Ocasionalmente, es posible que deba cambiar la configuración de su nodo de seguridad de datos híbrida por un motivo como:

  • Se creó la cuenta de la máquina

  • Cambio de certificados x.509 debido a caducidad u otras razones.


     

    No admitimos cambiar el nombre del dominio CN de un certificado. El dominio debe coincidir con el dominio original utilizado para registrar el clúster.

  • Actualización de la configuración de la base de datos para cambiar a una réplica de la base de datos de PostgreSQL o Microsoft SQL Server.


     

    No admitimos la migración de datos de PostgreSQL a Microsoft SQL Server o al revés. Para cambiar el entorno de la base de datos, inicie una nueva implementación de Hybrid Data Security.

  • Creación de una nueva configuración para preparar un nuevo centro de datos.

Por motivos de seguridad, la seguridad de datos híbridos utiliza contraseñas de la cuenta de servicio que tienen una vida útil de 9 meses. La Herramienta de configuración de HDS genera estas contraseñas y usted las implementa en cada uno de sus nodos de HDS como parte del archivo de configuración ISO. Cuando las contraseñas de su organización están a punto de caducar, recibe un “Aviso de caducidad de contraseña” del equipo de Webex en el que se le pide restablecer la contraseña para la cuenta de su máquina. (El correo electrónico incluye el texto "Utilice la API de la cuenta de la máquina para actualizar la contraseña"). Si sus contraseñas aún no han caducado, la herramienta le ofrece dos opciones:

  • Reinicio suave —Las contraseñas antiguas y nuevas funcionan hasta por 10 días. Utilice este período para reemplazar el archivo ISO en los nodos gradualmente.

  • Restablecimiento completo —Las contraseñas antiguas dejan de funcionar inmediatamente.

Si sus contraseñas caducan sin un restablecimiento, esto afecta su servicio HDS, lo que requiere un restablecimiento completo inmediato y el reemplazo del archivo ISO en todos los nodos.

Utilice este procedimiento para generar un nuevo archivo ISO de configuración y aplicarlo a su clúster.

Antes de comenzar

  • La Herramienta de configuración de HDS se ejecuta como un contenedor de Docker en una máquina local. Para acceder a él, ejecute Docker en esa máquina. El proceso de configuración requiere las credenciales de una cuenta de Control Hub con derechos de administrador completos para su organización.

    Si la herramienta de configuración de HDS se ejecuta detrás de un proxy en su entorno, proporcione la configuración del proxy (servidor, puerto, credenciales) a través de las variables de entorno de Docker al abrir el contenedor de Docker. Esta tabla proporciona algunas posibles variables de entorno:


     
    El repositorio de la ventana acoplable que usamos para la herramienta de configuración de HDS cambió a ciscocitg en diciembre de 2022 (desde ciscosparkhds anteriormente

    Descripción

    Variable

    HTTP Proxy sin autenticación

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Proxy HTTPS sin autenticación

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP Proxy con autenticación

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    Proxy HTTPS con autenticación

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Necesita una copia del archivo ISO de configuración actual para generar una nueva configuración. La ISO contiene la clave principal que cifra la base de datos de PostgreSQL o Microsoft SQL Server. Necesita la ISO cuando realiza cambios de configuración, incluidas las credenciales de la base de datos, las actualizaciones de certificados o los cambios en la política de autorización.

1

Con Docker en una máquina local, ejecute la Herramienta de configuración de HDS.

  1. En la línea de comandos de su máquina, ingrese el comando apropiado para su entorno:

    En entornos regulares:

    docker rmi ciscocitg/hds-setup:stable

    En entornos FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Este paso limpia las imágenes anteriores de la herramienta de configuración de HDS. Si no hay imágenes anteriores, devuelve un error que puede ignorar.

  2. Para iniciar iniciar sesión en el registro de imágenes de Docker, introduzca lo siguiente:

    docker login -u hdscustomersro

  3. Cuando se le solicite la contraseña, ingrese este hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Descargue la última imagen estable para su entorno:

    En entornos regulares:

    docker pull ciscocitg/hds-setup:stable

    En entornos FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    Asegúrese de tener la última versión de la Herramienta de configuración para este procedimiento. Las versiones de la herramienta creadas antes del 22 de febrero de 2018 no tienen pantallas de restablecimiento de contraseña.

  5. Cuando se complete la extracción, ingrese el comando apropiado para su entorno:

    • En entornos normales sin proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • En entornos normales con un proxy HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • En entornos normales con un proxy HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • En entornos de FedRAMP sin proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • En entornos FedRAMP con un proxy HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • En entornos FedRAMP con un proxy HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Cuando el contenedor se está ejecutando, verá "Servidor Express escuchando en el puerto 8080".

  6. Utilice un navegador para conectarse al localhost, http://127.0.0.1:8080.


     

    La herramienta de configuración no admite la conexión con el organizador regional a través de http://localhost:8080. Utilizar http://127.0.0.1:8080 para conectarse al host regional.

  7. Cuando se le solicite, ingrese sus credenciales de inicio de sesión del cliente y haga clic en Aceptar para continuar.

  8. Importe el archivo ISO de configuración actual.

  9. Siga las instrucciones para completar la herramienta y descargar el archivo actualizado.

    Para cerrar la herramienta de configuración, escriba CTRL+C.

  10. Cree una copia de seguridad del archivo actualizado en otro centro de datos.

2

Si solo tiene un nodo de HDS en ejecución, cree una máquina virtual de nodo nuevo y regístrela con el archivo ISO de configuración nuevo. Para obtener instrucciones más detalladas, consulte Crear y registrar más nodos en el guía de implementación .

  1. Instale el OVA del host HDS.

  2. Configure la máquina virtual de HDS.

  3. Monte el archivo de configuración actualizado.

  4. Registre el nuevo nodo en Control Hub.

3

Para los nodos HDS existentes que ejecutan el archivo de configuración anterior, monte el archivo ISO . Realice el siguiente procedimiento en cada nodo, actualizando cada nodo antes de apagar el siguiente:

  1. Apague la máquina virtual.

  2. En el panel de navegación izquierdo del cliente VMware vSphere, haga clic derecho en la máquina virtual y haga clic en Editar configuración.

  3. Haga clic en CD/DVD Drive 1 Haga clic en Unidad de CD/DVD 1, seleccione la opción para montar desde un archivo ISO y busque la ubicación donde descargó el archivo ISO de configuración nuevo.

  4. Marque Conectar en el encendido.

  5. Guarde sus cambios y encienda la máquina virtual.

4

Repita el paso 3 para reemplazar la configuración en cada nodo restante que esté ejecutando la configuración anterior.