer fra.

5

På siden, der åbnes, skal du klikke på Tildelte kunder.

6

Fra listen over kundeorganisationer, der vises, skal du klikke på ... i højre side af den kundeorganisation, du vil fjerne, og klikke på Fjern fra klynge.

Næste trin

Fuldfør fjernelsesprocessen ved at tilbagekalde kundeorganisationernes CMK'er som beskrevet i Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Før du begynder

Fjern kunder fra den relevante klynge som beskrevet i Fjern lejerorganisationer. Kør HDS-opsætningsværktøjet for at fuldføre fjernelsesprocessen for de kundeorganisationer, der blev fjernet.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

Brug en webbrowser til at gå til den lokale vært http://127.0.0.1:8080, og indtast administratorens brugernavn for Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine logonlegitimationsoplysninger for Partner Hub-administratoren og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til hybrid-datasikkerhed.

8

Klik på Kom i gang på oversigtssiden Opsætningsværktøj.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og overfør den.

11

Gå til fanen Lejer CMK Management , hvor du finder følgende tre måder at administrere lejer CMK'er på.

  • Tilbagekald CMK for alle organisationer eller Tilbagekald CMK – klik på denne knap på banneret øverst på skærmen for at tilbagekalde CMK'er for alle organisationer, der blev fjernet.
  • Klik på knappen Administrer CMK'er til højre på skærmen, og klik på Tilbagekald CMK'er for at tilbagekalde CMK'er fra alle organisationer, der blev fjernet.
  • Klik på nær CMK for at blive tilbagekaldt for en bestemt organisation i tabellen, og klik på Tilbagekald CMK for at tilbagekalde CMK for den specifikke organisation.
12

Når tilbagekaldelsen af CMK er gennemført, vises kundeorganisationen ikke længere i tabellen.

13

Hvis CMK-tilbagekaldelse ikke lykkes, vises en fejl.

Test din udrulning af hybrid-datasikkerhed

Test din udrulning af hybrid-datasikkerhed

Brug denne procedure til at teste scenarier for kryptering af datasikkerhed med flere lejere.

Før du begynder

  • Opsæt din datasikkerhedsudrulning for flere lejere.

  • Sørg for, at du har adgang til syslog'en for at bekræfte, at vigtige anmodninger overføres til din multi-tenant hybrid-datasikkerhedsudrulning.

1

Taster for et givet rum indstilles af opretteren af rummet. Log ind på Webex-appen som en af brugerne i kundeorganisationen, og opret derefter et rum.

Hvis du deaktiverer hybrid-datasikkerhedsudrulningen, er indhold i rum, som brugere opretter, ikke længere tilgængeligt, når de klientcachelagrede kopier af krypteringsnøglerne erstattes.

2

Send meddelelser til det nye rum.

3

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne sendes til din hybrid-datasikkerhedsudrulning.

  1. For at kontrollere, om en bruger først opretter en sikker kanal til KMS, skal du filtrere efter kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du skal finde en post som f.eks. følgende (identifikatorer forkortes for læsbarhed):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. For at kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS, skal du filtrere efter kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finde en post såsom:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. For at kontrollere, om der er en bruger, der anmoder om oprettelse af en ny KMS-nøgle, skal du filtrere efter kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finde en post såsom:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. For at søge efter en bruger, der anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere efter kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finde en post såsom: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåg sundheden for hybrid-datasikkerhed

En statusindikator i Partner Hub viser dig, om alt er godt med implementeringen af hybriddatasikkerhed for flere lejere. Hvis du vil have mere proaktive varsler, skal du tilmelde dig e-mailunderretninger. Du får besked, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
1

I Partner Hub skal du vælge Tjenester i menuen til venstre på skærmen.

2

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Rediger indstillinger.

Siden Indstillinger for hybrid-datasikkerhed vises.
3

I afsnittet E-mailmeddelelser skal du skrive en eller flere e-mailadresser adskilt af kommaer, og trykke på Enter.

Administrer din HDS-installation

Administrer HDS-udrulning

Brug de opgaver, der er beskrevet her, til at administrere din udrulning af hybrid-datasikkerhed.

Indstil tidsplan for klyngeopgradering

Softwareopgraderinger til hybrid-datasikkerhed udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for at opgradere klyngen manuelt før det planlagte opgraderingstidspunkt. Du kan indstille en specifik opgraderingsplan eller bruge standardplanen 3:00 AM Daily i USA: Amerika/Los Angeles. Du kan også vælge at udskyde en kommende opgradering, hvis det er nødvendigt.

Sådan opsættes opgraderingsplanen:

1

Log ind på Partner Hub.

2

Fra menuen til venstre på skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde hybrid-datasikkerhed og klikke på Opsæt

4

Vælg klyngen på siden Hybrid-datasikkerhedsressourcer.

5

Klik på fanen Klyngeindstillinger .

6

Vælg tidspunkt og tidszone for opgraderingsplanen på siden Klyngeindstillinger under Opgraderingsplan.

Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -klokkeslæt. Du kan udsætte opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udsæt med 24 timer.

Skift nodekonfigurationen

Det kan være nødvendigt at ændre konfigurationen af din Hybrid-datasikkerhedsknude af en årsag, såsom:

  • Ændring af x.509-certifikater pga. udløb eller andre årsager.

    Vi understøtter ikke ændring af CN-domænenavnet for et certifikat. Domænet skal passe med det oprindelige domæne, der bruges til at registrere klyngen.

  • Opdatering af databaseindstillinger for at ændre til en replik af PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi understøtter ikke overflytning af data fra PostgreSQL til Microsoft SQL Server, eller hvordan det kan lade sig gøre. For at skifte databasemiljøet skal du starte en ny udrulning af Hybrid-datasikkerhed.

  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Derudover bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i ni måneder. Når HDS-opsætningsværktøjet genererer disse adgangskoder, implementeres de for hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden for din maskinkonto. (E-mailen indeholder teksten "Brug maskinkonto-API'en til at opdatere adgangskoden.") Hvis dine adgangskoder endnu ikke er udløbet, giver værktøjet dig to valgmuligheder:

  • Blød nulstilling – de gamle og nye adgangskoder fungerer begge i op til 10 dage. Brug denne periode til at erstatte ISO-filen på knudepunkterne gradvist.

  • Hård nulstilling – de gamle adgangskoder holder op med at fungere med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, der kræver øjeblikkelig hard reset og udskiftning af ISO-filen på alle knudepunkter.

Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.

Før du begynder

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne for en Partner Hub-konto med partnerfulde administratorrettigheder.

    Hvis du ikke har en Docker Desktop-licens, kan du bruge Podman Desktop til at køre HDS-opsætningsværktøjet i trin 1.a til 1.e i nedenstående procedure. Se Kør HDS-opsætningsværktøj ved hjælp af Podman Desktop for yderligere oplysninger.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når Docker-beholderen vises i 1.e. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder masternøglen, der krypterer PostgreSQL eller Microsoft SQL Server-databasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

1

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

  1. Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

    I almindelige miljøer:

    docker rmi ciscocitg/hds-setup:stable

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

  2. For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

    docker login -u hdscustomersro

  3. I adgangskodeanmodningen skal du indtaste denne hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Download det seneste stabilt billede til dit miljø:

    I almindelige miljøer:

    docker pull ciscocitg/hds-setup:stable

    I FedRAMP-miljøer:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 har ikke skærmbilleder til nulstilling af adgangskode.

  5. Når træk er fuldført, indtast den relevante kommando for dit miljø:

    • I almindelige miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • I almindelige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I almindelige miljøer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når beholderen kører, ser du "Express-serveren lytter på port 8080."

  6. Brug en browser til at tilslutte til localhost, http://127.0.0.1:8080.

    Opsætningsværktøjet understøtter ikke tilslutning til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at tilslutte til localhost.

  7. Når du bliver bedt om det, skal du indtaste legitimationsoplysningerne for din Partner Hub-kunde og derefter klikke på Acceptér for at fortsætte.

  8. Importér den aktuelle ISO-konfigurationsfil.

  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

    For at lukke opsætningsværktøjet skal du skrive CTRL+C.

  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

2

Hvis du kun har én HDS-knude kørende, skal du oprette en ny hybrid-datasikkerhedstjeneste og tilmelde den ved hjælp af den nye ISO-konfigurationsfil. For mere detaljerede vejledninger, se Opret og tilmeld flere knudepunkter.

  1. Installer HDS-hosten OVA.

  2. Opsæt HDS-VM'en.

  3. Tilslut den opdaterede konfigurationsfil.

  4. Tilmeld den nye knude i Partner Hub.

3

For eksisterende HDS-noder, der kører den ældre konfigurationsfil, skal du tilslutte ISO-filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, inden du slår den næste knude fra:

  1. Slå den virtuelle maskine fra.

  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  3. Klik på CD/DVD Drive 1, vælg valgmuligheden for at montere fra en ISO-fil, og gå til placeringen, hvor du downloadede den nye ISO-konfigurationsfil.

  4. Markér Forbind med tilsluttet strøm.

  5. Gem dine ændringer, og tænd for den virtuelle maskine.

4

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Slå blokeret ekstern DNS-opløsnings tilstand fra

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. Hvis knudens DNS-server ikke kan løse offentlige DNS-navne, går knuden automatisk i blokeret ekstern DNS-opløsnings tilstand.

Hvis dine knuder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du slå denne tilstand fra ved at køre proxy forbindelsestesten igen på hver knude.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine knuder kan kommunikere med dem.
1

I en webbrowser skal du åbne hybrid-datasikkerhedstjeneste nodegrænsefladen (f.eks. IP-adresse/opsætning, https://192.0.2.0/setup), indtaste administratorlegitimationsoplysningerne, du opsætter for noden, og derefter klikke på Log ind.

2

Gå til Oversigt (standardsiden).

Når den er aktiveret, er blokeret ekstern DNS-opløsning indstillet til Ja.

3

Gå til siden Trust store & proxy .

4

Klik på Kontroller proxy forbindelse.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke blev gennemført, var knuden ikke i stand til at nå DNS-serveren og vil forblive i denne tilstand. Ellers skal blokerede ekstern DNS-opløsning indstilles til Nej, når du genstarter knuden og går tilbage til oversigtssiden.

Næste trin

Gentag proxy forbindelsestesten på hver knude i din hybrid-datasikkerheds gruppe.

Fjern et knudepunkt

Brug denne procedure til at fjerne en hybrid-datasikkerhedstjeneste fra Webex Cloud. Når du fjerner noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
1

Brug VMware vSphere-klienten på din computer til at logge på den virtuelle ESXi-vært og slukke for den virtuelle maskine.

2

Fjern knuden:

  1. Log ind på Partner Hub, og vælg derefter Tjenester.

  2. På hybrid-datasikkerhedskortet skal du klikke på Se alle for at få vist siden Hybrid-datasikkerhedsressourcer.

  3. Vælg din klynge for at få vist oversigtspanelet.

  4. Klik på den node, du vil fjerne.

  5. Klik på Fjern registrering af denne node på panelet, der vises til højre

  6. Du kan også afmelde noden ved at klikke… på højre side af noden og vælge Fjern denne node.

3

Slet VM'en i vSphere-klienten. (Højreklik på VM'en i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter VM'en, skal du huske at afmontere konfigurations-ISO-filen. Uden ISO-filen kan du ikke bruge VM'en til at få adgang til dine sikkerhedsdata.

Katastrofegendannelse ved hjælp af standby-datacenter

Den mest kritiske tjeneste, som din hybrid-datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere meddelelser og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt hybrid-datasikkerhed, distribueres nye anmodninger om nøgleoprettelse til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den har oprettet, til alle brugere, der har tilladelse til at hente dem, f.eks. medlemmer af et samtalerum.

Da klyngen udfører den kritiske funktion med at levere disse nøgler, er det afgørende, at klyngen fortsat kører, og at der opretholdes korrekte sikkerhedskopieringer. Tab af hybrid-datasikkerhedsdatabasen eller af den konfigurations-ISO, der bruges til skemaet, vil medføre tab AF KUNDEINDHOLD, der ikke kan genoprettes. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

Hvis en katastrofe medfører, at HDS-installationen i det primære datacenter ikke er tilgængelig, skal du følge denne procedure for manuelt at foretage failover til standby-datacenteret.

Før du begynder

Fjern registreringen af alle knuder fra Partner Hub som nævnt i Fjern en knude. Brug den seneste ISO-fil, der blev konfigureret i forhold til noderne for den klynge, der tidligere var aktiv, til at udføre den failover-procedure, der er nævnt nedenfor.
1

Start HDS-opsætningsværktøjet, og følg trinene nævnt i Opret en konfigurations-ISO for HDS-værter.

2

Fuldfør konfigurationsprocessen, og gem ISO-filen på en placering, der er nem at finde.

3

Lav en sikkerhedskopi af ISO-filen på dit lokale system. Sørg for, at sikkerhedskopien er sikker. Denne fil indeholder en hovedkrypteringsnøgle for databaseindholdet. Begræns adgangen til kun de hybrid-datasikkerhedsadministratorer, der skal foretage konfigurationsændringer.

4

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

5

Klik på Rediger indstillinger >CD/DVD-drev 1 , og vælg ISO-fil i datalagring.

Sørg for, at Tilsluttet og Tilslut ved tænding er markeret, så opdaterede konfigurationsændringer kan træde i kraft, når knudepunkterne er startet.

6

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

7

Tilmeld knuden i Partner Hub. Se Tilmeld den første node i klyngen.

8

Gentag processen for hver node i standby-datacenteret.

Næste trin

Hvis det primære datacenter efter failover bliver aktivt igen, skal du fjerne registreringen af noderne i standby-datacenteret og gentage processen med at konfigurere ISO og registrere noder i det primære datacenter som nævnt ovenfor.

(Valgfrit) Afmonter ISO efter HDS-konfiguration

Standard-HDS-konfigurationen kører med ISO monteret. Men nogle kunder foretrækker ikke at lade ISO-filer være monteret kontinuerligt. Du kan afmontere ISO-filen, når alle HDS-knuder henter den nye konfiguration.

Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via opsætningsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine knudepunkter har hentet konfigurationsændringerne, kan du afmontere ISO'en igen med denne procedure.

Før du begynder

Opgrader alle dine HDS-knuder til version 2021.01.22.4720 eller nyere.

1

Luk en af dine HDS-knudepunkter.

2

Vælg HDS-noden i vCenter-serverenheden.

3

Vælg Rediger indstillinger > CD/DVD-drev , og fjern markeringen af ISO-fil i datalagring.

4

Tænd for HDS-knudepunktet, og sørg for, at der ikke er nogen alarmer i mindst 20 minutter.

5

Gentag for hver HDS-knude ad gangen.

Fejlfinding af hybrid-datasikkerhed

Vis varsler og fejlfinding

En hybrid-datasikkerhedsudrulning anses for ikke at være tilgængelig, hvis alle knuder i klyngen er utilgængelige, eller klyngen arbejder så langsomt, at anmodninger om timeout. Hvis brugere ikke kan nå din hybrid-datasikkerhedsklynge, oplever de følgende symptomer:

  • Nye rum kan ikke oprettes (nye nøgler kan ikke oprettes)

  • Meddelelser og rumtitler kan ikke dekrypteres for:

    • Nye brugere føjet til et rum (kunne ikke hente tasterne)

    • Eksisterende brugere i et rum, der bruger en ny klient (kan ikke hente tasterne)

  • Eksisterende brugere i et rum fortsætter med at køre, så længe deres klienter har en cache med krypteringsnøglerne

Det er vigtigt, at du overvåger din hybrid-datasikkerhedsklynge korrekt og adresserer eventuelle advarsler med det samme for at undgå afbrydelse af tjenesten.

Varsler

Hvis der er et problem med opsætningen af hybrid-datasikkerhed, viser Partner Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Varsler dækker mange almindelige scenarier.

Tabel 1. Almindelige problemer og trin til at løse dem

Varsel

Handling

Fejl ved lokal databaseadgang.

Kontrollér, om der er databasefejl eller problemer med lokale netværk.

Fejl i forbindelse med lokal database.

Kontrollér, at databaseserveren er tilgængelig, og at de rigtige tjenestekontolegitimationsoplysninger blev brugt i nodekonfigurationen.

Fejl i adgang til cloudtjeneste.

Kontrollér, at noderne kan få adgang til Webex-serverne som angivet i Krav til ekstern forbindelse.

Fornyelse af registrering af cloudtjeneste.

Tilmelding til cloudtjenester blev afbrudt. Fornyelse af registrering er i gang.

Registrering af cloudtjeneste blev afbrudt.

Tilmelding til cloudtjenester blev afsluttet. Tjenesten er ved at lukke.

Tjenesten er endnu ikke aktiveret.

Aktivér HDS i Partner Hub.

Det konfigurerede domæne stemmer ikke overens med servercertifikatet.

Sørg for, at dit servercertifikat stemmer overens med det konfigurerede tjenesteaktiveringsdomæne.

Den mest sandsynlige årsag er, at certifikatet CN blev ændret for nylig og nu er anderledes end det CN, der blev brugt under den indledende opsætning.

Kunne ikke godkende cloudtjenester.

Kontrollér nøjagtigheden og mulig udløb af legitimationsoplysninger for tjenestekontoen.

Kunne ikke åbne fil med lokal nøglelager.

Kontrollér, om der er integritet og adgangskodenøjagtighed i den lokale nøglecenterfil.

Lokalt servercertifikat er ugyldigt.

Kontrollér servercertifikatets udløbsdato, og bekræft, at det blev udstedt af en pålidelig certifikatmyndighed.

Kan ikke sende målinger.

Kontrollér lokal netværksadgang til eksterne cloudtjenester.

/media/configdrive/hds-mappen findes ikke.

Kontrollér ISO-monteringskonfigurationen på den virtuelle vært. Kontrollér, at ISO-filen findes, at den er konfigureret til at blive monteret ved genstart, og at den monteres korrekt.

Opsætning af lejerorganisation er ikke fuldført for de tilføjede organisationer

Fuldfør opsætningen ved at oprette CMK'er for nyligt tilføjede lejerorganisationer ved hjælp af HDS-opsætningsværktøjet.

Opsætning af lejerorganisation er ikke fuldført for de fjernede organisationer

Fuldfør opsætningen ved at tilbagekalde CMK'er for lejerorganisationer, der blev fjernet ved hjælp af HDS-opsætningsværktøjet.

Fejlfinding af hybrid-datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybrid-datasikkerhed.
1

Gennemgå Partner Hub for eventuelle varsler, og ret eventuelle elementer, du finder der. Se billedet nedenfor for reference.

2

Gennemgå syslog-serverens output for aktivitet fra hybrid-datasikkerhedsudrulningen. Filtrer efter ord som "Advarsel" og "Fejl" for at hjælpe med fejlfinding.

3

Kontakt Cisco-support.

Andre bemærkninger

Kendte problemer med hybrid-datasikkerhed

  • Hvis du lukker din hybrid-datasikkerhedsklynge (ved at slette den i Partner Hub eller ved at lukke alle knudepunkter), mister din konfigurations-ISO-fil eller mister adgang til nøglelagerdatabasen, kan Webex-appbrugere i kundeorganisationer ikke længere bruge rum på deres personliste, der blev oprettet med nøgler fra din KMS. Vi har ikke en løsning eller løsning på dette problem i øjeblikket og opfordrer dig til ikke at lukke dine HDS-tjenester, når de håndterer aktive brugerkonti.

  • En klient, der har en eksisterende ECDH-forbindelse til en KMS, opretholder denne forbindelse i en tidsperiode (sandsynligvis en time).

Kør HDS-opsætningsværktøjet ved hjælp af Podman-skrivebordet

Podman er et gratis og open source container management værktøj, der giver en måde at køre, administrere og oprette containere på. Podman Desktop kan downloades fra https://podman-desktop.io/downloads.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du downloade og køre Podman på den maskine. Opsætningsprocessen kræver brugeroplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariablerne, når du bringer Docker-beholderen op i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Den ISO-konfigurationsfil, du genererer, indeholder hovednøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, når du foretager konfigurationsændringer, f.eks. disse:

    • Databaselegitimationsoplysninger

    • Certifikatopdateringer

    • Ændringer af godkendelsespolitik

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Opsætningsprocessen for hybrid-datasikkerhed opretter en ISO-fil. Du kan derefter bruge ISO til at konfigurere din hybrid-datasikkerhedsvært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

podman rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

podman rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

podman login docker.io -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

podman pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uden en proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

Næste trin

Følg de resterende trin i Opret en konfiguration-ISO for HDS-værter eller Skift nodekonfigurationen for at oprette eller ændre ISO-konfiguration.

Brug OpenSSL til at generere en PKCS12-fil

Før du begynder

  • OpenSSL er et værktøj, der kan bruges til at gøre PKCS12-filen i det korrekte format til indlæsning i HDS-opsætningsværktøjet. Der er andre måder at gøre dette på, og vi støtter ikke eller fremmer ikke den ene vej frem for den anden.

  • Hvis du vælger at bruge OpenSSL, leverer vi denne procedure som en vejledning til at hjælpe dig med at oprette en fil, der opfylder X.509-certifikatkravene i X.509-certifikatkrav. Forstå disse krav, før du fortsætter.

  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for softwaren og dokumentationen.

  • Opret en privat nøgle.

  • Start denne procedure, når du modtager servercertifikatet fra dit CA.

1

Når du modtager servercertifikatet fra dit CA, skal du gemme det som hdsnode.pem.

2

Vis certifikatet som tekst, og bekræft detaljerne.

openssl x509 -text -noout -in hdsnode.pem

3

Brug et tekstredigeringsprogram til at oprette en certifikatbundfil, der kaldes hdsnode-bundle.pem. Bundfilen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rod-CA-certifikaterne i nedenstående format:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Opret .p12-filen med det venlige navn kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontrollér servercertifikatoplysningerne.

  1. openssl pkcs12 -in hdsnode.p12

  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den vises i outputtet. Bekræft derefter, at den private nøgle og det første certifikat indeholder linjerne friendlyName: kms-private-key.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Næste trin

Vend tilbage til Fuldfør forudsætningerne for hybrid-datasikkerhed. Du skal bruge hdsnode.p12 filen og adgangskoden, du har indstillet til den, i Opret en konfigurationsstandard for HDS-værter.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-noderne og skyen

Trafik for indsamling af udgående målinger

Hybrid-datasikkerhedstjeneste sender visse målinger til Webex Cloud. Disse omfatter systemmålinger for maks. heap, brugt heap, CPU-belastning og trådtælling, målinger på synkroniserede og asynkrone tråde, målinger på varsler, der involverer en tærskel for krypteringsforbindelser, ventetid eller længde på en anmodningskø, målinger på datalageret og målinger af krypteringsforbindelser. Knuderne sender krypteret nøglemateriale over en ikke-båndkanal (adskilt fra anmodningen).

Indgående trafik

Hybrid-datasikkerhedstjeneste noder modtager følgende typer indgående trafik fra Webex-cloud:

  • Krypteringsanmodninger fra klienter, som distribueres af krypteringstjenesten

  • Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer for hybrid-data sikkerhed

WebSocket kan ikke oprette forbindelse via Squid-Proxy

Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre oprettelsen af websocket (wss:)-forbindelser, som hybrid-datasikkerhed kræver. Disse afsnit giver vejledning i, hvordan man konfigurerer forskellige versioner af Squid til at ignorere wss: trafik, så tjenesterne kan fungere korrekt.

Squid 4 og 5

Føj on_unsupported_protocol direktivet til squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Vi testede hybrid-datasikkerhed med følgende regler føjet til squid.conf. Disse regler er underlagt ændringer, når vi udviklerfunktioner og opdaterer Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Nye og ændrede oplysninger

Nye og ændrede oplysninger

Denne tabel dækker nye funktioner eller funktionalitet, ændringer i eksisterende indhold og eventuelle større fejl, der blev rettet i Implementeringsvejledningen til hybrid datasikkerhed for flere lejere.

Dato

Ændringer foretaget

8. maj 2025
4. marts 2025

30. januar 2025

Tilføjet SQL Server version 2022 til listen over understøttede SQL-servere i Krav til databaseserver.

15. januar 2025

Tilføjet Begrænsninger for hybrid datasikkerhed med flere lejere.

8. januar 2025

Tilføjet en note i Udfør indledende opsætning og download installationsfiler om, at det at klikke på Opsæt på HDS-kortet i Partner Hub er et vigtigt trin i installationsprocessen.

7. januar 2025

Opdaterede Krav til virtuelle værter, Opgaveflow for implementering af hybrid datasikkerhedog Installer HDS-værten OVA for at vise de nye krav til ESXi 7.0.

13. december 2024

Først udgivet.

Deaktiver hybrid datasikkerhed med flere lejere

Opgaveflow for deaktivering af HDS med flere lejere

Følg disse trin for at deaktivere Multi-Tenant HDS helt.

Før du begynder

Denne opgave bør kun udføres af en fuldgyldig partneradministrator.
1

Fjern alle kunder fra alle dine klynger, som nævnt i Fjern lejerorganisationer.

2

Tilbagekald CMK'erne for alle kunder, som nævnt i Tilbagekald CMK'er for lejere fjernet fra HDS..

3

Fjern alle noder fra alle dine klynger, som nævnt i Fjern en node.

4

Slet alle dine klynger fra Partner Hub ved hjælp af en af følgende to metoder.

  • Klik på den klynge, du vil slette, og vælg Slet denne klynge i øverste højre hjørne af oversigtssiden.
  • På siden Ressourcer skal du klikke på … i højre side af en klynge og vælge Fjern klynge.
5

Klik på fanen Indstillinger på oversigtssiden for hybrid datasikkerhed, og klik på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybrid datasikkerhed for flere lejere

Oversigt over hybrid datasikkerhed med flere lejere

Fra dag ét har datasikkerhed været det primære fokus i designet af Webex-appen. Hjørnestenen i denne sikkerhed er end-to-end indholdskryptering, aktiveret af Webex App-klienter, der interagerer med Key Management Service (KMS). KMS er ansvarlig for at oprette og administrere de kryptografiske nøgler, som klienter bruger til dynamisk at kryptere og dekryptere meddelelser og filer.

Som standard får alle Webex-appkunder end-to-end-kryptering med dynamiske nøgler gemt i Cloud KMS i Ciscos sikkerhedsverden. Hybrid datasikkerhed flytter KMS og andre sikkerhedsrelaterede funktioner til din virksomheds datacenter, så ingen, men du holder tasterne til dit krypterede indhold.

Multi-Tenant Hybrid Data Security gør det muligt for organisationer at udnytte HDS gennem en betroet lokal partner, der kan fungere som tjenesteudbyder og administrere lokal kryptering og andre sikkerhedstjenester. Denne opsætning giver partnerorganisationen fuld kontrol over implementering og administration af krypteringsnøgler og sikrer, at kundeorganisationers brugerdata er beskyttet mod ekstern adgang. Partnerorganisationer opretter HDS-instanser og opretter HDS-klynger efter behov. Hver instans kan understøtte flere kundeorganisationer i modsætning til en almindelig HDS-implementering, som er begrænset til én organisation.

Selvom partnerorganisationer har kontrol over implementering og administration, har de ikke adgang til data og indhold genereret af kunderne. Denne adgang er begrænset til kundeorganisationer og deres brugere.

Dette giver også mindre organisationer mulighed for at udnytte HDS, da nøglehåndteringstjenester og sikkerhedsinfrastruktur som datacentre ejes af den betroede lokale partner.

Hvordan hybrid datasikkerhed med flere lejere giver datasuverænitet og datakontrol

  • Brugergenereret indhold er beskyttet mod ekstern adgang, f.eks. fra cloud-udbydere.
  • Lokale betroede partnere administrerer krypteringsnøglerne for kunder, som de allerede har et etableret forhold til.
  • Mulighed for lokal teknisk support, hvis partneren tilbyder dette.
  • Understøtter møder, beskeder og opkaldsindhold.

Dette dokument har til formål at hjælpe partnerorganisationer med at oprette og administrere kunder under et hybridt datasikkerhedssystem med flere lejere.

Begrænsninger ved hybrid datasikkerhed med flere lejere

  • Partnerorganisationer må ikke have nogen eksisterende HDS-installation aktiv i Control Hub.
  • Lejer- eller kundeorganisationer, der ønsker at blive administreret af en partner, må ikke have nogen eksisterende HDS-installation i Control Hub.
  • Når Multi-Tenant HDS er implementeret af partneren, begynder alle brugere af kundeorganisationer samt brugere af partnerorganisationen at udnytte Multi-Tenant HDS til deres krypteringstjenester.

    Partnerorganisationen og de kundeorganisationer, de administrerer, vil være på den samme Multi-Tenant HDS-installation.

    Partnerorganisationen vil ikke længere bruge cloud-KMS efter Multi-Tenant HDS er implementeret.

  • Der er ingen mekanisme til at flytte nøgler tilbage til Cloud KMS efter en HDS-implementering.
  • I øjeblikket kan hver Multi-Tenant HDS-implementering kun have én klynge med flere noder under den.
  • Administratorroller har visse begrænsninger; se afsnittet nedenfor for detaljer.

Roller i hybrid datasikkerhed med flere lejere

  • Partner fuld administrator - Kan administrere indstillinger for alle kunder, som partneren administrerer. Kan også tildele administratorroller til eksisterende brugere i organisationen og tildele specifikke kunder, der skal administreres af partneradministratorer.
  • Partneradministrator - Kan administrere indstillinger for kunder, som administratoren har provisioneret, eller som er blevet tildelt brugeren.
  • Fuld administrator - Administrator af partnerorganisationen, der er autoriseret til at udføre opgaver såsom at ændre organisationsindstillinger, administrere licenser og tildele roller.
  • End-to-end Multi-Tenant HDS opsætning og administration af alle kundeorganisationer - Partneren har fuld administratorrettigheder og fulde administratorrettigheder kræves.
  • Administration af tildelte lejerorganisationer - Partneradministrator og fulde administratorrettigheder kræves.

Sikkerhedsrigets arkitektur

Webex Cloud-arkitekturen adskiller forskellige typer tjenester i separate områder eller tillidsdomæner, som vist nedenfor.

Realms of Separation (uden hybrid datasikkerhed)

For yderligere at forstå hybrid datasikkerhed, lad os først se på dette rene cloud-eksempel, hvor Cisco leverer alle funktioner i sine cloud-områder. Identitetstjenesten, det eneste sted, hvor brugere kan blive direkte korreleret med deres personlige oplysninger såsom e-mailadresse, er logisk og fysisk adskilt fra sikkerhedsområdet i datacenter B. Begge er til gengæld adskilt fra det område, hvor krypteret indhold i sidste ende lagres, i datacenter C.

I dette diagram er klienten Webex-appen, der kører på en brugers bærbare computer, og som har godkendt sig med identitetstjenesten. Når brugeren skriver en besked, der skal sendes til et rum, udføres følgende trin:

  1. Klienten opretter en sikker forbindelse til nøglehåndteringstjenesten (KMS) og anmoder derefter om en nøgle til at kryptere beskeden. Den sikre forbindelse bruger ECDH, og KMS krypterer nøglen ved hjælp af en AES-256 masternøgle.

  2. Beskeden krypteres, før den forlader klienten. Klienten sender den til indekseringstjenesten, som opretter krypterede søgeindekser for at hjælpe med fremtidige søgninger efter indholdet.

  3. Den krypterede besked sendes til compliance-tjenesten til compliance-kontrol.

  4. Den krypterede besked gemmes i lagringsområdet.

Når du implementerer Hybrid Data Security, flytter du sikkerhedsfunktionerne (KMS, indeksering og compliance) til dit lokale datacenter. De andre cloud-tjenester, der udgør Webex (herunder identitets- og indholdslagring), forbliver i Ciscos domæne.

Samarbejde med andre organisationer

Brugere i din organisation bruger muligvis regelmæssigt Webex-appen til at samarbejde med eksterne deltagere i andre organisationer. Når en af dine brugere anmoder om en nøgle til et område, der ejes af din organisation (fordi det blev oprettet af en af dine brugere), sender dit KMS nøglen til klienten via en ECDH-sikret kanal. Men når en anden organisation ejer nøglen til rummet, sender din KMS anmodningen ud til Webex Cloud via en separat ECDH-kanal for at hente nøglen fra den relevante KMS og returnerer derefter nøglen til din bruger på den oprindelige kanal.

KMS-tjenesten, der kører på organisation A, validerer forbindelserne til KMS'er i andre organisationer ved hjælp af x.509 PKI-certifikater. Se Forbered dit miljø for detaljer om generering af et x.509-certifikat til brug med din Multi-Tenant Hybrid Data Security-implementering.

Forventninger til implementering af hybrid datasikkerhed

En implementering af hybrid datasikkerhed kræver betydelig engagement og en bevidsthed om de risici, der følger med at eje krypteringsnøgler.

For at implementere Hybrid Data Security skal du angive:

  • Et sikkert datacenter i et land, der er en understøttet placering for Cisco Webex Teams-abonnementerne.

  • Udstyret, softwaren og netværksadgangen beskrevet i Forbered dit miljø.

Fuldstændigt tab af enten den konfigurations-ISO, du bygger til Hybrid Data Security, eller den database, du angiver, vil resultere i tab af nøglerne. Nøgletab forhindrer brugere i at dekryptere rumindhold og andre krypterede data i Webex-appen. Hvis dette sker, kan du oprette en ny implementering, men kun nyt indhold vil være synligt. For at undgå tab af adgang til data skal du:

  • Administrer backup og gendannelse af databasen og konfigurations-ISO'en.

  • Vær forberedt på at udføre hurtig katastrofeberedskab, hvis der opstår en katastrofe, såsom en databasediskfejl eller en datacenterkatastrofe.

Der er ingen mekanisme til at flytte nøgler tilbage til skyen efter en HDS-implementering.

Opsætningsproces på højt niveau

Dette dokument dækker opsætning og administration af en Multi-Tenant Hybrid Data Security-implementering:

  • Opsæt hybrid datasikkerhed— Dette omfatter forberedelse af den nødvendige infrastruktur og installation af hybrid datasikkerhedssoftware, opbygning af en HDS-klynge, tilføjelse af lejerorganisationer til klyngen og administration af deres kundehovednøgler (CMK'er). Dette vil gøre det muligt for alle brugere i dine kundeorganisationer at bruge din Hybrid Data Security-klynge til sikkerhedsfunktioner.

    Opsætnings-, aktiverings- og administrationsfaserne dækkes i detaljer i de næste tre kapitler.

  • Vedligehold din hybride datasikkerhedsinstallation– Webex Cloud leverer automatisk løbende opgraderinger. Din IT-afdeling kan yde support på niveau 1 til denne implementering og engagere Cisco-support efter behov. Du kan bruge skærmmeddelelser og oprette e-mailbaserede alarmer i Partner Hub.

  • Forstå almindelige advarsler, fejlfindingstrin og kendte problemer– Hvis du støder på problemer med at implementere eller bruge Hybrid Data Security, kan det sidste kapitel i denne vejledning og bilaget om kendte problemer hjælpe dig med at finde og løse problemet.

Hybrid datasikkerhedsimplementeringsmodel

I dit virksomhedsdatacenter implementerer du Hybrid Data Security som en enkelt klynge af noder på separate virtuelle værter. Noderne kommunikerer med Webex-skyen via sikre websockets og sikker HTTP.

Under installationsprocessen leverer vi OVA-filen til dig, så du kan konfigurere den virtuelle maskine på de VM'er, du stiller til rådighed. Du bruger HDS-opsætningsværktøjet til at oprette en brugerdefineret ISO-fil til klyngekonfiguration, som du monterer på hver node. Hybrid Data Security-klyngen bruger din angivne Syslogd-server og PostgreSQL- eller Microsoft SQL Server-database. (Du konfigurerer Syslogd og databaseforbindelsesdetaljer i HDS-opsætningsværktøjet.)

Hybrid datasikkerhedsimplementeringsmodel

Det mindste antal noder, du kan have i en klynge, er to. Vi anbefaler mindst tre pr. klynge. At have flere noder sikrer, at tjenesten ikke afbrydes under en softwareopgradering eller anden vedligeholdelsesaktivitet på en node. (Webex Cloud opgraderer kun én node ad gangen.)

Alle noder i en klynge har adgang til det samme nøgledatalager og logger aktivitet på den samme syslog-server. Selve noderne er statsløse og håndterer nøgleanmodninger i round-robin-stil, som anvist af skyen.

Noder bliver aktive, når du registrerer dem i Partner Hub. For at tage en individuel node ud af drift kan du afregistrere den og senere genregistrere den, hvis det er nødvendigt.

Standby-datacenter til katastrofegendannelse

Under implementeringen opretter du et sikkert standby-datacenter. I tilfælde af en datacenterkatastrofe kan du manuelt overføre din implementering til standby-datacentret.

Før failover har datacenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-database, mens B har en kopi af ISO-filen med yderligere konfigurationer, VM'er, der er registreret i organisationen, og en standby-database. Efter failover har datacenter B aktive HDS-noder og den primære database, mens A har uregistrerede VM'er og en kopi af ISO-filen, og databasen er i standbytilstand.
Manuel failover til standby-datacenter

Databaserne i de aktive og standby-datacentre er synkroniseret med hinanden, hvilket minimerer den tid, det tager at udføre failover.

De aktive Hybrid Data Security-noder skal altid være i samme datacenter som den aktive databaseserver.

Proxy-support

Hybrid data sikkerhed understøtter Explicit, gennemsigtig kontrol og ikke-inspicere proxyer. Du kan knytte disse proxyer til din udrulning, så du kan sikre og overvåge trafik fra virksomheden ud til Cloud. Du kan bruge en platform administrator grænseflade på knuderne for certifikatadministration og til at kontrollere den samlede forbindelsesstatus, efter du har konfigureret proxyen på knuderne.

Hybrid data sikkerheds knuder understøtter følgende proxy valgmuligheder:

  • Ingen proxy— Standardværdien, hvis du ikke bruger HDS-nodeopsætningens Trust Store & Proxykonfiguration til at integrere en proxy. Ingen certifikat opdatering er påkrævet.

  • Transparent ikke-inspekterende proxy— Noderne er ikke konfigureret til at bruge en specifik proxyserveradresse og burde ikke kræve nogen ændringer for at fungere med en ikke-inspekterende proxy. Ingen certifikat opdatering er påkrævet.

  • Transparent tunneling eller inspektion af proxy— Noderne er ikke konfigureret til at bruge en specifik proxyserveradresse. Ingen HTTP-eller HTTPS-konfigurationsændringer er nødvendige på knuderne. Men knuderne skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).

  • Eksplicit proxy— Med eksplicit proxy fortæller du HDS-noderne, hvilken proxyserver og godkendelsesskema de skal bruge. For at konfigurere en eksplicit proxy skal du indtaste følgende oplysninger på hver knude:

    1. Proxy IP/FQDN—Adresse, der kan bruges til at nå proxymaskinen.

    2. Proxyport— Et portnummer, som proxyen bruger til at lytte efter proxytrafik.

    3. Proxyprotokol— Afhængigt af hvad din proxyserver understøtter, kan du vælge mellem følgende protokoller:

      • HTTP – visninger og kontrollerer alle anmodninger, som klienten sender.

      • HTTPS – leverer en kanal til serveren. Klienten modtager og validerer serverens certifikat.

    4. Godkendelsestype— Vælg mellem følgende godkendelsestyper:

      • Ingen— Ingen yderligere godkendelse er påkrævet.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

      • Grundlæggende— Bruges af en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig, hvis du vælger enten HTTP eller HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

      • Digest— Bruges til at bekræfte kontoen, før følsomme oplysninger sendes. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig, hvis du vælger HTTPS som proxy protokol.

        Kræver, at du indtaster brugernavn og adgangskode på hver knude.

Eksempel på hybrid-data sikkerheds knuder og proxy

Dette diagram viser en eksempel forbindelse mellem hybrid-data sikkerhed, netværk og en proxy. For de gennemsigtige kontrol-og HTTPS-proxy valgmuligheder skal de samme rodcertifikat være installeret på proxyen og på hybrid-datasikkerheds knuderne.

Blokeret ekstern DNS-opløsnings tilstand (eksplicit proxy konfigurationer)

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. I installationer med eksplicitte proxy konfigurationer, der ikke tillader ekstern DNS-opløsning for interne klienter, går den automatisk til blokeret ekstern DNS-opløsnings tilstand, hvis knuden ikke kan forespørge på DNS-servere. I denne tilstand kan knude registrering og andre proxy-tilslutnings tests fortsætte.

Forbered dit miljø

Krav til hybrid datasikkerhed med flere lejere

Krav til Cisco Webex-licens

Sådan implementerer du hybrid datasikkerhed med flere lejere:

  • Partnerorganisationer: Kontakt din Cisco-partner eller kontoadministrator, og sørg for, at funktionen til flere lejere er aktiveret.

  • Lejerorganisationer: Du skal have Pro Pack til Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker Desktop

Før du installerer dine HDS-noder, skal du bruge Docker Desktop til at køre et installationsprogram. Docker har for nylig opdateret deres licensmodel. Din organisation kan kræve et betalt abonnement på Docker Desktop. For yderligere oplysninger, se Docker-blogindlæg, " Docker opdaterer og udvider vores produktabonnementer".

Kunder uden en Docker Desktop-licens kan bruge et open source-værktøj til containeradministration som Podman Desktop til at køre, administrere og oprette containere. Se Kør HDS Setup-værktøjet ved hjælp af Podman Desktop for detaljer.

Krav til X.509-certifikat

Certifikatkæden skal opfylde følgende krav:

Tabel 1. X.509-certifikatkrav til hybrid datasikkerhedsimplementering

Krav

Detaljer

  • Underskrevet af en betroet certifikatmyndighed (CA)

Som standard har vi tillid til CA'erne på Mozilla-listen (med undtagelse af WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et Common Name (CN)-domænenavn, der identificerer din Hybrid Data Security-implementering

  • Er ikke et wildcard-certifikat

CN'en behøver ikke at være tilgængelig eller en live vært. Vi anbefaler, at du bruger et navn, der afspejler din organisation, for eksempel hds.company.com.

KN må ikke indeholde en * (jokertegn).

CN'en bruges til at verificere hybrid-datasikkerhedsnoderne til Webex-appklienter. Alle Hybrid Data Security-noderne i din klynge bruger det samme certifikat. Dit KMS identificerer sig selv ved hjælp af CN-domænet, ikke et hvilket som helst domæne, der er defineret i x.509v3 SAN-felterne.

Når du har registreret en node med dette certifikat, understøtter vi ikke ændring af CN-domænenavnet.

  • Ikke-SHA1-signatur

KMS-softwaren understøtter ikke SHA1-signaturer til validering af forbindelser til andre organisationers KMS'er.

  • Formateret som en adgangskodebeskyttet PKCS #12 fil

  • Brug det brugervenlige navn kms-private-key til at mærke certifikatet, den private nøgle og eventuelle mellemliggende certifikater, der skal uploades.

Du kan bruge en konverter som f.eks. OpenSSL til at ændre formatet på dit certifikat.

Du skal indtaste adgangskoden, når du kører HDS-opsætningsværktøjet.

KMS-softwaren håndhæver ikke begrænsninger for nøglebrug eller udvidet nøglebrug. Nogle certifikatmyndigheder kræver, at der anvendes udvidede begrænsninger for nøglebrug på hvert certifikat, f.eks. servergodkendelse. Det er okay at bruge servergodkendelse eller andre indstillinger.

Krav til virtuelle værter

De virtuelle værter, som du vil konfigurere som hybride datasikkerhedsnoder i din klynge, har følgende krav:

  • Mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter

  • VMware ESXi 7.0 eller 8.0 installeret og kørende.

    Du skal opgradere, hvis du har en tidligere version af ESXi.

  • Minimum 4 vCPU'er, 8 GB hovedhukommelse, 30 GB lokal harddiskplads pr. server

Krav til databaseserver

Opret en ny database til nøglelagring. Brug ikke standarddatabasen. HDS-applikationerne opretter databaseskemaet, når de er installeret.

Der er to muligheder for databaseserveren. Kravene for hver enkelt er som følger:

Tabel 2. Krav til databaseserver efter databasetype

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 eller 16 er installeret og kører.

  • SQL Server 2016, 2017, 2019 eller 2022 (Enterprise eller Standard) installeret.

    SQL Server 2016 kræver Service Pack 2 og Cumulative Update 2 eller nyere.

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning for at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i længere tid uden at skulle øge lagerpladsen)

Minimum 8 vCPU'er, 16 GB hovedhukommelse, tilstrækkelig harddiskplads og overvågning for at sikre, at den ikke overskrides (2 TB anbefales, hvis du vil køre databasen i længere tid uden at skulle øge lagerpladsen)

HDS-softwaren installerer i øjeblikket følgende driverversioner til kommunikation med databaseserveren:

PostgreSQL

Microsoft SQL Server

Postgres JDBC-driver 42.2.5

SQL Server JDBC-driver 4.6

Denne driverversion understøtter SQL Server Always On ( Always On Failover Cluster Instances og Always On tilgængelighedsgrupper).

Yderligere krav til Windows-godkendelse mod Microsoft SQL Server

Hvis du vil have, at HDS-noder skal bruge Windows-godkendelse til at få adgang til din keystore-database på Microsoft SQL Server, skal du bruge følgende konfiguration i dit miljø:

  • HDS-noderne, Active Directory-infrastrukturen og MS SQL Server skal alle synkroniseres med NTP.

  • Den Windows-konto, du angiver til HDS-noder, skal have read/write adgang til databasen.

  • De DNS-servere, du stiller til rådighed for HDS-noder, skal kunne identificere dit nøgledistributionscenter (KDC).

  • Du kan registrere HDS-databaseinstansen på din Microsoft SQL Server som et Service Principal Name (SPN) i din Active Directory. Se Registrer et tjenesteprincipalnavn til Kerberos-forbindelser.

    HDS-opsætningsværktøjet, HDS-startprogrammet og det lokale KMS skal alle bruge Windows-godkendelse for at få adgang til nøglelagerdatabasen. De bruger oplysningerne fra din ISO-konfiguration til at konstruere SPN'et, når de anmoder om adgang med Kerberos-godkendelse.

Krav til eksterne forbindelser

Konfigurer din firewall til at tillade følgende forbindelse for HDS-applikationerne:

Applikation

Protokol

Port

Vejvisning fra appen

Destination

Hybride datasikkerhedsnoder

TCP

443

Udgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-værter

  • Andre URL'er, der er angivet for Hybrid Data Security i tabellen Yderligere URL'er til Webex Hybrid Services i Netværkskrav til Webex Services

HDS-opsætningsværktøj

TCP

443

Udgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-værter

  • hub.docker.com

Hybrid Data Security-noderne fungerer med netværksadgangsoversættelse (NAT) eller bag en firewall, så længe NAT'en eller firewallen tillader de nødvendige udgående forbindelser til domænedestinationerne i den foregående tabel. For forbindelser, der går ind til Hybrid Data Security-noderne, bør ingen porte være synlige fra internettet. I dit datacenter skal klienter have adgang til Hybrid Data Security-noderne på TCP-portene 443 og 22 til administrative formål.

URL'erne til Common Identity (CI)-værterne er regionsspecifikke. Disse er de nuværende CI-værter:

Område

Fælles identitetsværts-URL'er

Nord-, Mellem- og Sydamerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

EU

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

De Forenede Arabiske Emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy server krav

  • Vi har officielt understøttet følgende proxy-løsninger, der kan integreres med dine hybrid-data sikkerheds knuder.

    • Gennemsigtig proxy – Cisco web Security-Appliance (WSA).

    • Eksplicit proxy-squid.

      Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre etableringen af websockets. (wss:) forbindelser. For at omgå dette problem, se Konfigurer Squid-proxyer til hybrid datasikkerhed.

  • Vi understøtter følgende kombinationer af godkendelsestyper for eksplicitte proxyer:

    • Ingen godkendelse med HTTP eller HTTPS

    • Grundlæggende godkendelse med HTTP eller HTTPS

    • Samlet godkendelse kun med HTTPS

  • For en gennemsigtig kontrol proxy eller en HTTPS Explicit-proxy skal du have en kopi af proxyens rodcertifikat. Installationsvejledningen i denne vejledning fortæller dig, hvordan du overfører kopien til hybrid-datasikkerheds knudepunkter.

  • Netværket, der er vært for HDS-knuder, skal konfigureres til at tvinge udgående TCP-trafik på port 443 til at dirigere gennem proxyen.

  • Proxyer, der undersøger webtrafik, kan forstyrre WebSocket-forbindelser. Hvis dette problem opstår, vil det løse problemet at omgå (ikke inspicere) trafik til wbx2.com og ciscospark.com.

Opfyld forudsætningerne for hybrid datasikkerhed

Brug denne tjekliste til at sikre, at du er klar til at installere og konfigurere din Hybrid Data Security-klynge.
1

Sørg for, at din partnerorganisation har Multi-Tenant HDS-funktionen aktiveret, og hent legitimationsoplysningerne for en konto med partnerrettigheder som fuld administrator og fulde administratorrettigheder. Sørg for, at din Webex-kundeorganisation er aktiveret til Pro Pack til Cisco Webex Control Hub. Kontakt din Cisco-partner eller kontoadministrator for at få hjælp til denne proces.

Kundeorganisationer bør ikke have nogen eksisterende HDS-implementering.

2

Vælg et domænenavn til din HDS-installation (f.eks. hds.company.com), og hent en certifikatkæde, der indeholder et X.509-certifikat, en privat nøgle og eventuelle mellemliggende certifikater. Certifikatkæden skal opfylde kravene i X.509-certifikatkrav.

3

Forbered identiske virtuelle værter, som du vil konfigurere som hybride datasikkerhedsnoder i din klynge. Du skal bruge mindst to separate værter (3 anbefales) placeret i det samme sikre datacenter, som opfylder kravene i Krav til virtuelle værter.

4

Forbered den databaseserver, der skal fungere som nøgledatalager for klyngen, i henhold til Databaseserverkrav. Databaseserveren skal være placeret sammen med de virtuelle værter i det sikre datacenter.

  1. Opret en database til nøgleopbevaring. (Du skal oprette denne database – brug ikke standarddatabasen.) HDS-applikationerne opretter databaseskemaet, når de er installeret.)

  2. Indsaml de oplysninger, som noderne skal bruge til at kommunikere med databaseserveren:

    • værtsnavnet eller IP-adressen (vært) og porten

    • navnet på databasen (dbname) til nøglelagring

    • brugernavn og adgangskode for en bruger med alle rettigheder på nøglelagringsdatabasen

5

For hurtig gendannelse efter katastrofer, opsæt et backupmiljø i et andet datacenter. Backupmiljøet afspejler produktionsmiljøet for VM'er og en backupdatabaseserver. Hvis produktionen f.eks. har 3 virtuelle maskiner, der kører HDS-noder, skal backupmiljøet have 3 virtuelle maskiner.

6

Opsæt en syslog-vært til at indsamle logfiler fra noderne i klyngen. Indsaml dens netværksadresse og syslog-port (standard er UDP 514).

7

Opret en sikker sikkerhedskopieringspolitik for Hybrid Data Security-noderne, databaseserveren og syslog-værten. For at forhindre uopretteligt datatab skal du som minimum sikkerhedskopiere databasen og den ISO-konfigurationsfil, der er genereret til Hybrid Data Security-noderne.

Da Hybrid Data Security-noderne lagrer de nøgler, der bruges til kryptering og dekryptering af indhold, vil manglende opretholdelse af en operationel implementering resultere i UGENOPRETTELLIGT TAB af dette indhold.

Webex-appklienter cacher deres nøgler, så et nedbrud er muligvis ikke umiddelbart mærkbart, men vil blive tydeligt over tid. Selvom midlertidige afbrydelser er umulige at forhindre, kan de genoprettes. Fuldstændigt tab (ingen sikkerhedskopier tilgængelige) af enten databasen eller konfigurations-ISO-filen vil dog resultere i uoprettelige kundedata. Operatørerne af Hybrid Data Security-noderne forventes at opretholde hyppige sikkerhedskopier af databasen og ISO-konfigurationsfilen og være forberedte på at genopbygge Hybrid Data Security-datacenteret, hvis der opstår en katastrofal fejl.

8

Sørg for, at din firewallkonfiguration tillader forbindelse til dine Hybrid Data Security-noder som beskrevet i Krav til eksterne forbindelser.

9

Installer Docker ( https://www.docker.com) på enhver lokal maskine, der kører et understøttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-bit, eller Mac OSX Yosemite 10.10.3 eller nyere) med en webbrowser, der kan tilgå det på http://127.0.0.1:8080.

Du bruger Docker-instansen til at downloade og køre HDS Setup Tool, som opretter de lokale konfigurationsoplysninger for alle Hybrid Data Security-noderne. Du skal muligvis bruge en Docker Desktop-licens. Se Krav til Docker Desktop for yderligere information.

For at installere og køre HDS Setup Tool skal den lokale maskine have den forbindelse, der er beskrevet i Krav til ekstern forbindelse.

10

Hvis du integrerer en proxy med Hybrid Data Security, skal du sørge for, at den opfylder Krav til proxyserver.

Opsæt en hybrid datasikkerhedsklynge

Opgaveflow for implementering af hybrid datasikkerhed

Før du begynder

1

Udfør den indledende opsætning og download installationsfiler

Download OVA-filen til din lokale maskine til senere brug.

2

Opret en konfigurations-ISO til HDS-værterne

Brug HDS-opsætningsværktøjet til at oprette en ISO-konfigurationsfil til Hybrid Data Security-noderne.

3

Installer HDS Host OVA

Opret en virtuel maskine fra OVA-filen, og udfør den indledende konfiguration, f.eks. netværksindstillinger.

Muligheden for at konfigurere netværksindstillinger under OVA-implementering er blevet testet med ESXi 7.0 og 8.0. Indstillingen er muligvis ikke tilgængelig i tidligere versioner.

4

Konfigurer den hybride datasikkerheds-VM

Log ind på VM-konsollen, og angiv loginoplysningerne. Konfigurer netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-implementeringen.

5

Upload og monter HDS-konfigurations-ISO'en

Konfigurer den virtuelle maskine fra den ISO-konfigurationsfil, du oprettede med HDS-opsætningsværktøjet.

6

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver proxykonfiguration, skal du angive den type proxy, du vil bruge til noden, og om nødvendigt føje proxycertifikatet til tillidslageret.

7

Registrer den første node i klyngen

Registrer den virtuelle maskine med Cisco Webex Cloud som en hybrid datasikkerhedsnode.

8

Opret og registrer flere noder

Færdiggør klyngeopsætningen.

9

Aktivér Multi-Tenant HDS på Partner Hub.

Aktivér HDS og administrer lejerorganisationer på Partner Hub.

Udfør den indledende opsætning og download installationsfiler

I denne opgave downloader du en OVA-fil til din maskine (ikke til de servere, du har konfigureret som Hybrid Data Security-noder). Du bruger denne fil senere i installationsprocessen.

1

Log ind på Partner Hub, og klik derefter på Tjenester.

2

I afsnittet Cloud-tjenester skal du finde kortet Hybrid Data Security og derefter klikke på Opsæt.

Det er afgørende for implementeringsprocessen at klikke på Opsæt i Partner Hub. Fortsæt ikke med installationen uden at fuldføre dette trin.

3

Klik på Tilføj en ressource og klik på Download .OVA-fil på kortet Installer og konfigurer software.

Ældre versioner af softwarepakken (OVA) vil ikke være kompatible med de seneste Hybrid Data Security-opgraderinger. Dette kan resultere i problemer under opgradering af applikationen. Sørg for at downloade den nyeste version af OVA-filen.

Du kan også downloade OVA når som helst fra afsnittet Hjælp. Klik på Indstillinger > Hjælp > Download hybrid datasikkerhedssoftware.

OVA-filen begynder automatisk at blive downloadet. Gem filen et sted på din maskine.
4

Klik eventuelt på Se vejledning til implementering af hybrid datasikkerhed for at kontrollere, om der findes en nyere version af denne vejledning.

Opret en konfigurations-ISO til HDS-værterne

Installationsprocessen for Hybrid Data Security opretter en ISO-fil. Du bruger derefter ISO-filen til at konfigurere din Hybrid Data Security-vært.

Før du begynder
1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Installationsværktøjet understøtter ikke forbindelse til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til localhost.

Brug en webbrowser til at gå til localhost, http://127.0.0.1:8080, og indtast administratorbrugernavnet til Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine Partner Hub-administratorloginoplysninger og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til Hybrid Data Security.

8

På oversigtssiden for opsætningsværktøjet skal du klikke på Kom godt i gang.

9

På siden ISO-import har du disse muligheder:

  • Nej– Hvis du opretter din første HDS-node, har du ikke en ISO-fil at uploade.
  • Ja— Hvis du allerede har oprettet HDS-noder, skal du vælge din ISO-fil i browseren og uploade den.
10

Kontroller, at dit X.509-certifikat opfylder kravene i X.509-certifikatkrav.

  • Hvis du aldrig har uploadet et certifikat før, skal du uploade X.509-certifikatet, indtaste adgangskoden og klikke på Fortsæt.
  • Hvis dit certifikat er OK, skal du klikke på Fortsæt.
  • Hvis dit certifikat er udløbet, eller du ønsker at erstatte det, skal du vælge Nej for Fortsætte med at bruge HDS-certifikatkæden og den private nøgle fra den forrige ISO?. Upload et nyt X.509-certifikat, indtast adgangskoden, og klik på Fortsæt.
11

Indtast databaseadressen og kontoen til HDS for at få adgang til dit nøgledatalager:

  1. Vælg din databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du vælger Microsoft SQL Server, får du et felt med navnet Godkendelsestype.

  2. (Kun Microsoft SQL Server ) Vælg din Godkendelsestype:

    • Grundlæggende godkendelse: Du skal bruge et lokalt SQL Server-kontonavn i feltet Brugernavn.

    • Windows-godkendelse: Du skal bruge en Windows-konto i formatet username@DOMAIN i feltet Brugernavn.

  3. Indtast databaseserveradressen i formatet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruge en IP-adresse til grundlæggende godkendelse, hvis noderne ikke kan bruge DNS til at fortolke værtsnavnet.

    Hvis du bruger Windows-godkendelse, skal du indtaste et fuldt kvalificeret domænenavn i formatet dbhost.example.org:1433

  4. Indtast Databasenavn.

  5. Indtast brugernavnetog adgangskoden for en bruger med alle rettigheder på nøglelagringsdatabasen.

12

Vælg en TLS-databaseforbindelsestilstand:

Mode

Beskrivelse

Foretræk TLS (standardindstilling)

HDS-noder kræver ikke TLS for at tilslutte til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøger noderne en krypteret forbindelse.

Kræv TLS

HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

Kræv TLS, og bekræft certifikatcertifikatstegner

Denne tilstand er ikke relevant for SQL Server-databaser.

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter etablering af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i Databaserodcertifikat. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Kræv TLS, og bekræft certifikatvært og værtsnavn

  • HDS-noder tilsluttes kun, hvis databaseserveren kan forhandle TLS.

  • Efter etablering af en TLS-forbindelse sammenligner noden underskriveren af certifikatet fra databaseserveren med certifikatmyndigheden i Databaserodcertifikat. Hvis de ikke matcher, vil knudepunktet droppe forbindelsen.

  • Noderne verificerer også, at værtsnavnet i servercertifikatet matcher værtsnavnet i feltet Databasevært og port. Navnene skal passe præcist, ellers vil knudepunktet falde i forbindelsen.

Brug Database-rodcertifikat under rullemenuen til at overføre rodcertifikat til denne valgmulighed.

Når du uploader rodcertifikatet (hvis nødvendigt) og klikker på Fortsæt, tester HDS-opsætningsværktøjet TLS-forbindelsen til databaseserveren. Værktøjet verificerer også certifikattegneren og værtsnavnet, hvis relevant. Hvis en test mislykkes, viser værktøjet en fejlmeddelelse, der beskriver problemet. Du kan vælge, om du vil ignorere fejlen og fortsætte med opsætningen. (På grund af forskelle i forbindelse kan HDS-noderne muligvis oprette TLS-forbindelsen, selvom HDS-opsætningsværktøjet ikke kan teste den.)

13

På siden Systemlogfiler skal du konfigurere din Syslogd-server:

  1. Indtast URL'en til syslog-serveren.

    Hvis serveren ikke kan DNS-opløses fra noderne til din HDS-klynge, skal du bruge en IP-adresse i URL'en.

    Eksempel:
    udp://10.92.43.23:514 angiver logning til Syslogd-vært 10.92.43.23 på UDP-port 514.

  2. Hvis du har konfigureret din server til at bruge TLS-kryptering, skal du markere Er din syslog-server konfigureret til SSL-kryptering?.

    Hvis du markerer dette afkrydsningsfelt, skal du sørge for at indtaste en TCP-URL, f.eks. tcp://10.92.43.23:514.

  3. Fra rullemenuen Vælg syslog-postafslutning skal du vælge den relevante indstilling for din ISO-fil: Choose eller Newline bruges til Graylog og Rsyslog TCP

    • Null byte -- \x00

    • Linjeskift -- \n—Vælg denne mulighed for Graylog og Rsyslog TCP.

  4. Klik på Fortsæt.

14

(Valgfrit) Du kan ændre standardværdien for nogle databaseforbindelsesparametre i Avancerede indstillinger. Generelt er denne parameter den eneste, du muligvis vil ændre:

app_datasource_connection_pool_maxSize: 10
15

Klik på Fortsæt på skærmbilledet Nulstil adgangskode til servicekonti.

Adgangskoder til servicekonti har en levetid på ni måneder. Brug denne skærm, når dine adgangskoder er ved at udløbe, eller du vil nulstille dem for at ugyldiggøre tidligere ISO-filer.

16

Klik på Download ISO-fil. Gem filen et sted, der er nemt at finde.

17

Lav en sikkerhedskopi af ISO-filen på dit lokale system.

Opbevar sikkerhedskopien sikkert. Denne fil indeholder en masterkrypteringsnøgle til databasens indhold. Begræns adgangen til kun de Hybrid Data Security-administratorer, der skal foretage konfigurationsændringer.

18

For at lukke installationsværktøjet skal du skrive CTRL+C.

Næste trin

Sikkerhedskopier konfigurations-ISO-filen. Du skal bruge det til at oprette flere noder til gendannelse eller til at foretage konfigurationsændringer. Hvis du mister alle kopier af ISO-filen, har du også mistet masternøglen. Det er ikke muligt at gendanne nøglerne fra din PostgreSQL- eller Microsoft SQL Server-database.

Vi har aldrig en kopi af denne nøgle og kan ikke hjælpe, hvis du mister den.

Installer HDS Host OVA

Brug denne procedure til at oprette en virtuel maskine fra OVA-filen.
1

Brug VMware vSphere-klienten på din computer til at logge ind på den virtuelle ESXi-vært.

2

Vælg Fil > Implementer OVF-skabelon.

3

I guiden skal du angive placeringen af den OVA-fil, du downloadede tidligere, og derefter klikke på Næste.

4

På siden Vælg et navn og en mappe skal du indtaste et navn på den virtuelle maskine for noden (f.eks. "HDS_Node_1"), vælge en placering, hvor installationen af den virtuelle maskine-node kan være, og derefter klikke på Næste.

5

På siden Vælg en beregningsressource skal du vælge destinationsberegningsressourcen og derefter klikke på Næste.

En valideringskontrol kører. Når det er færdigt, vises skabelondetaljerne.

6

Bekræft skabelonoplysningerne, og klik derefter på Næste.

7

Hvis du bliver bedt om at vælge ressourcekonfigurationen på siden Konfiguration, skal du klikke på 4 CPU og derefter klikke på Næste.

8

På siden Vælg lager skal du klikke på Næste for at acceptere standarddiskformatet og VM-lagerpolitikken.

9

På siden Vælg netværk skal du vælge netværksindstillingen fra listen over poster for at give den ønskede forbindelse til den virtuelle maskine.

10

På siden Tilpas skabelon skal du konfigurere følgende netværksindstillinger:

  • Værtsnavn– Indtast FQDN (værtsnavn og domæne) eller et værtsnavn med et enkelt ord for noden.

    • Du behøver ikke at indstille domænet, så det matcher det domæne, du brugte til at hente X.509-certifikatet.

    • For at sikre en vellykket registrering i skyen skal du kun bruge små bogstaver i det FQDN eller værtsnavn, du har angivet for noden. Store bogstaver understøttes ikke på dette tidspunkt.

    • Den samlede længde af FQDN'en må ikke overstige 64 tegn.

  • IP-adresse— Indtast IP-adressen for nodens interne grænseflade.

    Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

  • Maske— Indtast subnetmaskeadressen i punktum-decimalnotation. For eksempel, 255.255.255.0.
  • Gateway— Indtast gatewayens IP-adresse. En gateway er en netværksnode, der fungerer som et adgangspunkt til et andet netværk.
  • DNS-servere– Indtast en kommasepareret liste over DNS-servere, der håndterer oversættelse af domænenavne til numeriske IP-adresser. (Op til 4 DNS-poster er tilladt.)
  • NTP-servere– Indtast din organisations NTP-server eller en anden ekstern NTP-server, der kan bruges i din organisation. Standard-NTP-serverne fungerer muligvis ikke for alle virksomheder. Du kan også bruge en kommasepareret liste til at indtaste flere NTP-servere.

  • Implementer alle noder på det samme undernet eller VLAN, så alle noder i en klynge kan nås fra klienter i dit netværk til administrative formål.

Hvis du foretrækker det, kan du springe konfigurationen af netværksindstillingerne over og følge trinnene i Konfigurer den hybride datasikkerheds-VM for at konfigurere indstillingerne fra nodekonsollen.

Muligheden for at konfigurere netværksindstillinger under OVA-implementering er blevet testet med ESXi 7.0 og 8.0. Indstillingen er muligvis ikke tilgængelig i tidligere versioner.

11

Højreklik på nodens VM, og vælg derefter Strøm > Tænd.

Hybrid Data Security-softwaren installeres som gæst på VM-værten. Du er nu klar til at logge ind på konsollen og konfigurere noden.

Fejlfindingstip

Du kan opleve en forsinkelse på et par minutter, før nodecontainerne dukker op. Der vises en meddelelse om en firewall på konsollen under første opstart, og du kan ikke logge ind under denne periode.

Konfigurer den hybride datasikkerheds-VM

Brug denne procedure til at logge på Hybrid Data Security-nodens VM-konsol for første gang og angive loginoplysningerne. Du kan også bruge konsollen til at konfigurere netværksindstillingerne for noden, hvis du ikke konfigurerede dem på tidspunktet for OVA-implementeringen.

1

I VMware vSphere-klienten skal du vælge din Hybrid Data Security-node-VM og vælge fanen Konsol.

VM'en starter op, og der vises en loginprompt. Hvis loginprompten ikke vises, skal du trykke på Enter.
2

Brug følgende standardlogin og adgangskode til at logge ind og ændre legitimationsoplysningerne:

  1. Log ind: admin

  2. Adgangskode: cisco

Da du logger ind på din VM for første gang, skal du ændre administratoradgangskoden.

3

Hvis du allerede har konfigureret netværksindstillingerne i Installer HDS Host OVA, skal du springe resten af denne procedure over. Ellers skal du vælge indstillingen Rediger konfiguration i hovedmenuen.

4

Opsæt en statisk konfiguration med IP-adresse, maske, gateway og DNS-oplysninger. Din node skal have en intern IP-adresse og et DNS-navn. DHCP understøttes ikke.

5

(Valgfrit) Skift værtsnavn, domæne eller NTP-server(e), hvis det er nødvendigt, så det matcher din netværkspolitik.

Du behøver ikke at indstille domænet, så det matcher det domæne, du brugte til at hente X.509-certifikatet.

6

Gem netværkskonfigurationen, og genstart den virtuelle maskine, så ændringerne træder i kraft.

Upload og monter HDS-konfigurations-ISO'en

Brug denne procedure til at konfigurere den virtuelle maskine fra den ISO-fil, du oprettede med HDS-opsætningsværktøjet.

Før du begynder

Da ISO-filen indeholder hovednøglen, bør den kun eksponeres efter behov, så Hybrid Data Security VM'er og eventuelle administratorer, der måtte have brug for at foretage ændringer, kan få adgang til den. Sørg for, at kun disse administratorer har adgang til datalageret.

1

Upload ISO-filen fra din computer:

  1. Klik på ESXi-serveren i VMware vSphere-klientens venstre navigationsrude.

  2. På fanen Konfiguration skal du klikke på Lagringpå listen Hardware.

  3. Højreklik på datalageret for dine VM'er på listen Datalagre, og klik på Gennemse datalager.

  4. Klik på ikonet Upload fil, og klik derefter på Upload fil.

  5. Gå til den placering på din computer, hvor du downloadede ISO-filen, og klik på Åbn.

  6. Klik på Ja for at acceptere upload/download operationsadvarsel, og luk datalagerdialogboksen.

2

Monter ISO-filen:

  1. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  2. Klik på OK for at acceptere advarslen om begrænsede redigeringsmuligheder.

  3. Klik på CD/DVD Drive 1, vælg muligheden for at montere fra en ISO-fil fra datalageret, og gå til den placering, hvor du uploadede ISO-filen til konfigurationen.

  4. Marker Tilsluttet og Tilslut ved tænding.

  5. Gem dine ændringer, og genstart den virtuelle maskine.

Næste trin

Hvis din IT-politik kræver det, kan du eventuelt afmontere ISO-filen, når alle dine noder har registreret konfigurationsændringerne. Se (Valgfrit) Afmonter ISO efter HDS-konfiguration for detaljer.

Konfigurer HDS-knudepunkt for proxy integration

Hvis netværksmiljøet kræver en proxy, skal du bruge denne procedure til at angive den type proxy, som du vil integrere med hybrid-data sikkerhed. Hvis du vælger en gennemsigtig kontrol proxy eller en HTTPS-eksplicit proxy, kan du bruge knudens grænseflade til at overføre og installere rodcertifikat. Du kan også kontrollere proxy forbindelsen fra grænsefladen og løse eventuelle problemer.

Før du begynder

1

Indtast URL'en til opsætning af HDS-noden https://[HDS Node IP or FQDN]/setup i en webbrowser, indtast de administratoroplysninger, du har oprettet for noden, og klik derefter på Log ind.

2

Gå til Trust store & proxy, og vælg derefter en valgmulighed:

  • Ingen proxy— Standardindstillingen, før du integrerer en proxy. Ingen certifikat opdatering er påkrævet.
  • Transparent ikke-inspekterende proxy— Noder er ikke konfigureret til at bruge en specifik proxyserveradresse og bør ikke kræve nogen ændringer for at fungere med en ikke-inspekterende proxy. Ingen certifikat opdatering er påkrævet.
  • Transparent inspektionsproxy— Noder er ikke konfigureret til at bruge en specifik proxyserveradresse. Ingen HTTPS-konfigurationsændringer er nødvendige i installationen af hybrid-data sikkerhed, men HDS-knuder skal have en rodcertifikat, så de stoler på proxyen. Kontrol af proxyer bruges typisk af den til at gennemtvinge politikker, der kan besøges, og hvilke typer indhold der ikke er tilladt. Denne type proxy dekrypterer al din trafik (selv HTTPS).
  • Eksplicit proxy— Med eksplicit proxy fortæller du klienten (HDS-noder), hvilken proxyserver der skal bruges, og denne indstilling understøtter flere godkendelsestyper. Når du har valgt denne valgmulighed, skal du indtaste følgende oplysninger:

    1. Proxy IP/FQDN—Adresse, der kan bruges til at nå proxymaskinen.

    2. Proxyport— Et portnummer, som proxyen bruger til at lytte efter proxytrafik.

    3. Proxyprotokol– Vælg http (viser og styrer alle anmodninger, der modtages fra klienten) eller https (leverer en kanal til serveren, og klienten modtager og validerer serverens certifikat). Vælg en valgmulighed baseret på, hvad dine proxyserver understøtter.

    4. Godkendelsestype— Vælg mellem følgende godkendelsestyper:

      • Ingen— Ingen yderligere godkendelse er påkrævet.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

      • Grundlæggende— Bruges af en HTTP-brugeragent til at angive et brugernavn og en adgangskode, når der foretages en anmodning. Bruger base64 kodning.

        Tilgængelig for HTTP-eller HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

      • Digest— Bruges til at bekræfte kontoen, før følsomme oplysninger sendes. Anvender en hash funktion på brugernavn og adgangskode, før der sendes via netværket.

        Kun tilgængelig for HTTPS-proxyer.

        Hvis du vælger denne valgmulighed, skal du også indtaste brugernavn og adgangskode.

Følg de næste trin for at få en gennemsigtig kontrol proxy, en HTTP Explicit-proxy med basisgodkendelse eller en HTTPS Explicit-proxy.

3

Klik på Overfør et rodcertifikat eller Afslut enheds certifikat, og naviger derefter til en valg rodcertifikat for proxyen.

Certifikatet er overført, men endnu ikke installeret, fordi du skal genstarte knuden for at installere certifikatet. Klik på vinkel pilen af certifikatudsteder navnet for at få flere oplysninger, eller klik på Slet, Hvis du har udført en fejl og vil overføre filen igen.

4

Klik på Kontroller proxy forbindelse for at teste netværksforbindelsen mellem knuden og proxyen.

Hvis forbindelsestesten mislykkes, vil du se en fejlmeddelelse, der viser årsagen, og hvordan du kan løse problemet.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke lykkedes, var knuden ikke i stand til at nå DNS-serveren. Denne tilstand forventes i mange specifikke proxy konfigurationer. Du kan fortsætte opsætningen, og knudepunktet vil fungere i blokeret ekstern DNS-opløsnings tilstand. Hvis du mener, at dette er en fejl, skal du udføre disse trin og derefter se Slå blokeret ekstern DNS-opløsningstilstand fra.

5

Når forbindelsestesten er gennemført, skal du for eksplicit proxy indstilles til kun HTTPS, slå til/fra for at dirigere alle port 443/444 https-anmodninger fra denne knude gennem den eksplicitte proxy. Denne indstilling kræver 15 sekunder for at træde i kraft.

6

Klik på Installer alle certifikater i tillids lageret (vises for en HTTPS Explicit-proxy eller en gennemsigtig kontrol-proxy) eller Genstart (vises for en http Explicit-proxy), Læs meddelelsen, og klik derefter på Installer, Hvis du er klar.

Knuden genstarter inden for et par minutter.

7

Når knuden er genstartet, skal du logge ind igen, hvis det er nødvendigt, og derefter åbne siden Oversigt for at kontrollere forbindelses kontrollerne for at sikre, at de alle er i grøn status.

Kontrol af proxy forbindelsen tester kun et underdomæne for webex.com. Hvis der er forbindelsesproblemer, er det et almindeligt problem, at nogle af de Cloud-domæner, der er angivet i installationsvejledningen, blokeres ved proxyen.

Registrer den første node i klyngen

Denne opgave tager den generiske node, som du oprettede i Opsæt den hybride datasikkerheds-VM, registrerer noden i Webex Cloud og omdanner den til en hybrid datasikkerhedsnode.

Når du registrerer din første node, opretter du en klynge, som noden er tildelt. En klynge indeholder en eller flere noder, der er implementeret for at give redundans.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, ellers skal du starte forfra.

  • Sørg for, at alle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Log på https://admin.webex.com.

2

Fra menuen i venstre side af skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde kortet Hybrid Data Security og klikke på Opsæt.

4

På den side, der åbnes, skal du klikke på Tilføj en ressource.

5

I det første felt på kortet Tilføj en node skal du indtaste et navn på den klynge, som du vil tildele din Hybrid Data Security-node.

Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens noder er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node og klikke på Tilføj nederst på skærmen.

Denne IP-adresse eller FQDN skal matche den IP-adresse eller det værtsnavn og det domæne, du brugte i Konfigurer den hybride datasikkerheds-VM.

Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
7

Klik på Gå til node.

Efter et par øjeblikke bliver du omdirigeret til nodeforbindelsestestene for Webex-tjenester. Hvis alle tests er vellykkede, vises siden Tillad adgang til hybrid datasikkerhedsnode. Der bekræfter du, at du vil give din Webex-organisation tilladelse til at få adgang til din node.

8

Markér afkrydsningsfeltet Tillad adgang til din hybride datasikkerhedsnode, og klik derefter på Fortsæt.

Din konto er valideret, og meddelelsen "Registrering fuldført" angiver, at din node nu er registreret i Webex Cloud.
9

Klik på linket eller luk fanen for at gå tilbage til siden Partner Hub Hybrid Data Security.

På siden Hybrid datasikkerhed vises den nye klynge, der indeholder den node, du har registreret, under fanen Ressourcer. Noden downloader automatisk den nyeste software fra skyen.

Opret og registrer flere noder

For at tilføje yderligere noder til din klynge skal du blot oprette yderligere VM'er og montere den samme konfigurations-ISO-fil og derefter registrere noden. Vi anbefaler, at du har mindst 3 noder.

Før du begynder

  • Når du begynder registreringen af en node, skal du fuldføre den inden for 60 minutter, ellers skal du starte forfra.

  • Sørg for, at alle pop op-blokkere i din browser er deaktiveret, eller at du tillader en undtagelse for admin.webex.com.

1

Opret en ny virtuel maskine fra OVA'en, og gentag trinnene i Installer HDS Host OVA.

2

Opsæt den indledende konfiguration på den nye VM, og gentag trinnene i Opsæt den hybride datasikkerheds-VM.

3

Gentag trinnene i Upload og monter HDS-konfigurations-ISOpå den nye VM.

4

Hvis du konfigurerer en proxy til din implementering, skal du gentage trinnene i Konfigurer HDS-noden til proxyintegration efter behov for den nye node.

5

Registrer noden.

  1. I https://admin.webex.comskal du vælge Tjenester fra menuen i venstre side af skærmen.

  2. I afsnittet Cloud-tjenester skal du finde kortet Hybrid datasikkerhed og klikke på Vis alle.

    Siden Hybride datasikkerhedsressourcer vises.

  3. Den nyoprettede klynge vises på siden Ressourcer.

  4. Klik på klyngen for at se de noder, der er tildelt klyngen.

  5. Klik på Tilføj en node i højre side af skærmen.

  6. Indtast den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node, og klik på Tilføj.

    En side åbnes med en besked, der angiver, at du kan registrere din node i Webex Cloud. Efter et par øjeblikke bliver du omdirigeret til nodeforbindelsestestene for Webex-tjenester. Hvis alle tests er vellykkede, vises siden Tillad adgang til hybrid datasikkerhedsnode. Der bekræfter du, at du vil give din organisation tilladelser til at få adgang til din node.

  7. Markér afkrydsningsfeltet Tillad adgang til din hybride datasikkerhedsnode, og klik derefter på Fortsæt.

    Din konto er valideret, og meddelelsen "Registrering fuldført" angiver, at din node nu er registreret i Webex Cloud.

  8. Klik på linket eller luk fanen for at gå tilbage til siden Partner Hub Hybrid Data Security.

    Pop op-meddelelsenNode tilføjet vises også nederst på skærmen i Partner Hub.

    Din node er registreret.

Administrer lejerorganisationer på hybrid datasikkerhed med flere lejere

Aktivér Multi-Tenant HDS på Partner Hub

Denne opgave sikrer, at alle brugere i kundeorganisationerne kan begynde at udnytte HDS til lokale krypteringsnøgler og andre sikkerhedstjenester.

Før du begynder

Sørg for, at du har fuldført opsætningen af din Multi-Tenant HDS-klynge med det nødvendige antal noder.

1

Log på https://admin.webex.com.

2

Fra menuen i venstre side af skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde Hybrid datasikkerhed og klikke på Rediger indstillinger.

4

Klik på Aktiver HDS på kortet HDS-status.

Tilføj lejerorganisationer i Partner Hub

I denne opgave tildeler du kundeorganisationer til din hybride datasikkerhedsklynge.

1

Log på https://admin.webex.com.

2

Fra menuen i venstre side af skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde Hybrid datasikkerhed og klikke på Vis alle.

4

Klik på den klynge, som du vil tildele en kunde.

5

Gå til fanen Tildelte kunder.

6

Klik på Tilføj kunder.

7

Vælg den kunde, du vil tilføje, fra rullemenuen.

8

Klik på Tilføj, kunden vil blive tilføjet til klyngen.

9

Gentag trin 6 til 8 for at tilføje flere kunder til din klynge.

10

Klik på Udført nederst på skærmen, når du har tilføjet kunderne.

Næste trin

Kør HDS-opsætningsværktøjet som beskrevet i Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen.

Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet

Før du begynder

Tildel kunder til den relevante klynge som beskrevet i Tilføj lejerorganisationer i Partner Hub. Kør HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen for de nyligt tilføjede kundeorganisationer.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne til en Partner Hub-konto med fulde administratorrettigheder til din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du åbner Docker-containeren i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Den konfigurations-ISO-fil, du genererer, indeholder masternøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, hver gang du foretager konfigurationsændringer, som disse:

    • Databaseoplysninger

    • Certifikatopdateringer

    • Ændringer i autorisationspolitikken

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Installationsprocessen for Hybrid Data Security opretter en ISO-fil. Du bruger derefter ISO-filen til at konfigurere din Hybrid Data Security-vært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Installationsværktøjet understøtter ikke forbindelse til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til localhost.

Brug en webbrowser til at gå til localhost, http://127.0.0.1:8080, og indtast administratorbrugernavnet til Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine Partner Hub-administratorloginoplysninger og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til Hybrid Data Security.

8

På oversigtssiden for opsætningsværktøjet skal du klikke på Kom godt i gang.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og upload den.

Sørg for forbindelse til din database for at udføre CMK-administration.
11

Gå til fanen Lejer-CMK-administration, hvor du finder følgende tre måder at administrere lejer-CMK'er på.

  • Opret CMK for alle ORG'er eller Opret CMK - Klik på denne knap i banneret øverst på skærmen for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på knappen Administrer CMK'er i højre side af skærmen, og klik på Opret CMK'er for at oprette CMK'er for alle nyligt tilføjede organisationer.
  • Klik på … i nærheden af statussen for afventende CMK-administration for en bestemt organisation i tabellen, og klik på Opret CMK for at oprette CMK for den pågældende organisation.
12

Når CMK-oprettelsen er gennemført, ændres status i tabellen fra CMK-administration afventer til CMK administreret.

13

Hvis oprettelsen af CMK mislykkes, vises der en fejl.

Fjern lejerorganisationer

Før du begynder

Når det er fjernet, vil brugere af kundeorganisationer ikke kunne udnytte HDS til deres krypteringsbehov og vil miste alle eksisterende krypteringspladser. Kontakt din Cisco-partner eller kontoadministrator, før du fjerner kundeorganisationer.

1

Log på https://admin.webex.com.

2

Fra menuen i venstre side af skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde Hybrid datasikkerhed og klikke på Vis alle.

4

På fanen Ressourcer skal du klikke på den klynge, som du vil fjerne kundeorganisationer fra.

5

På den side, der åbnes, skal du klikke på Tildelte kunder.

6

Fra listen over viste kundeorganisationer skal du klikke på ... i højre side af den kundeorganisation, du vil fjerne, og klikke på Fjern fra klynge.

Næste trin

Fuldfør fjernelsesprocessen ved at tilbagekalde CMK'erne for kundeorganisationerne som beskrevet i Tilbagekald CMK'er for lejere fjernet fra HDS.

Tilbagekald CMK'er for lejere, der er fjernet fra HDS.

Før du begynder

Fjern kunder fra den relevante klynge som beskrevet i Fjern lejerorganisationer. Kør HDS-opsætningsværktøjet for at fuldføre fjernelsesprocessen for de kundeorganisationer, der blev fjernet.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne til en Partner Hub-konto med fulde administratorrettigheder til din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du åbner Docker-containeren i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Den konfigurations-ISO-fil, du genererer, indeholder masternøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, hver gang du foretager konfigurationsændringer, som disse:

    • Databaseoplysninger

    • Certifikatopdateringer

    • Ændringer i autorisationspolitikken

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Installationsprocessen for Hybrid Data Security opretter en ISO-fil. Du bruger derefter ISO-filen til at konfigurere din Hybrid Data Security-vært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

docker login -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uden en proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

6

Installationsværktøjet understøtter ikke forbindelse til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til localhost.

Brug en webbrowser til at gå til localhost, http://127.0.0.1:8080, og indtast administratorbrugernavnet til Partner Hub ved prompten.

Værktøjet bruger denne første indtastning af brugernavnet til at indstille det korrekte miljø for den pågældende konto. Værktøjet viser derefter standardlogonprompten.

7

Når du bliver bedt om det, skal du indtaste dine Partner Hub-administratorloginoplysninger og derefter klikke på Log ind for at give adgang til de nødvendige tjenester til Hybrid Data Security.

8

På oversigtssiden for opsætningsværktøjet skal du klikke på Kom godt i gang.

9

På siden ISO-import skal du klikke på Ja.

10

Vælg din ISO-fil i browseren, og upload den.

11

Gå til fanen Lejer-CMK-administration, hvor du finder følgende tre måder at administrere lejer-CMK'er på.

  • Tilbagekald CMK for alle ORG'er eller Tilbagekald CMK - Klik på denne knap i banneret øverst på skærmen for at tilbagekalde CMK'er for alle organisationer, der blev fjernet.
  • Klik på knappen Administrer CMK'er i højre side af skærmen, og klik på Tilbagekald CMK'er for at tilbagekalde CMK'er for alle organisationer, der blev fjernet.
  • Klik på i nærheden af statussen CMK, der skal tilbagekaldes for en bestemt organisation i tabellen, og klik på Tilbagekald CMK for at tilbagekalde CMK for den specifikke organisation.
12

Når CMK-tilbagekaldelsen er gennemført, vises kundeorganisationen ikke længere i tabellen.

13

Hvis CMK-tilbagekaldelse mislykkes, vises en fejl.

Test din hybride datasikkerhedsinstallation

Test din hybride datasikkerhedsimplementering

Brug denne procedure til at teste krypteringsscenarier for hybrid datasikkerhed med flere lejere.

Før du begynder

  • Konfigurer din hybride datasikkerhedsinstallation med flere lejere.

  • Sørg for, at du har adgang til sysloggen for at bekræfte, at nøgleanmodninger sendes til din Multi-Tenant Hybrid Data Security-installation.

1

Nøgler for et givet rum indstilles af rummets skaber. Log ind på Webex-appen som en af kundeorganisationens brugere, og opret derefter et område.

Hvis du deaktiverer Hybrid Data Security-implementeringen, er indhold i områder, som brugerne opretter, ikke længere tilgængeligt, når de klientcachelagrede kopier af krypteringsnøglerne er erstattet.

2

Send beskeder til det nye rum.

3

Kontrollér syslog-outputtet for at bekræfte, at nøgleanmodningerne sendes til din Hybrid Data Security-installation.

Hvis en bruger af en nyligt tilføjet kundeorganisation udfører en handling, vises organisationens organisations-ID i logfilerne, og dette kan bruges til at bekræfte, at organisationen anvender Multi-Tenant HDS. Tjek værdien af kms.data.orgId i syslogs.

  1. For at kontrollere, om en bruger først opretter en sikker kanal til KMS'en, skal du filtrere på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du burde finde en post som denne (identifikatorer forkortet for læsbarhed):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. For at kontrollere, om en bruger anmoder om en eksisterende nøgle fra KMS'en, skal du filtrere på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finde en post såsom:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. For at kontrollere, om en bruger anmoder om oprettelse af en ny KMS-nøgle, filtrer på kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finde en post såsom:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. For at kontrollere, om en bruger anmoder om oprettelse af et nyt KMS-ressourceobjekt (KRO), når et rum eller en anden beskyttet ressource oprettes, skal du filtrere på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finde en post såsom: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Overvåg hybrid datasikkerhedstilstand

En statusindikator i Partner Hub viser dig, om alt er i orden med implementeringen af hybrid datasikkerhed for flere lejere. For mere proaktiv alarmering, tilmeld dig e-mail-notifikationer. Du får besked, når der er alarmer eller softwareopgraderinger, der påvirker tjenesten.
1

I Partner Hubskal du vælge Tjenester fra menuen i venstre side af skærmen.

2

I afsnittet Cloud-tjenester skal du finde Hybrid datasikkerhed og klikke på Rediger indstillinger.

Siden Indstillinger for hybrid datasikkerhed vises.
3

I afsnittet E-mail-notifikationer skal du skrive en eller flere e-mailadresser adskilt af kommaer og trykke på Enter.

Administrer din HDS-implementering

Administrer HDS-implementering

Brug de opgaver, der er beskrevet her, til at administrere din hybride datasikkerhedsinstallation.

Angiv tidsplan for klyngeopgradering

Softwareopgraderinger til Hybrid Data Security udføres automatisk på klyngeniveau, hvilket sikrer, at alle noder altid kører den samme softwareversion. Opgraderinger udføres i henhold til opgraderingsplanen for klyngen. Når en softwareopgradering bliver tilgængelig, har du mulighed for manuelt at opgradere klyngen før det planlagte opgraderingstidspunkt. Du kan indstille en specifik opgraderingsplan eller bruge standardplanen for 3:00 AM Daily USA: America/Los Angeles. Du kan også vælge at udskyde en kommende opgradering, hvis det er nødvendigt.

Sådan indstiller du opgraderingsplanen:

1

Log ind på Partner Hub.

2

Fra menuen i venstre side af skærmen skal du vælge Tjenester.

3

I afsnittet Cloud-tjenester skal du finde Hybrid datasikkerhed og klikke på Opsæt

4

Vælg klyngen på siden Hybride datasikkerhedsressourcer.

5

Klik på fanen Klyngeindstillinger.

6

På siden Klyngeindstillinger skal du under Opgraderingsplan vælge tidspunkt og tidszone for opgraderingsplanen.

Bemærk: Under tidszonen vises den næste tilgængelige opgraderingsdato og -tidspunkt. Du kan udskyde opgraderingen til den følgende dag, hvis det er nødvendigt, ved at klikke på Udskyd med 24 timer.

Ændr nodekonfigurationen

Det kan være nødvendigt at ændre konfigurationen af din Hybrid-datasikkerhedsknude af en årsag, såsom:

  • Ændring af x.509-certifikater pga. udløb eller andre årsager.

    Vi understøtter ikke ændring af CN-domænenavnet for et certifikat. Domænet skal passe med det oprindelige domæne, der bruges til at registrere klyngen.

  • Opdatering af databaseindstillinger for at ændre til en replik af PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi understøtter ikke overflytning af data fra PostgreSQL til Microsoft SQL Server, eller hvordan det kan lade sig gøre. For at skifte databasemiljøet skal du starte en ny udrulning af Hybrid-datasikkerhed.

  • Oprettelse af en ny konfiguration for at forberede et nyt datacenter.

Derudover bruger Hybrid-datasikkerhed tjenestekontoadgangskoder, der gælder i ni måneder. Når HDS-opsætningsværktøjet genererer disse adgangskoder, implementeres de for hver af dine HDS-noder i ISO-konfigurationsfilen. Når din organisations adgangskoder nærmer sig udløb, modtager du en meddelelse fra Webex-teamet om at nulstille adgangskoden for din maskinkonto. (E-mailen indeholder teksten "Brug maskinkonto-API'en til at opdatere adgangskoden.") Hvis dine adgangskoder endnu ikke er udløbet, giver værktøjet dig to valgmuligheder:

  • Blød nulstilling— Både den gamle og den nye adgangskode virker i op til 10 dage. Brug denne periode til at erstatte ISO-filen på knudepunkterne gradvist.

  • Hard nulstilling— De gamle adgangskoder holder op med at virke med det samme.

Hvis dine adgangskoder udløber uden en nulstilling, påvirker det din HDS-tjeneste, der kræver øjeblikkelig hard reset og udskiftning af ISO-filen på alle knudepunkter.

Brug denne procedure til at generere en ny ISO-konfigurationsfil, og anvend den på din klynge.

Før du begynder

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til den skal du køre Docker på den maskine. Opsætningsprocessen kræver legitimationsoplysningerne til en Partner Hub-konto med fulde administratorrettigheder som partner.

    Hvis du ikke har en Docker Desktop-licens, kan du bruge Podman Desktop til at køre HDS-opsætningsværktøjet for trin 1.a til 1.e i proceduren nedenfor. Se Kør HDS Setup-værktøjet ved hjælp af Podman Desktop for detaljer.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du åbner Docker-containeren i 1.e. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Du skal bruge en kopi af den eksisterende ISO-konfigurationsfil til at generere en ny konfiguration. ISO indeholder masternøglen, der krypterer PostgreSQL eller Microsoft SQL Server-databasen. Du skal bruge ISO, når du foretager konfigurationsændringer, herunder databaselegitimationsoplysninger, certifikatopdateringer eller ændringer af godkendelsespolitikken.

1

Brug Docker på en lokal maskine, og kør HDS-opsætningsværktøjet.

  1. Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

    I almindelige miljøer:

    docker rmi ciscocitg/hds-setup:stable

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

  2. For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

    docker login -u hdscustomersro

  3. I adgangskodeanmodningen skal du indtaste denne hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Download det seneste stabilt billede til dit miljø:

    I almindelige miljøer:

    docker pull ciscocitg/hds-setup:stable

    I FedRAMP-miljøer:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Sørg for, at du udtrækker det nyeste opsætningsværktøj for denne procedure. Versioner af værktøjet oprettet før d. 22. februar 2018 har ikke skærmbilleder til nulstilling af adgangskode.

  5. Når træk er fuldført, indtast den relevante kommando for dit miljø:

    • I almindelige miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • I almindelige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I almindelige miljøer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljøer uden en proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når beholderen kører, ser du "Express-serveren lytter på port 8080."

  6. Brug en browser til at tilslutte til localhost, http://127.0.0.1:8080.

    Installationsværktøjet understøtter ikke forbindelse til localhost via http://localhost:8080. Brug http://127.0.0.1:8080 til at oprette forbindelse til localhost.

  7. Når du bliver bedt om det, skal du indtaste dine Partner Hub-kundeloginoplysninger og derefter klikke på Accepter for at fortsætte.

  8. Importér den aktuelle ISO-konfigurationsfil.

  9. Følg anvisningerne for at fuldføre værktøjet og downloade den opdaterede fil.

    For at lukke installationsværktøjet skal du skrive CTRL+C.

  10. Opret en sikkerhedskopi af den opdaterede fil i et andet datacenter.

2

Hvis du kun har én HDS-node kørende, skal du oprette en ny Hybrid Data Security-node-VM og registrere den ved hjælp af den nye ISO-konfigurationsfil. For mere detaljerede instruktioner, se Opret og registrer flere noder.

  1. Installer HDS-hosten OVA.

  2. Opsæt HDS-VM'en.

  3. Tilslut den opdaterede konfigurationsfil.

  4. Registrer den nye node i Partner Hub.

3

For eksisterende HDS-noder, der kører den ældre konfigurationsfil, skal du tilslutte ISO-filen. Udfør følgende procedure på hver knude efter tur, og opdater hver knude, inden du slår den næste knude fra:

  1. Slå den virtuelle maskine fra.

  2. I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

  3. Klik på CD/DVD Drive 1, vælg muligheden for at montere fra en ISO-fil, og find den placering, hvor du downloadede den nye konfigurations-ISO-fil.

  4. Markér Forbind med tilsluttet strøm.

  5. Gem dine ændringer, og tænd for den virtuelle maskine.

4

Gentag trin 3 for at erstatte konfigurationen på hver resterende knude, der kører den gamle konfiguration.

Slå blokeret ekstern DNS-opløsnings tilstand fra

Når du tilmelder en knude eller kontrollerer knude punktets proxykonfiguration, tester processen DNS-opslag og tilslutning til Cisco Webex Cloud. Hvis knudens DNS-server ikke kan løse offentlige DNS-navne, går knuden automatisk i blokeret ekstern DNS-opløsnings tilstand.

Hvis dine knuder er i stand til at løse offentlige DNS-navne via interne DNS-servere, kan du slå denne tilstand fra ved at køre proxy forbindelsestesten igen på hver knude.

Før du begynder

Sørg for, at dine interne DNS-servere kan løse offentlige DNS-navne, og at dine knuder kan kommunikere med dem.
1

Åbn Hybrid Data Security-nodens grænseflade (IP) i en webbrowser. address/setup, For eksempel, https://192.0.2.0/setup), indtast de administratoroplysninger, du har oprettet for noden, og klik derefter på Log ind.

2

Gå til Oversigt (standardsiden).

Når den er aktiveret, er blokeret ekstern DNS-opløsning indstillet til Ja.

3

Gå til siden Trust store & proxy .

4

Klik på Kontroller proxy forbindelse.

Hvis du ser en meddelelse om, at ekstern DNS-opløsning ikke blev gennemført, var knuden ikke i stand til at nå DNS-serveren og vil forblive i denne tilstand. Ellers skal blokerede ekstern DNS-opløsning indstilles til Nej, når du genstarter knuden og går tilbage til oversigtssiden.

Næste trin

Gentag proxy forbindelsestesten på hver knude i din hybrid-datasikkerheds gruppe.

Fjern en node

Brug denne procedure til at fjerne en hybrid datasikkerhedsnode fra Webex Cloud. Når du har fjernet noden fra klyngen, skal du slette den virtuelle maskine for at forhindre yderligere adgang til dine sikkerhedsdata.
1

Brug VMware vSphere-klienten på din computer til at logge ind på den virtuelle ESXi-vært og slukke den virtuelle maskine.

2

Fjern noden:

  1. Log ind på Partner Hub, og vælg derefter Tjenester.

  2. På kortet Hybrid datasikkerhed skal du klikke på Vis alle for at få vist siden Hybrid datasikkerhedsressourcer.

  3. Vælg din klynge for at få vist dens oversigtspanel.

  4. Klik på den node, du vil fjerne.

  5. Klik på Afregistrer denne node i panelet, der vises til højre.

  6. Du kan også afregistrere noden ved at klikke på … i højre side af noden og vælge Fjern denne node.

3

Slet den virtuelle maskine i vSphere-klienten. (Højreklik på den virtuelle maskine i venstre navigationsrude, og klik på Slet.)

Hvis du ikke sletter den virtuelle maskine, skal du huske at afmontere konfigurations-ISO-filen. Uden ISO-filen kan du ikke bruge den virtuelle maskine til at få adgang til dine sikkerhedsdata.

Katastrofeberedskab ved hjælp af Standby Data Center

Den vigtigste tjeneste, som din hybride datasikkerhedsklynge leverer, er oprettelse og lagring af nøgler, der bruges til at kryptere beskeder og andet indhold, der er gemt i Webex-skyen. For hver bruger i organisationen, der er tildelt Hybrid Data Security, dirigeres nye anmodninger om nøgleoprettelse til klyngen. Klyngen er også ansvarlig for at returnere de nøgler, den har oprettet, til alle brugere, der er autoriseret til at hente dem, for eksempel medlemmer af et samtaleområde.

Da klyngen udfører den kritiske funktion med at levere disse nøgler, er det bydende nødvendigt, at klyngen forbliver kørende, og at der opretholdes korrekte sikkerhedskopier. Tab af Hybrid Data Security-databasen eller den konfigurations-ISO, der bruges til skemaet, vil resultere i ULENDEBART TAB af kundeindhold. Følgende fremgangsmåder er obligatoriske for at forhindre et sådant tab:

Hvis en katastrofe forårsager, at HDS-installationen i det primære datacenter bliver utilgængelig, skal du følge denne procedure for manuelt at skifte til standby-datacenteret.

Før du begynder

Afregistrer alle noder fra Partner Hub som nævnt i Fjern en node. Brug den seneste ISO-fil, der blev konfigureret mod noderne i den klynge, der tidligere var aktiv, til at udføre den nedenfor nævnte failover-procedure.
1

Start HDS-opsætningsværktøjet, og følg trinnene nævnt i Opret en konfigurations-ISO til HDS-værterne.

2

Færdiggør konfigurationsprocessen, og gem ISO-filen et sted, der er let at finde.

3

Lav en sikkerhedskopi af ISO-filen på dit lokale system. Opbevar sikkerhedskopien sikkert. Denne fil indeholder en masterkrypteringsnøgle til databasens indhold. Begræns adgangen til kun de Hybrid Data Security-administratorer, der skal foretage konfigurationsændringer.

4

I VMware vSphere-klientens venstre navigationsrude skal du højreklikke på VM og klikke på Rediger indstillinger.

5

Klik på Rediger indstillinger >CD/DVD Drev 1 og vælg Datastore ISO-fil.

Sørg for at Tilsluttet og Tilslut ved opstart er markeret, så opdaterede konfigurationsændringer kan træde i kraft efter opstart af noderne.

6

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 15 minutter.

7

Registrer noden i Partner Hub. Se Registrer den første node i klyngen.

8

Gentag processen for hver node i standby-datacenteret.

Næste trin

Hvis det primære datacenter bliver aktivt igen efter failover, skal du afregistrere noderne i standby-datacentret og gentage processen med at konfigurere ISO og registrere noder i det primære datacenter som nævnt ovenfor.

(Valgfrit) Afmonter ISO efter HDS-konfiguration

Standard HDS-konfigurationen kører med ISO monteret. Men nogle kunder foretrækker ikke at lade ISO-filer være monteret kontinuerligt. Du kan afmontere ISO-filen, når alle HDS-noder har hentet den nye konfiguration.

Du bruger stadig ISO-filerne til at foretage konfigurationsændringer. Når du opretter en ny ISO eller opdaterer en ISO via installationsværktøjet, skal du montere den opdaterede ISO på alle dine HDS-noder. Når alle dine noder har registreret konfigurationsændringerne, kan du afmontere ISO'en igen med denne procedure.

Før du begynder

Opgrader alle dine HDS-noder til version 2021.01.22.4720 eller nyere.

1

Luk en af dine HDS-noder ned.

2

Vælg HDS-noden i vCenter Server Appliance.

3

Vælg Rediger indstillinger > CD/DVD drev og fjern markeringen i Datastore ISO-fil.

4

Tænd for HDS-noden, og sørg for, at der ikke er nogen alarmer i mindst 20 minutter.

5

Gentag for hver HDS-node efter tur.

Fejlfinding af hybrid datasikkerhed

Se advarsler og fejlfind

En hybrid datasikkerhedsinstallation betragtes som utilgængelig, hvis alle noder i klyngen ikke kan nås, eller hvis klyngen fungerer så langsomt, at anmodninger får timeout. Hvis brugerne ikke kan få adgang til din Hybrid Data Security-klynge, oplever de følgende symptomer:

  • Nye mellemrum kan ikke oprettes (kan ikke oprette nye nøgler)

  • Beskeder og rumtitler kan ikke dekrypteres for:

    • Nye brugere tilføjet til et rum (nøgler kunne ikke hentes)

    • Eksisterende brugere i et område, der bruger en ny klient (kan ikke hente nøgler)

  • Eksisterende brugere i et område vil fortsætte med at køre uden problemer, så længe deres klienter har en cache med krypteringsnøglerne

Det er vigtigt, at du overvåger din Hybrid Data Security-klynge korrekt og håndterer eventuelle advarsler med det samme for at undgå afbrydelser i tjenesten.

Varsler

Hvis der er et problem med opsætningen af Hybrid Data Security, viser Partner Hub advarsler til organisationsadministratoren og sender e-mails til den konfigurerede e-mailadresse. Advarslerne dækker mange almindelige scenarier.

Tabel 1. Almindelige problemer og trinene til at løse dem

Varsel

Handling

Fejl ved lokal databaseadgang.

Kontroller for databasefejl eller problemer med det lokale netværk.

Fejl i forbindelse til den lokale database.

Kontrollér, at databaseserveren er tilgængelig, og at de korrekte servicekontooplysninger blev brugt i nodekonfigurationen.

Fejl i adgang til cloud-tjenesten.

Kontroller, at noderne kan få adgang til Webex-serverne som angivet i Krav til eksterne forbindelser.

Fornyelse af registrering af cloud-tjeneste.

Registrering til cloud-tjenester blev droppet. Fornyelse af registreringen er i gang.

Registrering af cloud-tjeneste er droppet.

Registrering til cloud-tjenester afsluttet. Tjenesten lukker ned.

Tjenesten er endnu ikke aktiveret.

Aktivér HDS i Partner Hub.

Det konfigurerede domæne matcher ikke servercertifikatet.

Sørg for, at dit servercertifikat matcher det konfigurerede domæne for tjenesteaktivering.

Den mest sandsynlige årsag er, at certifikatets CN for nylig er blevet ændret og nu er forskellig fra det CN, der blev brugt under den første opsætning.

Kunne ikke godkendes til cloudtjenester.

Kontrollér nøjagtighed og mulig udløb af legitimationsoplysninger for servicekontoen.

Kunne ikke åbne den lokale nøglelagerfil.

Kontrollér integriteten og nøjagtigheden af adgangskoden på den lokale nøglelagerfil.

Det lokale servercertifikat er ugyldigt.

Kontrollér servercertifikatets udløbsdato, og bekræft, at det er udstedt af en betroet certifikatmyndighed.

Kan ikke uploade metrikker.

Kontroller lokal netværksadgang til eksterne cloudtjenester.

/media/configdrive/hds mappen findes ikke.

Kontroller ISO-monteringskonfigurationen på den virtuelle vært. Bekræft, at ISO-filen findes, at den er konfigureret til at montere ved genstart, og at den monteres korrekt.

Opsætning af lejerorganisation er ikke fuldført for de tilføjede organisationer.

Fuldfør opsætningen ved at oprette CMK'er for nyligt tilføjede lejerorganisationer ved hjælp af HDS Setup Tool.

Opsætning af lejerorganisation er ikke fuldført for de fjernede organisationer.

Fuldfør opsætningen ved at tilbagekalde CMK'er for lejerorganisationer, der blev fjernet ved hjælp af HDS Setup Tool.

Fejlfinding af hybrid datasikkerhed

Brug følgende generelle retningslinjer, når du foretager fejlfinding af problemer med hybrid datasikkerhed.
1

Gennemgå Partner Hub for eventuelle advarsler, og ret eventuelle elementer, du finder der. Se billedet nedenfor som reference.

2

Gennemgå syslog-serverens output for aktivitet fra Hybrid Data Security-installationen. Filtrer efter ord som "Advarsel" og "Fejl" for at hjælpe med fejlfinding.

3

Kontakt Cisco support.

Andre noter

Kendte problemer med hybrid datasikkerhed

  • Hvis du lukker din hybride datasikkerhedsklynge (ved at slette den i Partner Hub eller ved at lukke alle noder), mister din konfigurations-ISO-fil eller mister adgang til nøglelagerdatabasen, kan Webex-appbrugere af kundeorganisationer ikke længere bruge mellemrum under deres personliste, der blev oprettet med nøgler fra din KMS. Vi har i øjeblikket ingen løsning eller løsning på dette problem, og vi opfordrer dig til ikke at lukke dine HDS-tjenester ned, når de først håndterer aktive brugerkonti.

  • En klient, der har en eksisterende ECDH-forbindelse til et KMS, opretholder denne forbindelse i et stykke tid (sandsynligvis en time).

Kør HDS Setup-værktøjet ved hjælp af Podman Desktop

Podman er et gratis og open source-værktøj til containerhåndtering, der giver mulighed for at køre, administrere og oprette containere. Podman Desktop kan downloades fra https://podman-desktop.io/downloads.

  • HDS-opsætningsværktøjet kører som en Docker-container på en lokal maskine. For at få adgang til det skal du downloade og køre Podman på den pågældende maskine. Opsætningsprocessen kræver brugeroplysningerne for en Control Hub-konto med fulde administratorrettigheder for din organisation.

    Hvis HDS-opsætningsværktøjet kører bag en proxy i dit miljø, skal du angive proxyindstillingerne (server, port, legitimationsoplysninger) via Docker-miljøvariabler, når du åbner Docker-containeren i trin 5. Denne tabel giver nogle mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uden godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uden godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med godkendelse

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med godkendelse

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Den konfigurations-ISO-fil, du genererer, indeholder masternøglen, der krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du skal bruge den seneste kopi af denne fil, hver gang du foretager konfigurationsændringer, som disse:

    • Databaseoplysninger

    • Certifikatopdateringer

    • Ændringer i autorisationspolitikken

  • Hvis du planlægger at kryptere databaseforbindelser, skal du konfigurere din PostgreSQL- eller SQL Server-installation til TLS.

Installationsprocessen for Hybrid Data Security opretter en ISO-fil. Du bruger derefter ISO-filen til at konfigurere din Hybrid Data Security-vært.

1

Indtast den relevante kommando for dit miljø i din maskines kommandolinje:

I almindelige miljøer:

podman rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

podman rmi ciscocitg/hds-setup-fedramp:stable

Dette trin rydder op i tidligere billeder af HDS-opsætningsværktøj. Hvis der ikke er nogen tidligere billeder, returnerer den en fejl, som du kan ignorere.

2

For at logge ind på Docker-billedregistreringen skal du indtaste følgende:

podman login docker.io -u hdscustomersro
3

I adgangskodeanmodningen skal du indtaste denne hash:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download det seneste stabilt billede til dit miljø:

I almindelige miljøer:

podman pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Når træk er fuldført, indtast den relevante kommando for dit miljø:

  • I almindelige miljøer uden en proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I almindelige miljøer med en HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uden en proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når beholderen kører, ser du "Express-serveren lytter på port 8080."

Næste trin

Følg de resterende trin i Opret en konfigurations-ISO til HDS-værterne eller Skift nodekonfigurationen for at oprette eller ændre ISO-konfigurationen.

Flyt den eksisterende single-tenant HDS-installation af en partnerorganisation i Control Hub til en multi-tenant HDS-opsætning i Partner Hub

Konverteringen fra en eksisterende HDS-installation med én lejer i en partnerorganisation, der administreres i Control Hub, til en HDS-installation med flere lejere, der administreres i Partner Hub, involverer primært deaktivering af HDS-tjenesten i Control Hub, afregistrering af noder og sletning af klyngen. Du kan derefter logge ind på Partner Hub, registrere noderne, aktivere Multi-Tenant HDS og tilføje kunder til din klynge.

Udtrykket "single-tenant" refererer blot til en eksisterende HDS-installation i Control Hub.

Deaktiver HDS, afregistrer noder og slet klynge i Control Hub

1

Log ind på Kontrolhub. Klik på Hybridi venstre rude. Klik på Rediger indstillingerpå kortet Hybrid Data Security.

2

Rul ned til afsnittet Deaktiver på indstillingssiden, og klik på Deaktiver.

3

Efter deaktivering skal du klikke på fanen Ressourcer.

4

Siden Ressourcer viser en liste over klynger i din HDS-installation. Klik på en klynge, og en side åbnes med alle noder under den pågældende klynge.

5

Klik på ... til højre, og klik på Afregistrer node. Gentag processen for alle noder i klyngen.

6

Hvis din implementering har flere klynger, skal du gentage trin 4 og trin 5, indtil alle noder er afregistreret.

7

Klik på Klyngeindstillinger > Fjern.

8

Klik på Bekræft fjernelse for at afregistrere klyngen.

9

Gentag processen for alle klynger i din HDS-installation.

Efter deaktivering af HDS, afregistrering af noder og fjernelse af klynger, vil Hybrid Data Service-kortet på Control Hub have Opsætning ikke fuldført vist nederst.

Aktivér Multi-Tenant HDS for partnerorganisationen på Partner Hub, og tilføj kunder

Før du begynder

Alle forudsætningerne nævnt i Krav til hybrid datasikkerhed for flere lejere gælder her. Derudover skal du sørge for, at den samme database og certifikater bruges under overgangen til Multi-Tenant HDS.

1

Log ind på Partner Hub. Klik på Tjenester i venstre rude.

Brug den samme ISO fra din tidligere HDS-implementering til at konfigurere noderne. Dette vil sikre, at beskeder og indhold genereret af brugerne i den tidligere eksisterende HDS-installation stadig er tilgængelige i den nye Multi-Tenant-opsætning.

2

I afsnittet Cloud-tjenester skal du finde kortet Hybrid Data Security og klikke på Opsæt.

3

På den side, der åbnes, skal du klikke på Tilføj en ressource.

4

I det første felt på kortet Tilføj en node skal du indtaste et navn på den klynge, som du vil tildele din Hybrid Data Security-node.

Vi anbefaler, at du navngiver en klynge baseret på, hvor klyngens noder er placeret geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

5

I det andet felt skal du indtaste den interne IP-adresse eller det fuldt kvalificerede domænenavn (FQDN) for din node og klikke på Tilføj nederst på skærmen.

Denne IP-adresse eller FQDN skal matche den IP-adresse eller det værtsnavn og det domæne, du brugte i Konfigurer den hybride datasikkerheds-VM.

Der vises en meddelelse, der angiver, at du kan registrere din node til Webex.
6

Klik på Gå til node.

Efter et par øjeblikke bliver du omdirigeret til nodeforbindelsestestene for Webex-tjenester. Hvis alle tests er vellykkede, vises siden Tillad adgang til hybrid datasikkerhedsnode. Der bekræfter du, at du vil give din Webex-organisation tilladelse til at få adgang til din node.

7

Markér afkrydsningsfeltet Tillad adgang til din hybride datasikkerhedsnode, og klik derefter på Fortsæt.

Din konto er valideret, og meddelelsen "Registrering fuldført" angiver, at din node nu er registreret i Webex Cloud. På siden Hybrid datasikkerhed vises den nye klynge, der indeholder den node, du har registreret, under fanen Ressourcer. Noden downloader automatisk den nyeste software fra skyen.
8

Gå til fanen Indstillinger, og klik på Aktiver på HDS-statuskortet.

Meddelelsen [] Aktiveret HDS vises nederst på skærmen.
9

I Ressourcerskal du klikke på den nyoprettede klynge.

10

På den side, der åbnes, skal du klikke på fanen Tildelte kunder.

11

Klik på Tilføj kunder.

12

Vælg den kunde, du vil tilføje, fra rullemenuen.

13

Klik på Tilføj, kunden vil blive tilføjet til klyngen.

14

Gentag trin 11 til 13 for at tilføje flere kunder til din klynge.

15

Klik på Udført nederst på skærmen, når du har tilføjet kunderne.

Næste trin

Kør HDS-opsætningsværktøjet som beskrevet i Opret kundehovednøgler (CMK'er) ved hjælp af HDS-opsætningsværktøjet for at fuldføre opsætningsprocessen.

Brug OpenSSL til at generere en PKCS12-fil

Før du begynder

  • OpenSSL er et værktøj, der kan bruges til at lave PKCS12-filen i det korrekte format til indlæsning i HDS Setup Tool. Der er andre måder at gøre dette på, og vi støtter eller promoverer ikke én måde frem for en anden.

  • Hvis du vælger at bruge OpenSSL, tilbyder vi denne procedure som en vejledning, der kan hjælpe dig med at oprette en fil, der opfylder X.509-certifikatkravene i X.509-certifikatkrav. Forstå disse krav, før du fortsætter.

  • Installer OpenSSL i et understøttet miljø. Se https://www.openssl.org for software og dokumentation.

  • Opret en privat nøgle.

  • Start denne procedure, når du modtager servercertifikatet fra din certifikatmyndighed (CA).

1

Når du modtager servercertifikatet fra din CA, skal du gemme det som hdsnode.pem.

2

Vis certifikatet som tekst, og bekræft oplysningerne.

openssl x509 -text -noout -in hdsnode.pem

3

Brug en teksteditor til at oprette en certifikatbundtfil kaldet hdsnode-bundle.pem. Bundle-filen skal indeholde servercertifikatet, eventuelle mellemliggende CA-certifikater og rod-CA-certifikaterne i formatet nedenfor:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Opret .p12-filen med det brugervenlige navn kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontroller servercertifikatets oplysninger.

  1. openssl pkcs12 -in hdsnode.p12

  2. Indtast en adgangskode ved prompten for at kryptere den private nøgle, så den vises i outputtet. Bekræft derefter, at den private nøgle og det første certifikat indeholder linjerne friendlyName: kms-private-key.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Næste trin

Tilbage til Opfyld forudsætningerne for hybrid datasikkerhed. Du skal bruge hdsnode.p12 -filen og den adgangskode, du har angivet til den, i Opret en konfigurations-ISO til HDS-værterne.

Du kan genbruge disse filer til at anmode om et nyt certifikat, når det oprindelige certifikat udløber.

Trafik mellem HDS-noderne og skyen

Udgående metrikindsamlingstrafik

Hybrid datasikkerhedsnoderne sender bestemte målinger til Webex Cloud. Disse omfatter systemmålinger for heap max, heap used, CPU-belastning og trådantal; målinger på synkrone og asynkrone tråde; målinger på advarsler, der involverer en tærskelværdi for krypteringsforbindelser, latenstid eller en anmodningskølængde; målinger på datalageret; og målinger for krypteringsforbindelser. Noderne sender krypteret nøglemateriale over en out-of-band (separat fra anmodningen) kanal.

Indgående trafik

Hybrid-datasikkerhedsnoderne modtager følgende typer indgående trafik fra Webex-skyen:

  • Krypteringsanmodninger fra klienter, som dirigeres af krypteringstjenesten

  • Opgraderinger til nodesoftwaren

Konfigurer Squid-proxyer for hybrid-data sikkerhed

WebSocket kan ikke oprette forbindelse via Squid-Proxy

Squid-proxyer, der inspicerer HTTPS-trafik, kan forstyrre etableringen af websocket (wss:)-forbindelser, som Hybrid Data Security kræver. Disse afsnit giver vejledning i, hvordan man konfigurerer forskellige versioner af Squid til at ignorere wss: -trafik for at sikre korrekt drift af tjenesterne.

Squid 4 og 5

Tilføj on_unsupported_protocol -direktivet til squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Vi testede hybrid datasikkerhed med succes med følgende regler tilføjet til squid.conf. Disse regler er underlagt ændringer, når vi udviklerfunktioner og opdaterer Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Var denne artikel nyttig?
Var denne artikel nyttig?
PriserWebex-appMeetingsCallingMeddelelserSkærmdeling
Webex SuiteCallingMeetingsMeddelelserSlidoWebinarerEventsContact CenterCPaaSSikkerhedControl Hub
headsetsKameraerSkrivebordsserierRumserienBoard-serienTelefonserienTilbehør
UddannelseSundhedsplejeStatFinansSport og underholdningFrontlineNonprofitsNystartede virksomhederHybridarbejde
OverførslerDeltag i et testmødeOnlinekurserIntegrationerTilgængelighedInklusionLive- og on-demand-webinarerWebex-fællesskabetWebex til udviklereNyheder og innovationer
CiscoKontakt supportKontakt salgWebex BlogWebex tankelederskabWebex Merch-butikKarrierer
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
Vilkår og betingelserDatabeskyttelseserklæringCookiesVaremærker
©2025 Cisco og/eller dennes partnere. Alle rettigheder forbeholdes.
Vilkår og betingelserDatabeskyttelseserklæringCookiesVaremærker